Microsoft phủ nhận "bằng chứng về cuộc tấn công thành công" vào nền tảng của họ

Trang Chủ » an ninh

Biểu tượng thời gian đọc 2 phút đọc

Biểu tượng lịch Được đăng trên

by Surur Davids 

Được xuất bản trên

Chia sẻ bài báo này

Bạn đọc giúp đỡ ủng hộ MSpoweruser. Chúng tôi có thể nhận được hoa hồng nếu bạn mua thông qua các liên kết của chúng tôi. Biểu tượng chú giải công cụ

Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm

microsoft

Hôm qua chúng tôi đã báo cáo về những cáo buộc rằng Nền tảng Microsoft 365 của Microsoft bị tin tặc lạm dụng để do thám Bộ Tài chính Hoa Kỳ.

Microsoft đã phản hồi bởi đăng hướng dẫn cho quản trị viên "Để tìm và giảm thiểu hoạt động nguy hiểm tiềm ẩn".

Tuy nhiên, họ phủ nhận rằng đám mây của Microsoft đã bị xâm phạm, nói rằng:

Chúng tôi cũng muốn trấn an khách hàng của mình rằng chúng tôi chưa xác định được bất kỳ lỗ hổng dịch vụ đám mây hoặc sản phẩm nào của Microsoft trong các cuộc điều tra này.

Tuy nhiên, họ xác nhận rằng “hoạt động quốc gia-nhà nước ở quy mô đáng kể, nhằm vào cả chính phủ và khu vực tư nhân” đang diễn ra, đồng thời cảnh báo các nhân viên an ninh cần chú ý các dấu hiệu sau:

  • Một sự xâm nhập thông qua mã độc hại trong sản phẩm SolarWinds Orion. Điều này dẫn đến việc kẻ tấn công có được chỗ đứng trong mạng, mà kẻ tấn công có thể sử dụng để đạt được các thông tin xác thực nâng cao. Microsoft Defender hiện có tính năng phát hiện các tệp này. Cũng thấy Tư vấn bảo mật của SolarWinds.
  • Kẻ xâm nhập sử dụng quyền quản trị có được thông qua thỏa hiệp tại chỗ để có quyền truy cập vào chứng chỉ ký mã thông báo SAML đáng tin cậy của tổ chức. Điều này cho phép họ giả mạo mã thông báo SAML mạo danh bất kỳ người dùng và tài khoản hiện có nào của tổ chức, bao gồm cả các tài khoản có đặc quyền cao.
  • Thông tin đăng nhập bất thường bằng cách sử dụng mã thông báo SAML được tạo bởi chứng chỉ ký mã thông báo bị xâm phạm, có thể được sử dụng chống lại bất kỳ tài nguyên tại chỗ nào (bất kể hệ thống nhận dạng hoặc nhà cung cấp) cũng như chống lại bất kỳ môi trường đám mây nào (bất kể nhà cung cấp) vì chúng đã được định cấu hình để tin tưởng vào chứng chỉ. Vì các mã thông báo SAML được ký bằng chứng chỉ đáng tin cậy của riêng chúng, nên tổ chức có thể bỏ qua các điểm bất thường.
  • Sử dụng các tài khoản có đặc quyền cao có được thông qua kỹ thuật trên hoặc các phương tiện khác, những kẻ tấn công có thể thêm thông tin đăng nhập của riêng họ vào các nguyên tắc dịch vụ ứng dụng hiện có, cho phép chúng gọi các API với quyền được chỉ định cho ứng dụng đó.

Microsoft lưu ý rằng các yếu tố này không xuất hiện trong mọi cuộc tấn công, nhưng khuyến khích quản trị viên đọc đầy đủ hướng dẫn khách hàng về các cuộc tấn công mạng quốc gia-nhà nước gần đây tại đây.

Thông tin thêm về các chủ đề: microsoft, an ninh

Surur Davids

Surur Davids Lá chắn

Chuyên gia điện thoại thông minh

Surur Davids là người sáng lập WMPoweruser mà sau này trở thành MSPoweruser.com. Anh ấy là một chuyên gia về điện thoại thông minh với hơn một thập kỷ kinh nghiệm.

Bình luận

Chúng tôi sẽ không công khai email của bạn. Các ô đánh dấu * là bắt buộc *