微软否认针对其平台的“成功攻击的证据”

我们昨天报道了以下指控 微软Microsoft 365平台被黑客滥用监视美国财政部.

微软已回应 发布管理员指南 “发现并减轻潜在的恶意活动”。

然而，他们否认微软的云受到了损害，并表示：

我们还想向我们的客户保证，我们在这些调查中没有发现任何 Microsoft 产品或云服务漏洞。

然而，他们证实“针对政府和私营部门的大规模民族国家活动”正在发生，并警告安全人员注意以下迹象：

• 通过 SolarWinds Orion 产品中的恶意代码入侵。 这导致攻击者在网络中获得立足点，攻击者可以使用它来获得提升的凭据。 Microsoft Defender 现在可以检测这些文件。 另见 SolarWinds 安全咨询.
• 入侵者使用通过本地妥协获得的管理权限来访问组织的受信任 SAML 令牌签名证书。 这使他们能够伪造 SAML 令牌来模拟组织的任何现有用户和帐户，包括高特权帐户。
• 使用由受损令牌签名证书创建的 SAML 令牌进行异常登录，该证书可用于任何本地资源（无论身份系统或供应商）以及任何云环境（无论供应商），因为它们已配置信任证书。 由于 SAML 令牌使用其自己的受信任证书进行签名，因此组织可能会遗漏异常情况。
• 使用通过上述技术或其他方式获得的高权限帐户，攻击者可以将自己的凭据添加到现有的应用程序服务主体，使他们能够调用具有分配给该应用程序的权限的 API。

微软指出这些元素并非在每次攻击中都存在，但敦促管理员阅读其完整内容 有关最近民族国家网络攻击的客户指南，请点击此处。