微軟否認針對其平台的“成功攻擊的證據”

我們昨天報導了以下指控 微軟Microsoft 365平台被黑客濫用監視美國財政部.

微軟已回應 發布管理員指南 “發現並減輕潛在的惡意活動”。

然而，他們否認微軟的雲受到了損害，並表示：

我們還想向我們的客戶保證，我們在這些調查中沒有發現任何 Microsoft 產品或云服務漏洞。

然而，他們證實“針對政府和私營部門的大規模民族國家活動”正在發生，並警告安全人員注意以下跡象：

• 通過 SolarWinds Orion 產品中的惡意代碼入侵。 這導致攻擊者在網絡中獲得立足點，攻擊者可以使用它來獲得提升的憑據。 Microsoft Defender 現在可以檢測這些文件。 另見 SolarWinds 安全諮詢.
• 入侵者使用通過本地妥協獲得的管理權限來訪問組織的受信任 SAML 令牌簽名證書。 這使他們能夠偽造 SAML 令牌來模擬組織的任何現有用戶和帳戶，包括高特權帳戶。
• 使用由受損令牌簽名證書創建的 SAML 令牌進行異常登錄，該證書可用於任何本地資源（無論身份系統或供應商）以及任何云環境（無論供應商），因為它們已配置信任證書。 由於 SAML 令牌使用其自己的受信任證書進行簽名，因此組織可能會遺漏異常。
• 使用通過上述技術或其他方式獲得的高權限帳戶，攻擊者可以將自己的憑據添加到現有的應用程序服務主體，使他們能夠調用具有分配給該應用程序的權限的 API。

微軟指出這些元素並非在每次攻擊中都存在，但敦促管理員閱讀其完整內容 有關最近民族國家網絡攻擊的客戶指南，請點擊此處。