4000-110-253
微軟希望客戶對近期頻繁發生(shēng)的國家(jiā)級網絡攻擊事件保持高(gāo)度警惕. 2020-12-17
針對近期湧現的疑似具有(yǒu)國家(jiā)級技(jì)術(shù)和(hé)資源背景的黑(hēi)客攻擊,微軟其實已經在 2020 版《數(shù)字防禦報告》中有(yǒu)所預料。雖然截止目前,微軟尚未在相關調查中發現自家(jiā)産品或雲服務有(yǒu)漏洞被利用,但(dàn)該公司還(hái)是在一篇博客文章中發出了提醒,希望客戶能夠采取切實有(yǒu)效重要步驟,以防其成為(wèi)此類網絡攻擊的受害者。
微軟在文中列出了惡意代理(lǐ)開(kāi)展複雜網絡攻擊的一些(xiē)技(jì)術(shù)細節,比如通(tōng)過 SolarWindsOrion 産品中的惡意代碼實施入侵。若被攻擊者得(de)逞,後續黑(hēi)客可(kě)能以此為(wèi)跳(tiào)闆,在網絡中獲得(de)更高(gāo)的權限。
其次,攻擊者或利用本地竊取的管理(lǐ)員權限,獲得(de)對機構內(nèi)受信任 SAML 簽名證書(shū)的訪問權限。然後通(tōng)過僞造 SAML 令牌,假扮組織內(nèi)任何現有(yǒu)用戶的賬戶,甚至染指特權較高(gāo)的賬戶。
為(wèi)應對此類異常登錄,建議客戶在網絡系統上(shàng)進行(xíng)适當的安全配置,以區(qū)分訪問本地或雲端任何資源的可(kě)信證書(shū)。由于 SAML 令牌使用了自簽名證書(shū),組織內(nèi)很(hěn)可(kě)能會(huì)忽視(shì)掉這部分異常。
利用上(shàng)述或其它技(jì)術(shù)獲得(de)了搞特權賬戶的訪問權限之後,攻擊者還(hái)可(kě)将自己的登錄憑證添加到現有(yǒu)的應用程序服務主體(tǐ)中,從而使之獲得(de)相關應用程序的權限調用 API 。
至于 COVID-19 大(dà)流行(xíng)期間(jiān)的完整事件分析、以及社區(qū)對網絡安全的态度等問題,微軟将在完整版的 2020 數(shù)字防禦報告中進行(xíng)闡述。
轉自今日頭條/cnBeta
