通过SolarWinds Orion产品中的恶意代码入侵。这导致攻击者获得了网络中的立足点,攻击者可以使用该立足点来获得更高的凭据。
Microsoft Defender现在可以检测到这些文件。另请参见SolarWinds安全公告。
入侵者使用通过本地折衷获得的管理权限来访问组织的受信任的SAML令牌签名证书。这样一来,他们就可以伪造SAML令牌,以模拟组织的任何现有用户和帐户,包括特权较高的帐户。
使用由受损的令牌签名证书创建的SAML令牌进行的异常登录,由于已对其进行了配置,因此可以将其用于任何本地资源(无论身份系统或供应商如何)以及任何云环境(无论供应商如何)信任证书。由于SAML令牌是使用其自己的受信任证书签名的,因此组织可能会遗漏异常。
使用通过上述技术或其他方式获得的高特权帐户,攻击者可以将自己的凭据添加到现有的应用程序服务主体,从而使他们能够使用分配给该应用程序的权限来调用API。
尽管以上是微软在本篇文章中提到的重点,但该公司的《 2020年数字防御报告》将进一步深入讨论特定犯罪集团,其在COVID-19大流行期间的活动以及针对网络安全的社区方法。
即使Microsoft试图成为网络安全的所有者,该公司也承认,其努力只是“应对挑战所需的一小部分。”
uc电脑园提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。
浏览次数 28759
浏览次数 10632
浏览次数 8952
浏览次数 8110
浏览次数 5227
未知的网友