聲明：該文章由作者（??果兒）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

在本周三發(fā)布的最新白皮書中，F(xiàn)ireEye警告說，SolarWinds供應(yīng)鏈攻擊中，黑客（美國情報服務(wù)和計算機安全機構(gòu)認定是俄羅斯國家黑客組織）專門針對兩類人：能夠訪問高級信息的人和系統(tǒng)管理員。

該報告介紹了黑客使用的四種“主要技術(shù)”：

• 竊取Active Directory聯(lián)合身份驗證服務(wù)（AD FS）令牌簽名證書，并使用它為任意用戶偽造令牌，從而繞過各種身份驗證要求。
• 在Azure AD中修改或添加受信任的域，以添加由攻擊者控制的新的聯(lián)合身份提供程序（IdP）在網(wǎng)絡(luò)上創(chuàng)建后門。
• 入侵與Microsoft 365同步的高特權(quán)本地用戶賬戶（例如，全局管理員或應(yīng)用程序管理員）。
• 通過添加新的應(yīng)用程序或服務(wù)主體賬戶來對現(xiàn)有的Microsoft 365應(yīng)用程序進行后門操作，以便使用分配給該應(yīng)用程序的合法權(quán)限，例如能夠讀取電子郵件，以任意用戶身份發(fā)送電子郵件、訪問用戶日歷等。

至于緩解措施，F(xiàn)ireEye廣泛建議，審查所有系統(tǒng)管理員賬戶，特別是查看是否有任何“已配置或添加到特定服務(wù)主體的賬戶”并刪除它們，然后搜索可疑的應(yīng)用程序憑據(jù)并將其刪除。該公司還在GitHub上發(fā)布了一個名為“Azure AD調(diào)查器”的免費檢測工具（https://github.com/fireeye/Mandiant-Azure-AD-Investigator），該工具能夠檢測企業(yè)網(wǎng)絡(luò)是否被SolarWinds Orion的后門軟件入侵。

參考資料

Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452：

https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/