援引路透社的报道称,黑客滥用微软的Microsoft365平台监控美国财政部数月之久。作为回应,微软今天发布了针对IT管理员的指南,以帮助他们发现和缓解潜在的恶意活动。但是,微软否认其云服务受到损害。声明说:“我们还想向所有客户澄清,在这些调查中,我们没有在任何微软产品和云服务中发现漏洞。”不过,微软强调,它正在对政府和私人公司进行大规模调查。并警告安全人员注意通过SolarWindsOrion产品中的恶意代码进行入侵的迹象,这些恶意代码允许攻击者在网络中获得立足点,攻击者可以利用该网络获得更高的凭据。MicrosoftDefender现在可以检测到这些文件。另请参阅SolarWinds安全公告。伪造的SAML令牌入侵者使用通过本地妥协获得的管理权限来访问组织的可信SAML令牌签名证书。这允许他们伪造SAML令牌来冒充组织的任何现有用户和帐户,包括高特权帐户。使用通过受损令牌签名证书创建的SAML令牌的异常登录,这些证书被配置为与任何本地资源(无论身份系统或提供商)以及任何云环境(无论提供商)一起工作信任该证书。由于SAML令牌是使用其自己的可信证书签名的,因此组织可能会错过异常。获取高权限帐户使用通过上述技术或其他方式获取的高权限帐户,攻击者可以将他们自己的凭据添加到现有应用程序服务主体,从而允许他们使用分配给该应用程序的权限调用API。
