[ad_1]

یکی از مهمترین جنبه حمله هکری اخیر روسیه ، که سازمانهای متعدد دولت آمریكا را از جمله اهداف دیگر مختل كرد ، استفاده موفقیت آمیز از “حمله زنجیره تأمین” برای به دست آوردن دهها هزار هدف بالقوه از سازش در خدمات فناوری اطلاعات SolarWinds. اما این تنها ویژگی بارز حمله نبود. پس از این پشتیبانی اولیه ، مهاجمان با استراتژی های ساده و ظریف عمیق تری در شبکه قربانیان خود فرو بردند. محققان در حال آماده سازی برای افزایش محبوبیت در میان نسخه نویسان هستند ، با استفاده از استراتژی های ساده و ظریف پس از دستیابی به دسترسی اولیه از طریق SolarWinds ، در اهداف انتخاب شده خود عمیق تر می شوند. محققان اکنون در حال آماده سازی برای افزایش این تکنیک ها از دیگر مهاجمان هستند.

هکرهای SolarWinds در بسیاری از مواقع از دسترسی خود برای نفوذ به خدمات الکترونیکی قربانیان ، Microsoft 365 و زیرساخت Microsoft Azure Cloud ، هر دو گنجینه داده های بالقوه حساس و ارزشمند استفاده کردند. چالش جلوگیری از این نوع نفوذها در Microsoft 365 و Azure این است که به آسیب پذیری های خاصی که به سادگی قابل رفع هستند بستگی ندارد. در عوض ، هکرها از حمله اولیه استفاده می کنند که به آنها موقعیت می دهد تا Microsoft 365 و Azure را به طریقی که به نظر قانونی می رسد دستکاری کنند. در این مورد با تأثیر بسیار.

متیو مک ویرت ، مدیر Mandiant Fireeye ، که برای اولین بار در اوایل دسامبر کمپین روسیه را شناسایی کرد ، گفت: “اکنون بازیگران دیگری نیز وجود دارند كه بدیهی است این فنون را به كار می گیرند زیرا آنچه را كه نتیجه می دهد دنبال می كنند.”

در یک هجوم اخیر ، هکرها محصول SolarWinds ، Orion را به خطر انداختند و به روزرسانی های هدفمندی را توزیع کردند که از مهاجمان در شبکه هر مشتری SolarWinds که این مشکل مخرب را بارگیری می کند پشتیبانی می کند. از آنجا ، مهاجمان می توانند با استفاده از امتیازات تازه کشف شده خود در سیستم های قربانی ، گواهینامه ها و کلیدهایی را که برای تولید نشانه های تأیید اعتبار سیستم ، معروف به نشانه های SAML استفاده می شوند ، برای Microsoft 365 و Azure کنترل کنند. سازمان ها این زیرساخت تأیید اعتبار را به صورت محلی ، نه در ابر ، از طریق م Microsoftلفه مایکروسافت به نام Active Directory Federal Services مدیریت می کنند.

هنگامی که یک مهاجم از امتیازات شبکه برای دستکاری در این طرح احراز هویت برخوردار است ، می تواند نشانه های قانونی برای دسترسی به هر یک از حسابهای Microsoft 365 و Azure سازمان بدون نیاز به گذرواژه یا تأیید اعتبار چند عاملی ایجاد کند. از آنجا ، مهاجمان همچنین می توانند حساب های جدید ایجاد کنند و امتیازات بالایی را که برای رومینگ رایگان نیاز است بدون بالا بردن پرچم قرمز تأمین کنند.

مایکروسافت در ماه دسامبر در یک وبلاگ گفت: “ما معتقدیم که بسیار مهم است که دولت ها و بخش خصوصی درمورد اقدامات دولت-ملت شفاف سازی کنند تا همه ما بتوانیم گفتگوی جهانی را برای محافظت از اینترنت ادامه دهیم.” ، که این تکنیک ها را به هکرهای SolarWinds پیوند می دهد. “ما همچنین امیدواریم که انتشار این اطلاعات به افزایش آگاهی سازمان ها و مردم در مورد گام هایی که می توانند برای محافظت از خود بردارند کمک کند.”

آژانس امنیت ملی همچنین در گزارشی در ماه دسامبر این فنون را به تفصیل شرح داد.

NSA نوشت: “این بسیار مهم است که وقتی محصولات معتبر را اجرا می کنید ، سرور و کلیه سرویس های وابسته به آن برای عملکرد ایمن و یکپارچه سازی به درستی پیکربندی شوند.” “در غیر این صورت ، نشانه های SAML که دسترسی به منابع مختلف را فراهم می کنند ممکن است جعل شود.”

از آن زمان ، مایکروسافت ابزار نظارت خود را در Azure Sentinel گسترش داده است. و Mandiant همچنین ابزاری را راه اندازی می کند که اگر گروهی با تولید رمزهای تأیید Azure و Microsoft 365 خود میمون را با نمایش اطلاعات مربوط به گواهینامه ها و حساب های جدید ، به راحتی برای گروه ها قضاوت کنند ، باعث می شود.

اکنون که این تکنیک ها بسیار علنی شده اند ، سازمان های بیشتری می توانند به دنبال چنین فعالیت های مخربی باشند. اما دستکاری نشانه های SAML تقریباً برای همه کاربران ابر ، نه فقط برای کاربران Azure یک خطر است ، همانطور که برخی محققان سال ها هشدار داده اند. در سال 2017 ، Shaked Reiner ، محقق شرکت امنیت شرکت CyberArk ، یافته هایی را در مورد تکنیکی به نام GoldenSAML منتشر کرد. وی حتی مدرکی از ابزار مفهومی ساخت که متخصصان امنیتی می توانند با استفاده از آن مشتریان را مستعد ابتلا به دستکاری در نشانه های SAML کنند.

[ad_2]

منبع: sadeh-news.ir

ایندکسر