Ataques SVR en Microsoft 365


Ataques SVR en Microsoft 365

FireEye es reportando las tácticas conocidas actuales que utilizó SVR para comprometer los datos en la nube de Microsoft 365 como parte de su operación SolarWinds:

Mandiant ha observado que UNC2452 y otros actores de amenazas se mueven lateralmente a la nube de Microsoft 365 mediante una combinación de cuatro técnicas principales:

  • Robar el certificado de firma de tokens de los Servicios de federación de Energetic Directory (Advert FS) y usarlo para falsificar tokens para usuarios arbitrarios (a veces descrito como SAML dorado). Esto permitiría al atacante autenticarse en un proveedor de recursos federado (como Microsoft 365) como cualquier usuario, sin la necesidad de la contraseña de ese usuario o su correspondiente mecanismo de autenticación multifactor (MFA).
  • Modifique o agregue dominios de confianza en Azure Advertisement para agregar un nuevo proveedor de identidad (IdP) federado que controla el atacante. Esto permitiría al atacante falsificar tokens para usuarios arbitrarios y se ha descrito como un Azure Ad puerta trasera.
  • Ponga en peligro las credenciales de las cuentas de usuario locales que están sincronizadas con Microsoft 365 que tienen roles de directorio con muchos privilegios, como Administrador world-wide o Administrador de aplicaciones.
  • Puerta trasera una aplicación de Microsoft 365 existente agregando una nueva aplicación o credencial de entidad de servicio para usar los permisos legítimos asignados a la aplicación, como la capacidad de leer correo electrónico, enviar correo electrónico como un usuario arbitrario, acceder a calendarios de usuario, and many others.

Muchos detalles aquí, incluida información sobre remediación y endurecimiento.

Cuanto más aprendemos sobre esta operación, más sofisticada se vuelve.

En noticias relacionadas, MalwareBytes fue también apuntado.

Publicado el 21 de enero de 2021 a las 6:31 AM •
comentarios

Foto de la barra lateral de Bruce Schneier por Joe MacInnis.



Enlace a la noticia authentic