Microsoft最近宣布,Solarwinds攻击者已查看其Windows源代码。(正常,只有关键的政府客户和信任的合作伙伴只有这一窗口所做的“东西”的访问程度。)攻击者能够阅读 - 但不会改变 - 软件秘密酱,提高微软客户的问题和疑虑。这是否意味着,也许是,攻击者可以将回门进程注入微软的更新进程中
首先,在Solarwinds攻击中有一点背景,也称为Solorion:攻击者进入远程管理/监控工具公司,并能够将自己注入开发过程并构建后门。当通过SolarWinds设置的正常更新进程更新软件时,后卫软件部署到客户系统 - 包括众多美国政府机构。然后,攻击者能够默默地默默地盯着这些客户的几个活动。
其中一个攻击者的技术是伪造令牌进行身份验证,以便域系统认为它在获得合法的用户凭证时,实际上凭据被伪造。安全断言标记语言(SAML)定期用于安全地在系统之间牢固地传输凭据。虽然此单一登录过程可以为应用程序提供额外的安全性,但在此处展示,它可以允许攻击者获得对系统的访问权限。攻击过程称为“Golden SAML”攻击载体“涉及攻击者首先获得对组织的Active Directory联合服务(ADF)服务器的管理访问,并窃取必要的私钥和签名证书。”这允许持续访问此凭据,直到ADFS私钥无效并替换。
目前据称,攻击者在3月和6月20日之间的更新软件中,尽管各种组织的迹象,但他们可能已经在2019年10月静静地攻击地点。
微软进一步调查,发现攻击者无法将自己注入Microsoft的ADFS / SAML基础架构,“一个帐户已被用于在许多源代码存储库中查看源代码。该帐户没有修改任何代码或工程系统的权限,我们的调查进一步证实了未进行任何变化。“这不是Microso Microso Microso Microso Microsoft的源代码已被攻击或泄露给Web。2004年,从Windows NT到Windows 2000的30,000个文件通过第三方泄露到Web上。据报道,Windows XP去年在线泄露。
虽然它是不可思议的说明Microsoft更新过程永远不会有一个后门,但我继续相信Microsoft更新过程本身 - 即使我不信任他们出来的那一刻。Microsoft更新过程取决于必须匹配的代码签名证书,或者系统不会安装更新。即使在Windows 10中使用称为传递优化的分布式补丁进程,系统也将获取来自网络上的其他计算机的斑点和片段 - 甚至通过网络之外的其他计算机 - 并通过匹配来重新编译整个修补程序签名。此过程可确保您可以从任何地方获取更新 - 不一定来自Microsoft - 并且您的计算机将检查以确保修补程序有效。
有时间截获了。2012年,火焰恶意软件使用了被盗的签名证书来使其看起来好像它来自Microsoft,以允许安装恶意代码。但微软撤消了该证书并提高了签名过程的安全性,以确保关闭攻击载体。
微软的政策是假设其源代码和网络已经受到损害,因此它具有“假设违规”哲学。因此,当我们获得安全更新时,我们不仅会收到我们所知道的修复;我经常会看到模糊的引用,以帮助用户前进的额外的硬化和安全功能。采取例如KB4592438。12月份发布了20H2,它包括在使用Microsoft Edge遗留和Microsoft Office产品时提高安全性的更新的模糊参考。虽然每个月的大多数安全更新都具体修复声明的漏洞,但也有零件可以更加努力,以便攻击者使用已知的邪恶结束的技术。
功能释放通常是操作系统的支持安全性,尽管一些保护授权企业Microsoft 365许可证,称为“E5”许可证。但您仍然可以使用高级保护技术,但使用手动注册表项或通过编辑组策略设置。一个这样的示例是设计用于攻击表面减少的一组安全设置;您可以使用各种设置来阻止系统上发生的恶意操作。
但是(这是一个巨大的但是),设置这些规则意味着您需要成为高级用户。Microsoft考虑这些功能对于企业和企业来说,并因此不会在易于使用的界面中公开设置。如果您是高级用户并希望查看这些攻击表面减少规则,我的建议是使用名为ASR规则POSH GUI的PowerShell图形用户界面工具来设置规则。首先将规则设置为“审核”而不是启用它们,以便首先查看对系统的影响。
您可以从GitHub网站下载GUI,您将看到列出的这些规则。(注意,您需要以管理员身份运行:鼠标鼠标右键单击下载的.exe文件,然后单击以管理员身份运行。)在Solarwinds攻击中的出色继续展开时,它并不是一个不好的方法。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。