Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

不良的身分安全機制是 Microsoft 遭遇民族主義國家攻擊的原因

不良的身分安全機制是 Microsoft 遭遇民族主義國家攻擊的原因

Microsoft 遭遇的這起最新入侵事件再次顯示,光靠偵測與回應便是不夠的。由於攻擊幾乎都歸結於單一個疏於管理的使用者和權限,因此對於企業來說,擁有強大的預防性安全措施至關重要。

Microsoft 在 1 月 19 日宣布該公司因一個稱為 Midnight Blizzard 的民族主義威脅行動者透過 Entra ID (前稱 Azure AD) 進行入侵。 Microsoft 分享了有關此攻擊的資訊,包括戰術、技巧和程序 (TTP),以及它們對應變人員提供的指引。 公司行號可能會對某個攻擊的特定詳細資訊故意含糊其辭,以維護其內部環境的機密性,以及將攻擊對該公司商譽的傷害減至最低。不過,Microsoft 卻提供了一些詳細的資訊,來協助大眾瞭解 Midnight Blizzard 刺探利用了哪些部份來入侵 Microsoft 的企業環境。

這起入侵事件突顯的是企業需要更良好的預防性安全作為,才能減少因身分安全機制不良而造成的風險。疏於管理的身分、過度授權以及錯誤設定皆會帶來嚴重的後果,即使是擁有複雜的偵測與回應工具及功能,也不足以阻擋。Tenable Identity Exposure 能找出此類攻擊可能會刺探利用的弱點,包括:

  • 缺乏多重因素驗證 (MFA) 偵測功能
  • 危險的 API 權限
  • 管理員帳號分析

讓我們快速回顧一下發生了什麼事。

雖然 Microsoft 的公告概略描述了此攻擊的許多不同步驟,此攻擊還是刺探利用了一些非常常見的脆弱環節,包括:不良的密碼安全機制、缺少 MFA、過度授權、以及具有特殊權限的 Entra 角色。

這起攻擊一開始的存取階段只是一個簡單的密碼噴濺,這是一種威脅行動者用來鎖定具有脆弱密碼或已遭入侵密碼的身分之攻擊技巧。一開始的攻擊鎖定非生產環境,而 Midnight Blizzard 在這個階段採取了非常謹慎的步驟來避免被偵測到。正如 Microsoft 解釋道:「攻擊行動者針對少部分帳號量身訂做了他們的密碼噴濺攻擊,利用不多的嘗試次數來迴避偵測 (...中略) 從一個分散式常駐代理伺服器基礎架構 (...中略)對沒有啟用多重因素驗證的帳號進一步發動這些攻擊。

雖然帳號可能只是用於非生產環境,但在帳號上啟用 MFA 應該就能防止密碼噴濺攻擊達成其終極目標。至少也會讓密碼噴濺更難成功得逞,而變得更容易被偵測到。

接著,攻擊者透過刺探利用 Graph API 的過度授權從測試環境轉向企業的生產環境。雖然該應用程式是在 Microsoft 的測試租用戶中註冊的,但其相應的身分卻擁有其企業生產環境租用戶的危險 Graph API 權限。

在過去兩個月當中,攻擊者從 Microsoft 的重要高階主管取得了信箱的存取權。

該刺探利用讓威脅行動者入侵了應用程式註冊並透過相應的服務身分移動至生產環境的租用戶。在取得 Microsoft 企業環境的存取權之後,他們最終得以許可他們所建立的惡意應用程式 Office 365 Exchange Online 的「full_access_as_app」API 權限,讓它們在過去兩個月當中,取得重要高階主管的信箱存取權。

API 權限通常會允許解碼十分複雜的衍生性分支存取權,而 Microsoft Graph API 就是以難以瞭解聞名。這也很可能是 Microsoft 會讓自己淪為此複雜性的受害者的原因。這種身分安全機制的缺乏顯然是威脅執行者用來滲透 Microsoft 生產環境並取得公司機密通訊的原因。

為了明智地執行修復工作並且在攻擊發生之前減少攻擊破綻,無庸置疑,我們需要不間斷地評估和瞭解身分風險。雖然 Microsoft 提供了許多工具和服務來偵測和中斷攻擊,工於心計的入侵行動經常還是能利用單一個帳號或權限中的小小疏失達到目的。預防性地減少身分攻擊破綻的挑戰卻因其不斷改變的特性以及必須持續驗證風險而難上加難。

Tenable Identity Exposure 能持續驗證 Microsoft 身分系統的安全態勢,以及排定有風險的身分、權限和設定的優先順序,以便立即減少攻擊破綻。

Tenable 提供了 4 種特定的曝險指標 (IoE) 來協助預防這類攻擊。其中,有兩種身分曝險 IoE 能讓客戶找出因缺少 MFA (多重因素驗證) 而暴露在風險之中的帳號。這些 IoE 能發現沒有註冊任何 MFA 方法的 Microsoft Entra ID 帳號,而這些帳號通常會在密碼噴濺攻擊中遭到刺探利用:

Tenable Identity Exposure 還有兩種能發現及分析危險 Microsoft Entra 角色與 Microsoft Graph API 權限的 IoE,如此一來,客戶就能在攻擊發生之前消除這些攻擊媒介:

利用這些功能,Tenable Identity Exposure 就能持續驗證 Microsoft 身分系統中多個非常關鍵但經常被輕忽的層面。Tenable 也能發現風險最高的身分,並提供修復的逐步指引。Midnight Blizzard 採用的戰術是 Tenable Identity Exposure 能協助消除的身分風險和攻擊路徑、以預防攻擊得手的主要範例。

如欲深入瞭解 Tenable Identity Exposure 如何協助減少您 Microsoft 身分環境攻擊破綻的方法,歡迎申請示範或下載我們的 Tenable Identity Exposure 產品說明

相關文章

您可以使用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練