不良的身分安全機制是 Microsoft 遭遇民族主義國家攻擊的原因
Microsoft 遭遇的這起最新入侵事件再次顯示,光靠偵測與回應便是不夠的。由於攻擊幾乎都歸結於單一個疏於管理的使用者和權限,因此對於企業來說,擁有強大的預防性安全措施至關重要。
Microsoft 在 1 月 19 日宣布該公司因一個稱為 Midnight Blizzard 的民族主義威脅行動者透過 Entra ID (前稱 Azure AD) 進行入侵。 Microsoft 分享了有關此攻擊的資訊,包括戰術、技巧和程序 (TTP),以及它們對應變人員提供的指引。 公司行號可能會對某個攻擊的特定詳細資訊故意含糊其辭,以維護其內部環境的機密性,以及將攻擊對該公司商譽的傷害減至最低。不過,Microsoft 卻提供了一些詳細的資訊,來協助大眾瞭解 Midnight Blizzard 刺探利用了哪些部份來入侵 Microsoft 的企業環境。
這起入侵事件突顯的是企業需要更良好的預防性安全作為,才能減少因身分安全機制不良而造成的風險。疏於管理的身分、過度授權以及錯誤設定皆會帶來嚴重的後果,即使是擁有複雜的偵測與回應工具及功能,也不足以阻擋。Tenable Identity Exposure 能找出此類攻擊可能會刺探利用的弱點,包括:
- 缺乏多重因素驗證 (MFA) 偵測功能
- 危險的 API 權限
- 管理員帳號分析
讓我們快速回顧一下發生了什麼事。
雖然 Microsoft 的公告概略描述了此攻擊的許多不同步驟,此攻擊還是刺探利用了一些非常常見的脆弱環節,包括:不良的密碼安全機制、缺少 MFA、過度授權、以及具有特殊權限的 Entra 角色。
這起攻擊一開始的存取階段只是一個簡單的密碼噴濺,這是一種威脅行動者用來鎖定具有脆弱密碼或已遭入侵密碼的身分之攻擊技巧。一開始的攻擊鎖定非生產環境,而 Midnight Blizzard 在這個階段採取了非常謹慎的步驟來避免被偵測到。正如 Microsoft 解釋道:「攻擊行動者針對少部分帳號量身訂做了他們的密碼噴濺攻擊,利用不多的嘗試次數來迴避偵測 (...中略) 從一個分散式常駐代理伺服器基礎架構 (...中略)對沒有啟用多重因素驗證的帳號進一步發動這些攻擊。
雖然帳號可能只是用於非生產環境,但在帳號上啟用 MFA 應該就能防止密碼噴濺攻擊達成其終極目標。至少也會讓密碼噴濺更難成功得逞,而變得更容易被偵測到。
接著,攻擊者透過刺探利用 Graph API 的過度授權從測試環境轉向企業的生產環境。雖然該應用程式是在 Microsoft 的測試租用戶中註冊的,但其相應的身分卻擁有其企業生產環境租用戶的危險 Graph API 權限。
在過去兩個月當中,攻擊者從 Microsoft 的重要高階主管取得了信箱的存取權。
該刺探利用讓威脅行動者入侵了應用程式註冊並透過相應的服務身分移動至生產環境的租用戶。在取得 Microsoft 企業環境的存取權之後,他們最終得以許可他們所建立的惡意應用程式 Office 365 Exchange Online 的「full_access_as_app」API 權限,讓它們在過去兩個月當中,取得重要高階主管的信箱存取權。
API 權限通常會允許解碼十分複雜的衍生性分支存取權,而 Microsoft Graph API 就是以難以瞭解聞名。這也很可能是 Microsoft 會讓自己淪為此複雜性的受害者的原因。這種身分安全機制的缺乏顯然是威脅執行者用來滲透 Microsoft 生產環境並取得公司機密通訊的原因。
為了明智地執行修復工作並且在攻擊發生之前減少攻擊破綻,無庸置疑,我們需要不間斷地評估和瞭解身分風險。雖然 Microsoft 提供了許多工具和服務來偵測和中斷攻擊,工於心計的入侵行動經常還是能利用單一個帳號或權限中的小小疏失達到目的。預防性地減少身分攻擊破綻的挑戰卻因其不斷改變的特性以及必須持續驗證風險而難上加難。
Tenable Identity Exposure 能持續驗證 Microsoft 身分系統的安全態勢,以及排定有風險的身分、權限和設定的優先順序,以便立即減少攻擊破綻。
Tenable 提供了 4 種特定的曝險指標 (IoE) 來協助預防這類攻擊。其中,有兩種身分曝險 IoE 能讓客戶找出因缺少 MFA (多重因素驗證) 而暴露在風險之中的帳號。這些 IoE 能發現沒有註冊任何 MFA 方法的 Microsoft Entra ID 帳號,而這些帳號通常會在密碼噴濺攻擊中遭到刺探利用:
Tenable Identity Exposure 還有兩種能發現及分析危險 Microsoft Entra 角色與 Microsoft Graph API 權限的 IoE,如此一來,客戶就能在攻擊發生之前消除這些攻擊媒介:
利用這些功能,Tenable Identity Exposure 就能持續驗證 Microsoft 身分系統中多個非常關鍵但經常被輕忽的層面。Tenable 也能發現風險最高的身分,並提供修復的逐步指引。Midnight Blizzard 採用的戰術是 Tenable Identity Exposure 能協助消除的身分風險和攻擊路徑、以預防攻擊得手的主要範例。
如欲深入瞭解 Tenable Identity Exposure 如何協助減少您 Microsoft 身分環境攻擊破綻的方法,歡迎申請示範或下載我們的 Tenable Identity Exposure 產品說明。
相關文章
Cybersecurity Snapshot: CISA Shines Light on Cloud Security and on Hybrid IAM Systems’ Integration
March 15, 2024Check out CISA’s latest best practices for protecting cloud environments, and for securely integrating on-prem and cloud IAM systems. Plus, catch up on the ongoing Midnight Blizzard attack against Microsoft. And don’t miss the latest CIS Benchmarks. And much more!
Cybersecurity Snapshot: What’s in Store for 2024 in Cyberland? Check Out Tenable Experts’ Predictions for OT Security, AI, Cloud Security, IAM and more
December 29, 2023The new year is upon us, and so we ponder the question: What cybersecurity trends will shape 2024? To find out, we asked Tenable experts to read the tea leaves. Their 2024 forecasts include: A bigger security role for cloud architects; a focus by ransomware gangs on OT systems in critical industries; an intensification of IAM attacks; and much more!
Identities: The Connective Tissue for Security in the Cloud
November 27, 2023Almost everything in the cloud is one excess privilege or misconfiguration away from exposure. Proper cloud posture and entitlement management can help mitigate risk and eliminate toxic combinations.
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Active Directory
- Active Directory