[编者按:独立安全顾问克里斯托弗·巴德此前在微软安全响应中心工作了10年。
分析:要了解“太阳风”攻击者下一步要去哪里,以及如何防御它们,请看看云层。
太阳风公司对供应链的攻击在很多方面都是前所未有的。这些攻击执行复杂,范围广泛,效果惊人。但也许最值得注意的是,太阳风攻击者似乎以前所未有的方式寻求访问基于云的服务,这是他们的主要目标之一。
随着新的报告澄清上周早期事故报告中被技术术语混淆的信息,这一点变得越来越清晰。
周一,《纽约时报》报道“侵入美国政府机构的俄罗斯黑客侵入了财政部最高领导层使用的电子邮件系统。”在此之前路透社12月13日报道他说:“黑客入侵了国家电信和信息管理局(NTIA)的办公软件——微软的office 365。消息人士称,该机构员工的电子邮件被黑客监控了数月。
这些报告,结合微软和美国国家安全局(NSA)在过去一周发布的技术细节,显示了SolarWinds攻击者如何将基于云的服务作为攻击的关键目标。具体来说,如果我们解码各种报告并将这些点连接起来,我们可以看到SolarWinds攻击者已经瞄准了受损网络上的认证系统,这样他们就可以登录到基于云的服务,如微软Office 365而不发出警报。更糟糕的是,他们这样做的方式可能会被用来访问一个组织的许多(如果不是全部)基于云的服务。
这告诉我们,攻击者已经调整了他们的攻击方法,以匹配许多组织现在拥有的混合内部部署/云环境。这意味着应对“太阳风”攻击的人员不仅需要检查他们的系统和网络,还需要检查他们的云服务,以寻找被入侵的证据。这也意味着防御者需要从现在开始加强对云服务认证系统和基础设施的安全性和监控。
我们将在下面探讨技术细节,以下是关键要点:
- SolarWinds攻击者在网络上站稳脚跟后采取的关键行动之一是针对发布云服务使用的身份证明的系统,并窃取发布id的手段。
- 一旦他们有了这个,他们就可以用它来创建假id,使攻击者能够冒充合法用户或创建看起来合法的恶意帐户,包括具有管理(即完全)访问权限的帐户。
- 由于这些id被用于通过基于云的服务访问数据和服务,因此攻击者能够像合法用户(包括完全访问权限的用户)一样访问数据和电子邮件,而且他们确实这样做了。
太阳风攻击者很有可能就是这样进入财政部和NTIA的电子邮件系统的:他们利用网络妥协来访问基于云的服务。事实上,微软发布的一篇关于太阳风攻击的帖子谈到“保护Microsoft 365免受本地攻击”这实际上意味着,“如何防止您的网络妥协也变成云服务妥协。”
什么是SAML ?为什么它很重要?
要理解太阳风攻击的这一方面,了解SAML代表“安全断言标记语言这是一种用于云服务的身份验证(即登录)方法。“SAML令牌”是对服务的实际“证明”,证明您就是您所说的那个人。
云或认证技术的专家不会对财政部或NTIA的进展感到惊讶:微软在12月13日的两份声明中都明确表示了这一点:最近国家网络攻击的客户指南"和"客户保护自己免受最近国家网络攻击的重要步骤这两个帖子的措辞相似:
- 入侵者“使用通过内部攻击获得的管理权限来访问组织的全局管理员帐户和/或受信任的SAML令牌签名证书。这使参与者能够伪造SAML令牌,模拟组织的任何现有用户和帐户,包括高度特权帐户。”
- 使用受损害的令牌签名证书创建的SAML令牌可以对任何本地资源(无论身份系统或供应商)以及任何云环境(无论供应商)进行异常登录,因为它们已被配置为信任证书。yb体育正式官网首页因为SAML令牌是用它们自己的可信证书签名的,所以组织可能会遗漏异常情况。”
随后,微软发布了一系列博客文章,讨论SolarWinds攻击、SAML和身份识别技术(12月15日;12月18日;12月21日;而且12月21日).
与此同时,12月18日,美国国家安全局发布了一项关于“检测身份验证机制的滥用。“虽然没有具体回应太阳风的攻击,但它讨论了SAML攻击,并将太阳风的攻击放在了这些攻击的背景下,这些攻击自2017年以来一直存在。
这些信息分散在所有这些帖子中,但它们共同表明:
- SolarWinds攻击者在网络上站稳脚跟后采取的关键行动之一是“从联合服务器(ADFS)[窃取]签名SAML令牌的证书,称为令牌签名证书(TSC)。“(源]
- 一旦他们拥有了这一点,它就允许他们“伪造SAML令牌来模拟组织的任何现有用户和帐户,包括高度特权帐户。“(源]
- 因为“数据访问依赖于利用铸造的SAML令牌来访问用户文件/电子邮件,或通过使用添加的凭证进行身份验证和获取访问令牌来模拟应用程序或服务主体……参与者定期从VPS提供商的服务器连接,使用授予模拟应用程序或服务主体的权限访问特定用户的电子邮件。”“(源]
这是什么意思?
对于安全专业人士来说,这里没有什么新鲜或令人惊讶的:完全访问网络意味着你可以对它做任何你想做的事情。此外,美国国家安全局的文件指出,自2017年以来就出现了这些攻击。但这是第一次针对基于云的身份验证机制的大规模可见性攻击。再加上这些报告中的技术术语,意味着许多人还没有把这些点联系起来。
这方面的一些讨论一直不清楚,这也没有什么帮助。一些报告指出,在财政部或NTIA的电子邮件入侵中,存在影响微软产品或服务的漏洞。我问微软是否涉及任何漏洞,他们回答说:“在这些调查中,我们没有发现任何微软产品或云服务漏洞。一旦进入网络,入侵者就会使用立足点获得特权,并使用该特权获得访问权限。”
美国国家安全局也谈到了这一点,称“在滥用联邦身份验证时,行为者并没有利用[微软身份验证技术]ADFS、AD或AAD中的漏洞,而是滥用了在集成组件之间建立的信任。”这与我所概述的一致:拥有你的网络的攻击者不需要一个漏洞来访问你的基于云的服务;他们已经拥有了实现这一目标所需要的一切。
虽然讨论的重点是微软的云服务,但到目前为止,没有信息表明这些攻击只会发生在微软的产品或服务上。SAML是一种开放标准,由微软以外的供应商广泛提供,并被非微软基于云的服务使用。未来针对云服务的SolarWinds攻击和此类基于saml的攻击可能涉及非微软saml提供商和云服务提供商。
下一个步骤
考虑到所有这些因素,人们下一步应该采取什么措施呢?
首先,如果您的组织在您的网络上有被泄露的SolarWinds文件,那么您的事件响应过程需要包括检查您的基于云的服务的身份验证系统是否可能被泄露。如果你不能排除它已经被泄露的可能性,你就需要验证这些服务的完整性。
接下来,每个使用基于云的服务的人都需要非常认真地对待NSA的指令,并优先增加其基于云的服务认证机制的安全性和监控。
最后,准备好听到更多组织的基于云的服务被太阳风攻击的一部分。这是我们所见过的规模最大、范围最广的袭击。因此,这种情况需要几个月,如果不是几年,才能完全解决。
