米国国家安全保障局は、ローカル ネットワークからクラウド インフラストラクチャに攻撃を拡大するために最近の攻撃で悪用された 2 つの手法について説明しています。
米国家安全保障局は木曜日、安全保障勧告を発表し、次の2つの問題について警告した。 ハッカーが侵害されたローカル ネットワークからクラウド ベースにアクセスをエスカレートするために使用している手法 インフラストラクチャー。
ZDNET おすすめ
最高のセキュリティキー
堅牢なパスワードは貴重なオンライン アカウントを保護するのに役立ちますが、ハードウェア ベースの 2 要素認証はそのセキュリティを次のレベルに引き上げます。
今すぐ読むこの勧告は大規模な計画に続いて行われた SolarWindsのサプライチェーンハッキング この攻撃は、いくつかの米国政府機関、セキュリティ会社 FireEye を襲い、そして最近では、 マイクロソフト.
また: 最高のVPN
NSAは勧告の中でSolarWindsハッキングについて具体的に言及していないが、文書に記載されている両方の技術が悪用されているのも発見されている。 SolarWinds ハッカーは、勧告に従って、最初にトロイの木馬化した SolarWinds Orion アプリ経由でローカル ネットワークにアクセスした後、クラウド リソースへのアクセスをエスカレートします から ファイアアイ, マイクロソフト、 そして CISA (米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁)。
NSA のメッセージを歪曲しないように、2 つの手法に関する詳細を NSA の勧告から直接引用します。
「最初の [手法] では、攻撃者はフェデレーション SSO インフラストラクチャのオンプレミス コンポーネントを侵害します。 Security Assertion Markup Language (SAML) の署名に使用される資格情報または秘密キーを盗みます。 トークン。 次に、攻撃者は秘密キーを使用して、クラウド リソースにアクセスするための信頼できる認証トークンを偽造します。 [...]
最初の TTP のバリエーションでは、悪意のあるサイバー攻撃者が非プレミス署名キーを取得できない場合、次のことを試みます。 クラウド テナント内で十分な管理権限を取得し、SAML を偽造するための悪意のある証明書の信頼関係を追加する トークン。
2 番目の TTP では、攻撃者は侵害されたグローバル管理者アカウントを利用して、クラウド アプリケーションに資格情報を割り当てます。 サービス プリンシパル (アプリケーションを呼び出して他のクラウドにアクセスできるようにするクラウド アプリケーションの ID) リソース)。 次に、攻撃者は、クラウド リソースへの自動アクセスのためのアプリケーションの資格情報を呼び出します (多くの場合、電子メールで 特に)それ以外の場合は、アクターがアクセスするのが困難になるか、より簡単に認識される可能性があります。 疑わしい。"
NSA は、どちらの手法も新しいものではなく、少なくとも 2017 年以降、両方の国民国家グループだけでなく、他の種類の脅威アクターによっても使用されてきたと指摘しています。
さらに、NSA は、この 2 つの手法はどちらもフェデレーション サーバーの脆弱性を悪用するものではないと付け加えています。 認証製品ですが、ローカル ネットワークまたは管理者アカウントの後で正規の機能を悪用します。 妥協。
米国の安全保障当局は、少なくとも侵入者がこれらのメカニズムを悪用した場合に企業が導入できる対策はあり、侵害に迅速に対応できると述べている。
これらの緩和策は、いくつかのカテゴリにグループ化されており、NSA 勧告で詳しく説明されています。 PDFドキュメント.
NSAはまた、勧告と緩和策がMicrosoft Azureを中心としたものであっても、「技術の多くは他の環境にも同様に応用できる」とも述べた。
ソーラーウィンズのアップデート
- SolarWinds: 学べば学ぶほど、事態は悪化する
- CISA:米国政府機関は直ちにアップデートする必要がある
- 2番目のハッキンググループがSolarWindsシステムを標的に
- ハッカーがマイクロソフトのソースコードにアクセス
- Microsoft、トロイの木馬化したアプリを隔離
- Microsoft、40人以上の被害者を特定、そのほとんどが米国内
- Microsoftと業界パートナーがハッキングに使用された主要ドメインを押収
- SECへの申請: 18,000の顧客が影響を受ける
- 侵害はマーケティングの機会ではありません