(資料圖)

微軟最近宣布，其Windows源代碼已被SolarWinds攻擊者查看。(通常，只有重要的政府客戶和可信賴的合作伙伴才能訪問Windows制成的“材料”的這種級別。)攻擊者能夠讀取(但不能更改)軟件秘密，在Microsoft中引起了疑問和擔憂。顧客。這是否意味著攻擊者可以將后門程序注入到Microsoft的更新程序中

首先，了解SolarWinds攻擊(也稱為Solorigate)的一些背景知識：攻擊者進入了遠程管理/監視工具公司，并能夠將其注入開發過程并建立后門。當通過SolarWinds設置的常規更新過程對軟件進行更新時，后門軟件已部署到客戶系統中，其中包括許多政府機構。然后，攻擊者可以悄悄地監視這些客戶的若干活動。

攻擊者的技術之一是偽造令牌進行身份驗證，以便域系統認為實際上是在偽造憑據時才獲得合法的用戶憑據。安全聲明標記語言(SAML)通常用于在系統之間安全地傳輸憑據。而且，盡管此單一登錄過程可以為應用程序提供額外的安全性(如此處所示)，但它可以使攻擊者獲得對系統的訪問權限。攻擊過程稱為“ Golden SAML ”攻擊媒介，它使攻擊者首先獲得對組織的Active Directory聯合身份驗證服務(ADFS)的管理訪問權限)服務器并竊取必要的私鑰和簽名證書。” 這樣就可以連續訪問此憑據，直到ADFS私鑰無效并被替換為止。

標簽：