2022年APT攻击漏洞界限分析

         自从SolarWinds漏洞被大规模利用以来,其实对云的攻击已经开始准备暴露和利用。2020年和2021年,SolarWinds背后的国家APT威胁一直在对云进行各种深层次、深层次、持续的APT攻击。下面简单回顾一下对云的攻击:SAML2GoldenAttack,Microsoft365(AzureAD)。通过SolarWinds攻击,小编发现了一项特别优秀的针对微软云的攻击方法,也就是SAML2Golden攻击Microsoft365。这种攻击手法有几个亮点:UNC2452(Fireeye命名APT国家级威胁体)的攻击路径,从线下混合云的On-Permises或IDC机房获得本地ADFS的权限,获得Token-Signin登录证书(通过ADFSDump获得Privatekey和EncryptedtokenSigngKey)->使用ADFSpof伪造用户登录凭证->使用Burp等工具重放攻击->从线下ADFS获得登录到Microsoft365.AzureareAd.Azurerese登录RengKey->成功。

outputo-20220106-093026-825-rkvo.png

你可以看到这里还是很困惑的。为什么会有这样的漏洞?在完成了基本的攻击技术之后,让我们看看最根本的问题是什么?Microsoft是一个庞大的生态系统,支持复杂的生态登录系统。SAML2是一项特别标准的用户身份认证和授权协议。通过SAML2,微软生态身份提供商(IDP)可以登录到与微软相关的各种服务提供商的登录链接(SP)。自然,与IDP相关的SAML2登录私钥将是一个重大威胁。您可以通过获得IDPSAML2(ADFS自然也是IDP)私钥登录。

此外,这个漏洞还有一个极其重要的额外影响。BypassMFA多因素认证可以通过SAML2登录的账号进行。即使修改了用户密码,也不会影响SAML2Golden登录。获得IDP私钥后,可以在任何地方提出结构要求。重要的是IDP私钥更新的频率不是特别高。因此,后果是Azure在SolarWinds攻击中被盗Azure组件的小子集(服务、安全、身份的子集)。Intune组件的小子集。Exchange组件的小子集的相关代码。事实上,小编还没有看到任何人分析国家威胁体UNC2452获取这些代码的逻辑。今天,小编首次犯了一个简单的错误。如果读者知道,请不要吐槽。Azure实际上是TOP2云制造商,它自然受到政府、金融、军队等高敏感行业的青睐。此外,Microft本身的系统可以逐步快速覆盖和增加份额。因此,在这一规模下,对Azure云平台进行云服务的攻击特别重要,因此国家级威胁体获得的第一部分Azure组件包括服务。安全。身份子集,因为身份是Azure基础设施中的关键基础设施,自然AzureAD代码更受攻击者的锤炼,更不用说安全了,如果国家级威胁体想攻击Azure,就必须绕过各种检测手段。第二部分Intune泄露的子集也是比较重要的一部分,因为Intune主要是微软为客户提供的MDM工具,很多TOP500强都是用Intune甚至微软支持的生态VMWareAirwatch来管理设备,因为Azure没有设备认证是无法登录的,这一层在获得密码后也必须突破。因此,国家级威胁体需要获得Intune的源代码来寻找MFA的Bypare和设备认证和管理的缺陷,以管理大量的设备。第三部分是Ezurex代码集,这主要是由于Exchage的价值。

分享: