(资料图)

微软最近宣布，其Windows源代码已被SolarWinds攻击者查看。(通常，只有重要的政府客户和可信赖的合作伙伴才能访问Windows制成的“材料”的这种级别。)攻击者能够读取(但不能更改)软件秘密，在Microsoft中引起了疑问和担忧。顾客。这是否意味着攻击者可以将后门程序注入到Microsoft的更新程序中

首先，了解SolarWinds攻击(也称为Solorigate)的一些背景知识：攻击者进入了远程管理/监视工具公司，并能够将其注入开发过程并建立后门。当通过SolarWinds设置的常规更新过程对软件进行更新时，后门软件已部署到客户系统中，其中包括许多政府机构。然后，攻击者可以悄悄地监视这些客户的若干活动。

攻击者的技术之一是伪造令牌进行身份验证，以便域系统认为实际上是在伪造凭据时才获得合法的用户凭据。安全声明标记语言(SAML)通常用于在系统之间安全地传输凭据。而且，尽管此单一登录过程可以为应用程序提供额外的安全性(如此处所示)，但它可以使攻击者获得对系统的访问权限。攻击过程称为“ Golden SAML ”攻击媒介，它使攻击者首先获得对组织的Active Directory联合身份验证服务(ADFS)的管理访问权限)服务器并窃取必要的私钥和签名证书。” 这样就可以连续访问此凭据，直到ADFS私钥无效并被替换为止。

标签：