不良身份安全机制是 Microsoft 遭集权国家攻击的根源

Microsoft 遭遇的这起最新泄露事件再次表明，光靠检测与响应是不够的。这是因为攻击来源几乎都归结于一个疏忽的用户和权限，因而对企业而言，拥有强大的预防性安全措施至关重要。

1 月 19 日，Microsoft 宣布名为 Midnight Blizzard 的集权国家威胁制造者通过 Entra ID（原名 Azure AD）实施入侵。 Microsoft 分享了有关此攻击的信息，包括战术、技巧和程序 (TTP)，以及对响应者提供的指导。 公司可能会对某个攻击的特定详细信息故意含糊其辞，以维持其内部环境的机密性，从而最大限度降低对公司声誉的伤害。不过，Microsoft 却提供了一些详细信息，帮助大家了解 Midnight Blizzard 利用哪些漏洞来泄露 Microsoft 企业环境的数据。

这起泄露事件突出表明一点，就是企业需要采用更完善的预防性安全措施，才能减少因身分安全机制不良而造成的风险。疏于管理的身份、过度权限以及错误设置都会带来严重的后果，即使是拥有高超的检测与响应工具及功能也无法幸免。Tenable Identity Exposure 可识别此类攻击可能利用的漏洞，包括：

• 缺少多重身份验证 (MFA) 检测
• 危险的 API 权限
• 管理员帐户分析

我们快速回顾下发生了什么。

尽管 Microsoft 公告简要介绍了攻击中的许多不同步骤，此攻击还是利用了一些非常常见的漏洞，包括不良的密码安全机制、缺乏 MFA、过度权限和特权 Entra 角色。

此攻击的初始访问阶段是一个简单的密码喷洒，这是一种威胁制造者以具有弱密码或破坏密码的身份为目标的攻击技术。此初始攻击以非生产环境为目标，Midnight Blizzard 在此阶段所采取的步骤非常谨慎，避免被检测到。Microsoft 解释道：“攻击制造者针对有限的帐户量身订做了其密码喷洒攻击，使用少量的尝试来规避检测 (...) 从一个分布式驻留代理基础设施 (...) 针对没有启用多重身份验证的帐户进一步发动这些攻击”。

尽管此帐户可能用于非生产环境，但在帐户上启用了 MFA 就应该能防止密码喷洒攻击达成其终极目标。这至少会让密码喷洒更难得逞，因而更易被检测到。

接着，攻击者通过利用过度的 Graph API 权限从测试环境转向公司生产环境。尽管该应用程序是在 Microsoft 的测试租户中注册的，但其相应的身分却在其企业生产环境租户中拥有危险 Graph API 权限。

过去两个多月，攻击者获取了 Microsoft 重要高管邮箱的访问权限。

这让威胁制造者入侵应用程序注册功能，并通过相应的服务身份移至生产租户。在获取 Microsoft 公司帐户的访问权限后，威胁制造者最终将 Office 365 Exchange Online 的“full_access_as_app”API 权限授予他们所创建的新恶意应用程序，这样便在过去两个多月获取重要高管邮箱的访问权限。

API 权限通常会允许授予十分复杂的分支访问权限，而 Microsoft Graph API 就是以难以理解而闻名。这也可能是 Microsoft 让自己成为此复杂性受害者的原因。这种身份安全机制的缺乏明显是威胁制造者用来渗透 Microsoft 生产环境并获取公司机密通信的原因。

为了智能地执行修复工作并且在攻击发生之前减少攻击面，无庸置疑，我们需要不间断地评估和了解身份风险。尽管 Microsoft 提供了许多工具和服务来检测和中断攻击，但老练的泄露数据行动还是会经常利用单个帐户或权限中的小疏忽达到目的。预防性地减少身份攻击面因其不断改变的特性以及需要持续验证风险而难上加难。

TenableTenable Identity Exposure 可以持续验证 Microsoft 身份系统的安全态势，以及对有风险的身份、权限和配置进行优先级分析，从而立即减少攻击面。

Tenable 提供了四种特定的风险暴露指标 (IoE) 来帮助预防这些类型的攻击。其中，有两种身份风险暴露 IoE 支持客户识别因缺乏 MFA 而暴露的帐户。这些 IoE 可以发现无任何注册的 MFA 方法的 Microsoft Entra ID 帐户，这些帐户通产会在密码喷洒攻击中遭到利用：

• 特权帐户缺少 MFA
• 非特权帐户缺少 MFA

Tenable Identity Exposure 还提供了两种可以发现和分析危险 Microsoft Entra 角色和 Microsoft Graph API 权限的 IoE，这样便可在攻击发生前消除攻击向量：

• 影响租户的危险 API 权限
• 管理员数量众多

启用之后，Tenable Identity Exposure 就能持续验证 Microsoft 身份系统中多个非常关键但经常被轻忽的方面。Tenable 还可以发现风险最大的身份，并为修复提供分步骤指导。Midnight Blizzard 采用的战术是 Tenable Identity Exposure 可以帮助消除的身份风险和攻击路径、以预防攻击得手的只要示例。

有关 Tenable Identity Exposure 如何帮助减少 Microsoft 身份环境的攻击面的详细信息，请申请演示或下载我们的 Tenable Identity Exposure 产品资料。