針對近期涌現(xiàn)的疑似具有國家級技術(shù)和資源背景的黑客攻擊，微軟其實已經(jīng)在 2020 版《數(shù)字防御報告》中有所預(yù)料。雖然截止目前，微軟尚未在相關(guān)調(diào)查中發(fā)現(xiàn)自家產(chǎn)品或云服務(wù)有漏洞被利用，但該公司還是在一篇博客文章中發(fā)出了提醒，希望客戶能夠采取切實有效重要步驟，以防其成為此類網(wǎng)絡(luò)攻擊的受害者。

微軟在文中列出了惡意代理開展復(fù)雜網(wǎng)絡(luò)攻擊的一些技術(shù)細(xì)節(jié)，比如通過 SolarWindsOrion 產(chǎn)品中的惡意代碼實施入侵。若被攻擊者得逞，后續(xù)黑客可能以此為跳板，在網(wǎng)絡(luò)中獲得更高的權(quán)限。

其次，攻擊者或利用本地竊取的管理員權(quán)限，獲得對機(jī)構(gòu)內(nèi)受信任 SAML 簽名證書的訪問權(quán)限。然后通過偽造 SAML 令牌，假扮組織內(nèi)任何現(xiàn)有用戶的賬戶，甚至染指特權(quán)較高的賬戶。

為應(yīng)對此類異常登錄，建議客戶在網(wǎng)絡(luò)系統(tǒng)上進(jìn)行適當(dāng)?shù)陌踩渲茫詤^(qū)分訪問本地或云端任何資源的可信證書。由于 SAML 令牌使用了自簽名證書，組織內(nèi)很可能會忽視掉這部分異常。

利用上述或其它技術(shù)獲得了搞特權(quán)賬戶的訪問權(quán)限之后，攻擊者還可將自己的登錄憑證添加到現(xiàn)有的應(yīng)用程序服務(wù)主體中，從而使之獲得相關(guān)應(yīng)用程序的權(quán)限調(diào)用 API 。

至于 COVID-19 大流行期間的完整事件分析、以及社區(qū)對網(wǎng)絡(luò)安全的態(tài)度等問題，微軟將在完整版的 2020 數(shù)字防御報告中進(jìn)行闡述。