大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
近期,微软和Cloudflare-Atlassian的安全事件引发了广泛关注,揭示出大型SaaS(软件即服务)平台的安全漏洞。针对这些平台的攻击揭示了当下SaaS应用和敏感数据保护的难度。
1. 微软的“午夜暴雪”事件
微软遭遇的攻击源于被称为“午夜暴雪”(APT29或Cozy Bear)的俄罗斯黑客组织,这一组织与俄罗斯联邦情报部门SVR有关联。此次攻击中,黑客首先对微软的旧账号进行了“密码喷洒”攻击,并借助一个OAuth应用扩大了访问权限。
黑客逐步升级权限,获得了Microsoft 365邮箱的管理权限,最终能够访问微软高层管理人员的邮件数据。
2. Cloudflare-Atlassian的感恩节攻击
2023年11月,Cloudflare的Atlassian系统同样遭到国家支持的网络攻击。此次攻击利用了未更改的凭据,黑客通过Okta漏洞获得了Cloudflare的内部维基和缺陷数据库的访问权限,并可能获取了76个关键源码库的文件。
3. SaaS安全中的共性攻击手段
这些事件反映了SaaS平台面临的普遍风险。攻击者的常用策略包括:
初始访问:通过密码喷洒攻击和OAuth劫持
持久性:通过创建新的OAuth应用获得持续访问权限
隐匿行动:利用高权限OAuth应用绕过多因素认证
横向移动:攻陷连接的应用
数据泄露:窃取敏感数据
4. 破坏SaaS攻击链的防护措施
要有效打破SaaS攻击链,企业需要加强SaaS环境的持续监控和风险管理。SaaS安全平台(如AppOmni)可以帮助检测凭据泄露、识别OAuth权限变化和监控高权限访问,以防范未来攻击。
总结
这些攻击事件表明,SaaS服务提供商的安全需要引起更高重视。通过加强监控和预防措施,企业才能更好地应对国家支持的网络攻击,保护关键数据和基础设施的安全。
推荐阅读:知识星球连载创作"全球高级持续威胁:网络世界的隐形战争",总共26章,相信能够为你带来不一样的世界认知,欢迎感兴趣的朋友入圈沟通交流。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):微软与Cloudflare-Atlassian遭遇高级黑客入侵,揭示SaaS平台安全风险
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论