SolarWinds，Solorigate，以及Windows更新的意义

Microsoft最近宣布，Solarwinds攻击者已查看其Windows源代码。（正常，只有关键的政府客户和信任的合作伙伴只有这一窗口所做的“东西”的访问程度。）攻击者能够阅读 - 但不会改变 - 软件秘密酱，提高微软客户的问题和疑虑。这是否意味着，也许是，攻击者可以将回门进程注入微软的更新进程中

首先，在Solarwinds攻击中有一点背景，也称为Solorion：攻击者进入远程管理/监控工具公司，并能够将自己注入开发过程并构建后门。当通过SolarWinds设置的正常更新进程更新软件时，后卫软件部署到客户系统 - 包括众多美国政府机构。然后，攻击者能够默默地默默地盯着这些客户的几个活动。

其中一个攻击者的技术是伪造令牌进行身份验证，以便域系统认为它在获得合法的用户凭证时，实际上凭据被伪造。安全断言标记语言（SAML）定期用于安全地在系统之间牢固地传输凭据。虽然此单一登录过程可以为应用程序提供额外的安全性，但在此处展示，它可以允许攻击者获得对系统的访问权限。攻击过程称为“Golden SAML”攻击载体“涉及攻击者首先获得对组织的Active Directory联合服务（ADF）服务器的管理访问，并窃取必要的私钥和签名证书。”这允许持续访问此凭据，直到ADFS私钥无效并替换。

目前据称，攻击者在3月和6月20日之间的更新软件中，尽管各种组织的迹象，但他们可能已经在2019年10月静静地攻击地点。

微软进一步调查，发现攻击者无法将自己注入Microsoft的ADFS / SAML基础架构，“一个帐户已被用于在许多源代码存储库中查看源代码。该帐户没有修改任何代码或工程系统的权限，我们的调查进一步证实了未进行任何变化。“这不是Microso Microso Microso Microso Microsoft的源代码已被攻击或泄露给Web。2004年，从Windows NT到Windows 2000的30,000个文件通过第三方泄露到Web上。据报道，Windows XP去年在线泄露。

虽然它是不可思议的说明Microsoft更新过程永远不会有一个后门，但我继续相信Microsoft更新过程本身 - 即使我不信任他们出来的那一刻。Microsoft更新过程取决于必须匹配的代码签名证书，或者系统不会安装更新。即使在Windows 10中使用称为传递优化的分布式补丁进程，系统也将获取来自网络上的其他计算机的斑点和片段 - 甚至通过网络之外的其他计算机 - 并通过匹配来重新编译整个修补程序签名。此过程可确保您可以从任何地方获取更新 - 不一定来自Microsoft - 并且您的计算机将检查以确保修补程序有效。

有时间截获了。2012年，火焰恶意软件使用了被盗的签名证书来使其看起来好像它来自Microsoft，以允许安装恶意代码。但微软撤消了该证书并提高了签名过程的安全性，以确保关闭攻击载体。

微软的政策是假设其源代码和网络已经受到损害，因此它具有“假设违规”哲学。因此，当我们获得安全更新时，我们不仅会收到我们所知道的修复;我经常会看到模糊的引用，以帮助用户前进的额外的硬化和安全功能。采取例如KB4592438。12月份发布了20H2，它包括在使用Microsoft Edge遗留和Microsoft Office产品时提高安全性的更新的模糊参考。虽然每个月的大多数安全更新都具体修复声明的漏洞，但也有零件可以更加努力，以便攻击者使用已知的邪恶结束的技术。

功能释放通常是操作系统的支持安全性，尽管一些保护授权企业Microsoft 365许可证，称为“E5”许可证。但您仍然可以使用高级保护技术，但使用手动注册表项或通过编辑组策略设置。一个这样的示例是设计用于攻击表面减少的一组安全设置;您可以使用各种设置来阻止系统上发生的恶意操作。

但是（这是一个巨大的但是），设置这些规则意味着您需要成为高级用户。Microsoft考虑这些功能对于企业和企业来说，并因此不会在易于使用的界面中公开设置。如果您是高级用户并希望查看这些攻击表面减少规则，我的建议是使用名为ASR规则POSH GUI的PowerShell图形用户界面工具来设置规则。首先将规则设置为“审核”而不是启用它们，以便首先查看对系统的影响。

您可以从GitHub网站下载GUI，您将看到列出的这些规则。（注意，您需要以管理员身份运行：鼠标鼠标右键单击下载的.exe文件，然后单击以管理员身份运行。）在Solarwinds攻击中的出色继续展开时，它并不是一个不好的方法。