微软警告:俄罗斯黑客通过“MagicWeb”恶意软件绕过身份验证

微软警告称，2020制造SolarWinds供应链攻击背后的黑客组织拥有一种绕过企业网络身份验证的新技术。

这个技巧，微软称之为“MagicWeb”的一种高度专业化的能力，允许攻击者在网络中保持稳固的立足点，即使防御者试图驱逐他们。微软将其跟踪为Nobelium，他们没有使用供应链攻击来部署MagicWeb，而是滥用管理员凭据。

美国和英国称Nobelium APT组织来自俄罗斯外国情报局（SVR）的黑客部门。自从2020年底破坏SolarWinds的软件构建系统以来，Nobelium组织已经发动了几次备受瞩目的供应链攻击。该攻击针对包括微软在内的大约18,000名客户。

被认为是大约100家美国客户，包括顶级科技公司和美国政府机构。这些机构随后遭到入侵。

从那时起，微软和其他安全公司已经确定了Nobelium使用的多种复杂工具，例如后门，而MagicWeb是最新的。MagicWeb针对企业身份系统，即Active Directory联合服务器(AD FS)，Microsoft建议隔离AD FS并限制对其的访问。

微软强调，Nobelium仍然“非常活跃”。去年7月，微软透露，它在一台支持代理的PC上发现了来自Nobelium的信息窃取恶意软件，该恶意软件随后被用于对其他人发起攻击。Nobelium还在鱼叉式网络钓鱼活动中冒充美国国际开发署。

10月，微软聚焦针对软件和云服务经销商的Nobelium攻击，再次滥用供应商和客户之间的信任来访问客户IT系统。

在云/经销商攻击前一个月，它暴露了一个名为FoggyWeb的Nobelium工具，这是一个从AD FS收集详细信息以获取令牌签名和令牌加密证书并部署恶意软件的后门。

MagicWeb针对AD FS采用了类似的方法，但微软表示它“通过直接促进隐蔽访问，超越了FoggyWeb的收集能力”。

“MagicWeb是一个恶意DLL，它允许操纵由Active Directory联合服务器生成的令牌。操纵用于身份验证的用户身份验证证书，而不是在Golden SAML等攻击中使用的签名证书。”

微软解释说，SAML使用x509证书在身份提供者和服务之间建立信任关系，并对令牌进行签名和解密。

在部署MagicWeb之前，攻击者获得了对高权限凭证的访问权限，然后在网络上横向移动以获得AD FS系统的管理员权限。

微软强调，“这不是供应链攻击，攻击者拥有AD FS系统的管理员访问权限，并用他们自己的恶意DLL替换了一个合法的DLL，导致AD FS加载恶意软件而不是合法的二进制文件。”

Microsoft建议客户将AD FS基础结构隔离并只能由专用管理员账户访问，或者迁移到Azure Active Directory。

Microsoft提供了有关MagicWeb如何实现其身份验证绕过的详细说明，解释ADFS“基于声明的身份验证”如何工作。AD FS可以使用“声明”（令牌）来让外部各方（客户、合作伙伴和供应商）通过单点登录进行身份验证，而不是单个组织的单点登录。

MagicWeb还滥用SAML x509证书，该证书“包含指定证书应用于哪些应用程序的增强密钥使用(EKU)值”。EKU具有对象标识符(OID)值以支持例如智能卡登录。组织还可以创建自定义OID以缩小证书使用范围。

更多信息，可参考Microsoft官方博客文章，以获取有关如何加强网络、保护身份和身份验证基础架构的建议。（https://www.microsoft.com/security/blog/2022/08/24/magicweb-nobeliums-post-compromise-trick-to-authenticate-as-anyone/）