自从SolarWinds漏洞被大规模利用以来，其实对云的攻击已经开始准备暴露和利用。2020年和2021年，SolarWinds背后的国家APT威胁一直在对云进行各种深层次、深层次、持续的APT攻击。下面简单回顾一下对云的攻击:SAML2GoldenAttack，Microsoft365(AzureAD)。通过SolarWinds攻击，小编发现了一项特别优秀的针对微软云的攻击方法，也就是SAML2Golden攻击Microsoft365。这种攻击手法有几个亮点:UNC2452(Fireeye命名APT国家级威胁体)的攻击路径，从线下混合云的On-Permises或IDC机房获得本地ADFS的权限，获得Token-Signin登录证书(通过ADFSDump获得Privatekey和EncryptedtokenSigngKey)->使用ADFSpof伪造用户登录凭证->使用Burp等工具重放攻击->从线下ADFS获得登录到Microsoft365.AzureareAd.Azurerese登录RengKey->成功。

你可以看到这里还是很困惑的。为什么会有这样的漏洞？在完成了基本的攻击技术之后，让我们看看最根本的问题是什么？Microsoft是一个庞大的生态系统，支持复杂的生态登录系统。SAML2是一项特别标准的用户身份认证和授权协议。通过SAML2，微软生态身份提供商（IDP）可以登录到与微软相关的各种服务提供商的登录链接（SP）。自然，与IDP相关的SAML2登录私钥将是一个重大威胁。您可以通过获得IDPSAML2（ADFS自然也是IDP）私钥登录。

此外，这个漏洞还有一个极其重要的额外影响。BypassMFA多因素认证可以通过SAML2登录的账号进行。即使修改了用户密码，也不会影响SAML2Golden登录。获得IDP私钥后，可以在任何地方提出结构要求。重要的是IDP私钥更新的频率不是特别高。因此，后果是Azure在SolarWinds攻击中被盗Azure组件的小子集(服务、安全、身份的子集)。Intune组件的小子集。Exchange组件的小子集的相关代码。事实上，小编还没有看到任何人分析国家威胁体UNC2452获取这些代码的逻辑。今天，小编首次犯了一个简单的错误。如果读者知道，请不要吐槽。Azure实际上是TOP2云制造商，它自然受到政府、金融、军队等高敏感行业的青睐。此外，Microft本身的系统可以逐步快速覆盖和增加份额。因此，在这一规模下，对Azure云平台进行云服务的攻击特别重要，因此国家级威胁体获得的第一部分Azure组件包括服务。安全。身份子集，因为身份是Azure基础设施中的关键基础设施，自然AzureAD代码更受攻击者的锤炼，更不用说安全了，如果国家级威胁体想攻击Azure，就必须绕过各种检测手段。第二部分Intune泄露的子集也是比较重要的一部分，因为Intune主要是微软为客户提供的MDM工具，很多TOP500强都是用Intune甚至微软支持的生态VMWareAirwatch来管理设备，因为Azure没有设备认证是无法登录的，这一层在获得密码后也必须突破。因此，国家级威胁体需要获得Intune的源代码来寻找MFA的Bypare和设备认证和管理的缺陷，以管理大量的设备。第三部分是Ezurex代码集，这主要是由于Exchage的价值。