微软在文中列出了恶意代理开展复杂网络攻击的一些技术细节，比如通过 SolarWindsOrion 产品中的恶意代码实施入侵。若被攻击者得逞，后续黑客可能以此为跳板，在网络中获得更高的权限。

其次，攻击者或利用本地窃取的管理员权限，获得对机构内受信任 SAML 签名证书的访问权限。然后通过伪造 SAML 令牌，假扮组织内任何现有用户的账户，甚至染指特权较高的账户。

为应对此类异常登录，建议客户在网络系统上进行适当的安全配置，以区分访问本地或云端任何资源的可信证书。由于 SAML 令牌使用了自签名证书，组织内很可能会忽视掉这部分异常。

利用上述或其它技术获得了搞特权账户的访问权限之后，攻击者还可将自己的登录凭证添加到现有的应用程序服务主体中，从而使之获得相关应用程序的权限调用 API 。

至于 COVID-19 大流行期间的完整事件分析、以及社区对网络安全的态度等问题，微软将在完整版的 2020 数字防御报告中进行阐述。