Már megint állami hackerek törtek be a Microsofthoz
Egy gyenge jelszót kihasználva sikerült illetékteleneknek beférkőzniük a Microsoft vállalati hálózatába, ahonnan felsővezetők, illetve a biztonsági és jogi csapatokban dolgozó alkalmazottak e-mailjeihez és dokumentumaihoz szereztek hozzáférést. A redmondi cég egy Kreml által támogatott hackercsoportot vádol a támadással, akik Midnight Blizzard, illetve Nobelium néven tevékenykednek.
Ez már a második olyan eset az elmúlt évek során, amikor alapvető biztonsági intézkedésekkel sikerülhetett volna elkerülni egy olyan incidenst, ami potenciális kárt okozhat a Microsoft ügyfeleinek. Az amerikai Értékpapír- és Tőzsdefelügyelethez benyújtott dokumentumok szerint a 2023. novembertől kezdődő támadás során az elkövetőknek jelszószórással (password spray) sikerült feltörniük egy régi tesztelői fiókot, majd annak jogosultságait kihasználva fértek hozzá vállalati e-mail-fiókok „kis százalékához”, érintve a felsővezetői csapatot és a kiberbiztonsági, jogi és egyéb feladatokat ellátó alkalmazottakat.
Ez egyben arra utal, hogy a gyenge jelszón felül a fiókot kétfaktoros hitelesítés (2FA) sem védte. Továbbá az „örökölt, nem gyártási tesztbérlői fiókot” valahogy úgy konfigurálták, hogy a kezelője a legérzékenyebb alkalmazotti fiókokhoz férjenek hozzá, tehát meglepően sok jogosultsággal rendelkezett. Egy másik felmerülő kérdés, hogy a fiókot a tesztelési feladatok végén miért nem törölték.
Ugyan az incidens nincs jelentős hatása a vállalati működésre, de a Microsoft közleménye szerint továbbra is átláthatóan szeretné jelenteni a biztonsági eseteket, főleg miután életbe léptek a kiberbiztonsági incidensek közzétételére vonatkozó új amerikai követelmények.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A Microsoft egészen január 12-ig nem észlelte a jogsértést, így az állítólag orosz hackerek két hónapig zavartalanul hozzáférhettek a kompromittált fiókokhoz. Bár a redmondi cég szerint a Midnight Blizzard (továbbá Nobelium, APT29 vagy Cozy Bear) tudomása szerint nem fért hozzá az ügyfélkörnyezetekhez, termelési rendszerekhez, forráskódokhoz vagy MI-rendszerekhez, egyes szakértők szkeptikusak, különösen azzal kapcsolatban, hogy a Microsoft 365 szolgáltatás sebezhető-e hasonló támadási technikákkal szemben. A korábban Microsoftnál is dolgozó Kevin Beaumont biztonsági szakértő szerint ez azért jogosan felmerülő kérdés, mert a cég alkalmazottai a Microsoft 365-öt használják levelezésre.
Az incidens hasonlóságot mutat egy tavalyi támadással, amikor a Storm-0558 néven nyomon követett kínai állami hackerek törtek be a Microsoft hálózatába, majd a következő hónapokban több Azure- és Exchange-fiókhoz fértek hozzá, köztük amerikai és nyugat-európai kormányzati szervekéhez.
A redmondi cég szerint az elkövetők egy aláíró kulcs megszerzésével tudtak tokeneket hitelesíteni a fiókok eléréséhez az Outlook Web Access (OWA) és az Outlook.com felületén keresztül. A vállalati e-mail-fiókokhoz eléréséhez Azure AD-felhasználókat személyesítettek meg, szintén tokenekkel való visszaélés útján. A csoport körülbelül egy hónapig lehetett tevékeny, amíg az ügyfelek nem értesítették a Microsoftot a rendellenes levelezési tevékenységről.