مايكروسوفت البريد الإلكتروني للشركات هاك محركات التغيير

أقنع الاختراق الأخير لحسابات البريد الإلكتروني للشركات من Microsoft® Microsoft بإجراء تحول أساسي في نهجها تجاه الأمن السيبراني للشركات.

هاك

في 12 يناير 2024 ، اكتشف فريق الأمن السيبراني في Microsoft هجوما على أنظمة الشركة وقام على الفور بتنشيط عملية الاستجابة الخاصة به للتخفيف من الهجوم وإغلاقه. كشف تحقيق Microsoft أن الهجوم بدأ في نوفمبر 2023 باستخدام هجوم رش كلمة المرور (هجوم القوة الغاشمة باستخدام قائمة من كلمات المرور الضعيفة الشائعة للوصول إلى مئات الحسابات) لاختراق حساب مستأجر اختبار قديم غير إنتاجي.

من هناك ، استخدم ممثل التهديد أذونات الحساب القديم للوصول إلى حسابات البريد الإلكتروني والمستندات المرفقة لقيادة Microsoft العليا والموظفين الذين يعملون بشكل أساسي في الأمن السيبراني والوظائف المتعلقة بالقانون.

حددت مايكروسوفت ممثل التهديد باسم Midnight Blizzard (المعروف أيضا باسم Nobelium) ، وهي منظمة ترعاها الحكومة الروسية. كانت نوبليوم مسؤولة عن اختراق تسع وكالات أمريكية على الأقل في ديسمبر 2020 باستخدام برنامج المقاول الفيدرالي SolarWinds® للوصول إلى أنظمة البريد الإلكتروني غير السرية للوكالات لتتبع كيفية استجابة الحكومة الأمريكية لانتهاكات نوبليوم.

على غرار هجوم SolarWinds ، كشف تحقيق Microsoft في هجوم أنظمة شركة Microsoft أن ممثل التهديد كان يبحث عن معلومات تتعلق ب Midnight Blizzard نفسها.

شاركت Microsoft التفاصيل الأولية حول الهجوم في منشور مركز الاستجابة^{الأمنية ل Microsoft} في 19 يناير ، ثم شاركت إرشادات الاستجابة^{في منشور} 25 يناير من Microsoft Threat Intelligence. كشف منشور إرشادات الاستجابة أن Midnight Blizzard تستهدف شركات التكنولوجيا العالمية الأخرى بالإضافة إلى Microsoft. تم تأكيد هذه الملاحظة من خلال ملف Hewlett Packard Enterprise (HPE) مع لجنة الأوراق المالية والبورصات يكشف أن Midnight Blizzard قد انتهك بيئة البريد الإلكتروني المستضافة على السحابة من HPE في مايو 2023.

كيف حدث الاختراق؟

كما هو مذكور أعلاه، استخدم اختراق البريد الإلكتروني من Microsoft هجوم نشر كلمة المرور لاختراق حساب مستأجر اختبار قديم غير إنتاجي. كسر هذا الحساب قاعدتين أساسيتين للأمن السيبراني. أولا ، كان للحساب كلمة مرور سهلة التخمين. ثانيا، لم يتم تمكين المصادقة متعددة العوامل (MFA) في الحساب.

اعترفت Microsoft^{في منشورها} في 25 يناير أنه إذا تم نشر هذا الحساب القديم اليوم ، فإن سياسة Microsoft القياسية وسير العمل كانت ستضمن وجود MFA.

بمجرد حصول Midnight Blizzard على حق الوصول عبر حساب اختبار البريد الإلكتروني القديم المخترق، قاموا بتحديد تطبيق OAuth القديم للاختبار ثم اختراقه مع وصول مرتفع إلى بيئة شركة Microsoft. (ملاحظة: OAuth هو بروتوكول تفويض قياسي مفتوح يسمح لتطبيق أو موقع ويب بالوصول إلى البيانات من تطبيق أو موقع ويب آخر ، على سبيل المثال إرسال الملفات المخزنة على السحابة إلى مستخدم آخر عبر البريد الإلكتروني ، أو السماح لموقع ويب مثل ESPN.com بالوصول إلى ملفك الشخصي على Facebook دون تقديم كلمة مرور Facebook الخاصة بك.)

ثم أنشأت Midnight Blizzard تطبيقات OAuth ضارة إضافية وحساب مستخدم جديد سمح لتطبيقات OAuth الضارة بالوصول إلى بيئة شركة Microsoft. وأخيرا، استخدم Midnight Blizzard تطبيق OAuth القديم للاختبار المخترق لمنحهم دور Office 365 Exchange Online الذي يسمح بالوصول إلى علب بريد الموظفين.

استفادت Midnight Blizzard من وجود حساب اختبار بريد إلكتروني قديم وتطبيق OAuth قديم للاختبار لم يتم تحديثه مطلقا لتلبية معايير الأمن السيبراني الحديثة.

ما الذي تغيره Microsoft في وضع الأمان الخاص بها؟

في نوفمبر 2023 ، أعلنت Microsoft عن مبادرة المستقبل الآمن (SFI) التي تجمع كل جزء من Microsoft لدفع تحسينات كبيرة في حماية الأمن السيبراني. سعت المبادرة إلى تحقيق توازن بين الأمن ومخاطر الأعمال. من منظور مخاطر الأعمال، فإن إجراء تدقيق لتحديد وتأمين كل حساب أو تطبيق قديم تم إنشاؤه (ثم نسيانه) في تاريخ Microsoft الذي يبلغ 50 عاما تقريبا، وتغيير عدد لا يحصى من العمليات التجارية المتعلقة بإنشاء وتأمين حسابات وتطبيقات جديدة هي مهمة تتطلب عددا كبيرا من الموظفين والوقت لإكمالها.

لسوء الحظ ، فإن Midnight Blizzard جيدة جدا في استغلال الحسابات القديمة وتطبيقات OAuth لاختراق أنظمة الشركات والوصول إلى معلومات الشركات والعملاء. اعترافا بهذه الخبرة ، أدركت Microsoft ضرورة تأمين حساباتها وتطبيقاتها القديمة عاجلا وليس آجلا ، كما هو موضح في منشور مركز الاستجابة^{الأمنية ل Microsoft} في 19 يناير:

"... سنتصرف على الفور لتطبيق معايير الأمان الحالية الخاصة بنا على الأنظمة القديمة المملوكة لشركة Microsoft وعمليات الأعمال الداخلية، حتى عندما تتسبب هذه التغييرات في تعطيل العمليات التجارية الحالية. من المحتمل أن يتسبب هذا في مستوى معين من الاضطراب بينما نتكيف مع هذا الواقع الجديد ، لكن هذه خطوة ضرورية ، وهي الأولى فقط من بين عدة خطوات سنتخذها لتبني هذه الفلسفة ". 

ما الذي يمكنك فعله لحماية عملائك وتطبيقاتك؟

وعلى غرار مايكروسوفت، يعد تدقيق الحسابات القديمة وتطبيقات OAuth، مع اتخاذ إجراءات لاحقة للقضاء على تلك التي لم تعد قيد الاستخدام، وتأمين تلك التي لا تزال قيد الاستخدام باستخدام معايير الأمن السيبراني الحديثة، خطوة أولى ضرورية. شاركت Microsoft توصيات أخرى^{في منشورها} في 25 يناير المذكور أعلاه.

يمكن لموردي البرامج المستقلين (ISV) ومزودي الخدمات المدارة (MSP) وبائعي البرامج (ISV) والموزعين الذين يحتاجون إلى تزويد العملاء بوصول آمن مستند إلى الويب إلى تطبيقات Windows تقييم التقنية المستخدمة لجعل هذه التطبيقات قابلة للوصول للمستخدمين، بما في ذلك:

• بروتوكول اتصال الشبكة المستخدم - هل هو آمن؟ (ملاحظة: إذا كنت تستخدم بروتوكول سطح المكتب البعيد من Microsoft (RDP) ، وفقا لشركة Sophos ، وهي شركة عالمية لأمن تكنولوجيا المعلومات ، فإن RDP تظل "واحدة من أكثر الأدوات التي يساء استخدامها على نطاق واسع" المستخدمة للاستفادة من بيانات الاعتماد المخترقة للوصول الداخلي ؛ راجع منشور المدونة الخاص بنا لمزيد من التفاصيل.)
• الإعدادات الافتراضية—هل يمكن للمشرف أو الممثل السيئ تمكين مشاركة موارد الخادم أو العميل؟ 
• المصادقة متعددة العوامل—هل يتيح حل الوصول عن بعد المصادقة متعددة العوامل؟ تم تمكين اختراق Microsoft الموصوف أعلاه جزئيا بسبب نقص MFA في تطبيق بريد إلكتروني اختبار قديم.
• تسجيل الدخول الأحادي—هل يدعم حل الوصول عن بعد حلول تسجيل الدخول الأحادي؟ تم تمكين اختراق Microsoft الموضح أعلاه جزئيا من خلال كلمة مرور سهلة التخمين.

إذا كان حل الوصول المستند إلى الويب الخاص بك يجعل تطبيقك وبيانات العملاء عرضة للجهات الفاعلة السيئة ، ففكر في GO-Global.

• بروتوكول RapidX (RXP) - RXP هو بروتوكول خاص بالنطاق الترددي المنخفض للاتصال عبر الخطوط التسلسلية. إنه قابل للتكيف ، ويستخدم طبقات متعددة من الضغط ، ويتم تحسينه لضمان أقل استخدام ممكن للنطاق الترددي. ولأن RXP مغلق المصدر ، فإنه يوفر دفاعا إضافيا ضد المهاجمين ، مقارنة بالبروتوكولات مفتوحة المصدر مثل Microsoft RDP ، حيث تم العثور على نقاط ضعف أمنية واستغلالها.
• الإعدادات الافتراضية—حسب التصميم، يتم تعطيل جميع خيارات التكوين التي تمكن مشاركة موارد الخادم أو العميل. بالإضافة إلى ذلك ، لا تنشر GO-Global أي تطبيقات افتراضية.
• المصادقة الثنائية (2FA) - توفر GO-Global المصادقة الثنائية (2FA) ، وهي ميزة مصادقة متقدمة توفر طبقة إضافية من الأمان من خلال مطالبة المستخدمين اختياريا بإدخال رمز مكون من 6 أرقام من تطبيق المصادقة على الهاتف الذكي ، بالإضافة إلى اسم المستخدم وكلمة المرور الخاصة بهم.
• دعم تسجيل الدخول الأحادي ل OpenID® Connect (OIDC) - يمكن المؤسسات من استخدام موفري هوية OIDC مثل Okta® و Microsoft® Active Directory Federated Services (ADFS) لتسجيل الدخول الأحادي إلى مضيفي GO-Global Windows.

يقلل نهج GO-Global متعدد الطبقات لتأمين تطبيقات Windows وبيانات العملاء من المخاطر من الجهات الفاعلة السيئة. تعرف على المزيد هنا.

للاطلاع على أسعار المستخدمين المتزامنة من GO-Global مع الدخول الموحد (SSO)، وحساب أسعار GO-Global المقدرة، انقر هنا.

لطلب عرض توضيحي ، انقر هنا ؛ للحصول على نسخة تجريبية مجانية من GO-Global لمدة 30 يوما ، انقر هنا.