Informações
6 minutos de leitura

‍Hack de e-mail corporativo da Microsoft promove mudanças

Última atualização:
4 de abril de 2024
Voltar ao blog
‍Hack de e-mail corporativo da Microsoft promove mudanças

‍Hack de e-mail corporativo da Microsoftpromove mudanças

Uma recente invasão de contas de e-mail corporativo da Microsoft® persuadiu a Microsoft a fazer uma mudança fundamental em sua abordagem à segurança cibernética corporativa.

O Hack

Em 12 de janeiro de 2024, a equipe de segurança cibernética da Microsoft detectou um ataque aos seus sistemas corporativos e imediatamente ativou seu processo de resposta para mitigar e encerrar o ataque. A investigação da Microsoft revelou que o ataque começou em novembro de 2023, usando um ataque de pulverização de senha (um ataque de força bruta usando uma lista de senhas fracas comuns para acessar centenas de contas) para comprometer uma conta de locatário de teste legado de não produção.

A partir daí, o agente da ameaça usou as permissões da conta herdada para acessar as contas de e-mail e os documentos anexados da liderança sênior da Microsoft e dos funcionários que trabalhavam principalmente com segurança cibernética e funções relacionadas a assuntos jurídicos.

A Microsoft identificou o agente da ameaça como Midnight Blizzard (também conhecido como Nobelium), uma organização patrocinada pelo governo russo. A Nobelium foi responsável pela violação, em dezembro de 2020, de pelo menos nove agências dos EUA, usando o software SolarWinds®, contratado pelo governo federal, para obter acesso aos sistemas de e-mail não classificados das agências e rastrear como o governo dos EUA estava respondendo às violações da Nobelium.

Semelhante ao ataque da SolarWinds, a investigação da Microsoft sobre o ataque aos sistemas corporativos da Microsoft revelou que o agente da ameaça estava buscando informações relacionadas à própria Midnight Blizzard.

A Microsoft compartilhou os detalhes iniciais sobre o ataque em uma publicação do Microsoft Security Response Center em19 de janeiro e, em seguida, compartilhou orientações de resposta em uma publicação do Microsoft Threat Intelligence em25 de janeiro. A postagem de orientação de resposta revelou que a Midnight Blizzard tem visado outras empresas globais de tecnologia, além da Microsoft. Essa observação foi confirmada por um registro da Hewlett Packard Enterprise (HPE) junto à SEC, revelando que a Midnight Blizzard havia violado o ambiente de e-mail hospedado na nuvem da HPE em maio de 2023.

Como ocorreu a invasão?

Conforme observado acima, o hack de e-mail da Microsoft usou um ataque de pulverização de senha para comprometer uma conta de locatário de teste legada e não produtiva. Essa conta violou duas regras fundamentais de segurança cibernética. Primeiro, a conta tinha uma senha fácil de adivinhar. Em segundo lugar, a conta não tinha a autenticação multifator (MFA) ativada.

A Microsoft admitiu em sua postagem de25 de janeiro que, se essa conta legada tivesse sido implantada hoje, a política e os fluxos de trabalho padrão da Microsoft teriam garantido que a MFA estivesse em vigor.

Depois que a Midnight Blizzard obteve acesso por meio da conta de teste de e-mail legado comprometida, eles identificaram e comprometeram um aplicativo OAuth de teste legado com acesso elevado ao ambiente corporativo da Microsoft. (OBSERVAÇÃO: O OAuth é um protocolo de autorização de padrão aberto que permite que um aplicativo ou site acesse dados de outro aplicativo ou site, por exemplo, enviando arquivos armazenados na nuvem para outro usuário por e-mail ou permitindo que um site como o ESPN.com acesse seu perfil do Facebook sem fornecer sua senha do Facebook).

Em seguida, a Midnight Blizzard criou outros aplicativos OAuth mal-intencionados e uma nova conta de usuário que permitiu que os aplicativos OAuth mal-intencionados acessassem o ambiente corporativo da Microsoft. Por fim, a Midnight Blizzard usou o aplicativo OAuth de teste legado comprometido para conceder a eles uma função do Office 365 Exchange Online que permite o acesso às caixas de correio dos funcionários.

A Midnight Blizzard aproveitou-se da existência de uma conta de teste de e-mail antiga e de um aplicativo OAuth de teste antigo que nunca foram atualizados para atender aos padrões modernos de segurança cibernética.

O que a Microsoft está mudando em sua postura de segurança?

Em novembro de 2023, a Microsoft anunciou sua Secure Future Initiative (SFI), que reúne todas as partes da Microsoft para promover melhorias substanciais na proteção da segurança cibernética. A iniciativa se esforçou para encontrar um equilíbrio entre segurança e risco comercial. Do ponto de vista do risco comercial, executar uma auditoria para identificar e proteger todas as contas ou aplicativos legados criados (e depois esquecidos) nos quase 50 anos de história da Microsoft e alterar inúmeros processos comerciais relacionados ao estabelecimento e à proteção de novas contas e aplicativos é uma tarefa que exige uma equipe e um tempo consideráveis para ser concluída.

Infelizmente, a Midnight Blizzard é muito boa em explorar contas legadas e aplicativos OAuth para penetrar em sistemas corporativos e obter acesso a informações corporativas e de clientes. Reconhecendo essa experiência, a Microsoft reconheceu a necessidade de proteger suas contas e aplicativos legados o quanto antes, conforme descrito na postagem de19 de janeiro do Microsoft Security Response Center:

"...Agiremos imediatamente para aplicar nossos padrões de segurança atuais aos sistemas legados e processos de negócios internos de propriedade da Microsoft, mesmo quando essas mudanças puderem causar interrupções nos processos de negócios existentes. Isso provavelmente causará algum nível de interrupção enquanto nos adaptamos a essa nova realidade, mas essa é uma etapa necessária e apenas a primeira de várias que adotaremos para adotar essa filosofia." 

O que você pode fazer para proteger seus clientes e aplicativos?

Assim como a Microsoft, uma auditoria de contas legadas e aplicativos OAuth, com ações subsequentes para eliminar as que não estão mais em uso e proteger as que ainda estão em uso usando padrões modernos de segurança cibernética, é uma primeira etapa necessária. A Microsoft compartilhou outras recomendações em sua postagem de25 de janeiro mencionada acima.

ISVs, MSPs e revendedores que precisam fornecer aos clientes acesso seguro baseado na Web a aplicativos Windows podem avaliar a tecnologia usada para tornar esses aplicativos acessíveis aos usuários, inclusive:

  • Protocolo de comunicação de rede usado - é seguro? (OBSERVAÇÃO: se você estiver usando o Microsoft Remote Desktop Protocol (RDP), de acordo com a Sophos, uma empresa global de segurança de TI, o RDP continua sendo "uma das ferramentas mais amplamente abusadas", usada para aproveitar credenciais comprometidas para acesso interno; consulte nossa postagem no blog para obter mais detalhes).
  • Configurações padrão - um administrador ou agente mal-intencionado pode ativar o compartilhamento de recursos do servidor ou do cliente? 
  • Autenticação multifatorial - sua solução de acesso remoto permite a autenticação multifatorial? O hack da Microsoft descrito acima foi, em parte, possibilitado pela falta de MFA em um aplicativo de e-mail de teste legado.
  • Logon único - sua solução de acesso remoto oferece suporte a soluções de logon único? A invasão da Microsoft descrita acima foi possibilitada, em parte, por uma senha fácil de adivinhar.

Se a sua solução de acesso baseada na Web torna seus aplicativos e dados de clientes vulneráveis a agentes mal-intencionados, considere a GO-Global.

  • RapidX Protocol (RXP) - O RXP é um protocolo proprietário de baixa largura de banda para conectividade em linhas seriais. Ele é adaptável, usa várias camadas de compactação e é otimizado para garantir a menor utilização possível da largura de banda. E, como o RXP é de código fechado, ele oferece defesa adicional contra invasores, em comparação com protocolos de código aberto, como o Microsoft RDP, em que foram encontrados e explorados pontos fracos de segurança.
  • Configurações padrão - por padrão, todas as opções de configuração que permitem o compartilhamento de recursos do servidor ou do cliente estão desativadas. Além disso, a GO-Global não publica aplicativos padrão.
  • Autenticação de dois fatores (2FA) - A GO-Global oferece 2FA, um recurso de autenticação avançado que fornece uma camada extra de segurança, exigindo opcionalmente que os usuários insiram um código de 6 dígitos de um aplicativo autenticador em um smartphone, além de seu nome de usuário e senha.
  • Suporte de logon único para OpenID® Connect (OIDC) - permite que as organizações usem provedores de identidade OIDC como Okta® e Microsoft® Active Directory Federated Services (ADFS) para logon único em hosts Windows GO-Global.

A abordagem de várias camadas da GO-Global para proteger aplicativos Windows e dados de clientes reduz o risco de agentes mal-intencionados. Saiba mais aqui.

Para ver o preço de usuário simultâneo da GO-Global com SSO e calcular o preço estimado da GO-Global, clique aqui.

Para solicitar uma demonstração, clique aqui; para obter uma avaliação gratuita de 30 dias do GO-Global, clique aqui.

Teste gratuito de 30 dias
Solicite uma demonstração
Autor
Nannette Vilushis
Diretor de Marketing

Experimente o GO-Global

Uma solução simples, fácil de usar e econômica

Teste gratuito de 30 dias
Solicite uma demonstração

Publicações relacionadas

Procurar em todas as postagens
Broadcom vende VMware EUC
Informações
6 minutos de leitura
Qual é o impacto do acordo entre o Cloud Software Group e a Microsoft sobre os ISVs?
Informações
7 minutos de leitura
Soluções de publicação de aplicativos para MSPs
Informações
5 minutos de leitura

Reduza o custo e a complexidade da entrega de seu aplicativo Windows

Assine nosso boletim informativo
Obrigado por participar de nosso boletim informativo.
Ops! Algo deu errado ao enviar o formulário.