‍MicrosoftCorporate Email Hack skaber forandring

Et nyligt hack af Microsoft®-virksomhedsmailkonti har fået Microsoft til at foretage et grundlæggende skift i sin tilgang til virksomheders cybersikkerhed.

Hacket

Den 12. januar 2024 opdagede Microsofts cybersikkerhedsteam et angreb på virksomhedens systemer og aktiverede straks sin responsproces for at afbøde og lukke ned for angrebet. Microsofts undersøgelse afslørede, at angrebet startede i november 2023 ved hjælp af et password spray-angreb (et brute force-angreb, der bruger en liste med almindelige svage passwords til at få adgang til hundredvis af konti) for at kompromittere en ældre ikke-produktions test tenant-konto.

Derfra brugte trusselsaktøren den gamle kontos tilladelser til at få adgang til e-mailkonti og vedhæftede dokumenter fra Microsofts øverste ledelse og medarbejdere, der primært arbejder med cybersikkerhed og juridisk relaterede funktioner.

Microsoft identificerede trusselsaktøren som Midnight Blizzard (også kendt som Nobelium), en organisation, der er sponsoreret af den russiske regering. Nobelium var ansvarlig for bruddet i december 2020 på mindst ni amerikanske agenturer, der brugte den føderale entreprenør SolarWinds®-software til at få adgang til agenturernes uklassificerede e-mailsystemer for at spore, hvordan den amerikanske regering reagerede på Nobeliums brud.

I lighed med SolarWinds-angrebet afslørede Microsofts undersøgelse af angrebet på Microsofts virksomhedssystemer, at trusselsaktøren søgte oplysninger relateret til selve Midnight Blizzard.

Microsoft delte de første detaljer om angrebet i et indlæg fra Microsoft Security Response Center^{den 19.} januar og delte derefter svarvejledningen i et indlæg fra Microsoft Threat Intelligence den ²⁵. januar. Indlægget om svarvejledning afslørede, at Midnight Blizzard har været ude efter andre globale teknologivirksomheder ud over Microsoft. Denne observation blev bekræftet af en indberetning fra Hewlett Packard Enterprise (HPE) til SEC, der afslørede, at Midnight Blizzard havde brudt ind i HPE's cloud-hostede e-mailmiljø i maj 2023.

Hvordan skete hacket?

Som nævnt ovenfor brugte Microsofts e-mail-hack et password-spray-angreb til at kompromittere en ældre ikke-produktions-testlejerkonto. Denne konto brød to grundlæggende cybersikkerhedsregler. For det første havde kontoen en adgangskode, der var nem at gætte. For det andet havde kontoen ikke multifaktorgodkendelse (MFA) aktiveret.

Microsoft indrømmede i sit indlæg den ²⁵. januar, at hvis den ældre konto var blevet implementeret i dag, ville Microsofts standardpolitik og -arbejdsgange have sikret, at MFA var på plads.

Da Midnight Blizzard havde fået adgang via den kompromitterede ældre e-mail-testkonto, identificerede de og kompromitterede derefter en ældre OAuth-testapplikation med forhøjet adgang til Microsofts virksomhedsmiljø. (BEMÆRK: OAuth er en godkendelsesprotokol med åben standard, der giver en applikation eller et website adgang til data fra en anden applikation eller et andet website, f.eks. at sende filer, der er lagret i skyen, til en anden bruger via e-mail eller at give et website som ESPN.com adgang til din Facebook-profil uden at oplyse din Facebook-adgangskode).

Derefter oprettede Midnight Blizzard yderligere ondsindede OAuth-applikationer og en ny brugerkonto, der gav de ondsindede OAuth-applikationer adgang til Microsofts virksomhedsmiljø. Endelig brugte Midnight Blizzard den kompromitterede ældre test-OAuth-applikation til at give dem en Office 365 Exchange Online-rolle, der giver adgang til medarbejdernes postkasser.

Midnight Blizzard udnyttede eksistensen af en ældre e-mail-testkonto og en ældre OAuth-testapplikation, som aldrig blev opdateret til at opfylde moderne cybersikkerhedsstandarder.

Hvad ændrer Microsoft i sin sikkerhedspolitik?

I november 2023 annoncerede Microsoft deres Secure Future Initiative (SFI), der samler alle dele af Microsoft for at skabe væsentlige forbedringer i cybersikkerhedsbeskyttelsen. Initiativet stræbte efter at finde en balance mellem sikkerhed og forretningsrisiko. Ud fra et forretningsrisikoperspektiv er det en opgave, der kræver meget personale og tid at gennemføre, at køre en revision for at identificere og sikre alle ældre konti eller applikationer, der er oprettet (og derefter glemt) i Microsofts næsten 50-årige historie, og at ændre utallige forretningsprocesser i forbindelse med etablering og sikring af nye konti og applikationer.

Desværre er Midnight Blizzard meget god til at udnytte ældre konti og OAuth-applikationer til at trænge ind i virksomhedssystemer og få adgang til virksomheds- og kundeoplysninger. I erkendelse af denne ekspertise har Microsoft erkendt nødvendigheden af at sikre sine ældre konti og applikationer før snarere end senere, som beskrevet i indlægget fra Microsoft Security Response Center^{den 19.} januar:

"...Vi vil straks anvende vores nuværende sikkerhedsstandarder på Microsoft-ejede ældre systemer og interne forretningsprocesser, selv når disse ændringer kan forårsage forstyrrelser i de eksisterende forretningsprocesser. Det vil sandsynligvis medføre en vis grad af forstyrrelse, mens vi tilpasser os denne nye virkelighed, men det er et nødvendigt skridt, og kun det første af flere, vi vil tage for at omfavne denne filosofi." 

Hvad kan du gøre for at beskytte dine kunder og applikationer?

Ligesom Microsoft er en revision af ældre konti og OAuth-applikationer med efterfølgende handling for at fjerne dem, der ikke længere er i brug, og sikre dem, der stadig er i brug, ved hjælp af moderne cybersikkerhedsstandarder, et nødvendigt første skridt. Microsoft har delt andre anbefalinger i sit indlæg fra ²⁵. januar, som er nævnt ovenfor.

ISV'er, MSP'er og forhandlere, der har brug for at give kunderne sikker webbaseret adgang til Windows-programmer, kan evaluere den teknologi, der bruges til at gøre disse programmer tilgængelige for brugerne, herunder:

• Anvendt netværkskommunikationsprotokol - er den sikker? (BEMÆRK: Hvis du bruger Microsoft Remote Desktop Protocol (RDP), er RDP ifølge Sophos, et globalt it-sikkerhedsfirma, stadig "et af de mest misbrugte værktøjer", der bruges til at udnytte kompromitterede legitimationsoplysninger til intern adgang; se vores blogindlæg for flere detaljer).
• Standardindstillinger - kan en administrator eller bad actor aktivere deling af server- eller klientressourcer? 
• Multifaktor-autentificering - giver din fjernadgangsløsning mulighed for multifaktor-autentificering? Microsoft-hacket, der er beskrevet ovenfor, blev til dels muliggjort af manglende MFA i en ældre test-e-mail-applikation.
• Single Sign-on - understøtter din fjernadgangsløsning single sign-on-løsninger? Microsoft-hacket, der er beskrevet ovenfor, blev til dels muliggjort af en adgangskode, der var nem at gætte.

Hvis din webbaserede adgangsløsning gør din applikation og dine kundedata sårbare over for dårlige aktører, bør du overveje GO-Global.

• RapidX Protocol (RXP)-RXP er en proprietær protokol med lav båndbredde til forbindelse over serielle linjer. Den er adaptiv, bruger flere komprimeringslag og er optimeret til at sikre den lavest mulige udnyttelse af båndbredden. Og fordi RXP er closed source, giver den et ekstra forsvar mod angribere sammenlignet med open source-protokoller som Microsoft RDP, hvor der er fundet og udnyttet sikkerhedsmæssige svagheder.
• Standardindstillinger - ved design er alle konfigurationsmuligheder, der muliggør deling af server- eller klientressourcer, deaktiveret. Derudover udgiver GO-Global ingen standardprogrammer.
• To-faktor-autentificering (2FA) -GO-Global leverer 2FA, en avanceret godkendelsesfunktion, der giver et ekstra lag af sikkerhed ved eventuelt at kræve, at brugerne indtaster en 6-cifret kode fra en godkendelsesapp på en smartphone, ud over deres brugernavn og adgangskode.
• Single Sign-On Support for OpenID® Connect (OIDC) - gør det muligt for organisationer at bruge OIDC-identitetsudbydere som Okta® og Microsoft® Active Directory Federated Services (ADFS) til single sign-on på GO-Global Windows-værter.

GO-Globals flerlagstilgang til sikring af Windows-applikationer og kundedata reducerer risikoen fra dårlige aktører. Få mere at vide her.

Klik her for at se GO-Globals priser for samtidige brugere med SSO og for at beregne din anslåede GO-Global-pris.

Klik her for at anmode om en demo; klik her for at få en gratis 30-dages GO-Global-prøveperiode.