Informasjon
6 minutters lesetid

Microsofts e-posthack for bedrifter driver endring

Sist oppdatert:
14. mai 2025
Tilbake til bloggen
Microsofts e-posthack for bedrifter driver endring

Microsofts e-posthack for bedrifter driver endring

Et nylig hacking av Microsoft®-bedrifts-e-postkontoer har overtalt Microsoft til å gjøre et fundamentalt skifte i sin tilnærming til cybersikkerhet i bedrifter.

Hacken

12. januar 2024 oppdaget Microsofts cybersikkerhetsteam et angrep på bedriftssystemene sine og aktiverte umiddelbart responsprosessen for å redusere og stoppe angrepet. Microsofts etterforskning avdekket at angrepet startet i november 2023 med et passordsprayangrep (et brute force-angrep som brukte en liste over vanlige svake passord for å få tilgang til hundrevis av kontoer) for å kompromittere en eldre, ikke-produksjonsbasert testleietakerkonto.

Derfra brukte trusselaktøren tillatelsene til den eldre kontoen til å få tilgang til e-postkontoene og vedlagte dokumenter tilhørende Microsofts toppledelse og ansatte som hovedsakelig jobber med cybersikkerhet og juridiske funksjoner.

Microsoft identifiserte trusselaktøren som Midnight Blizzard (også kjent som Nobelium), en organisasjon sponset av den russiske regjeringen. Nobelium var ansvarlig for sikkerhetsbruddet i desember 2020, der minst ni amerikanske etater brukte den føderale entreprenøren SolarWinds®-programvaren for å få tilgang til etatenes uklassifiserte e-postsystemer for å spore hvordan den amerikanske regjeringen reagerte på Nobeliums sikkerhetsbrudd.

I likhet med SolarWinds-angrepet avslørte Microsofts etterforskning av Microsofts bedriftssystemangrep at trusselaktøren søkte informasjon relatert til Midnight Blizzard selv.

Microsoft delte innledende detaljer om angrepet i et innlegg fra Microsoft Security Response Center den 19. januar, og delte deretter veiledning om respons i et innlegg fra Microsoft Threat Intelligence den 25. januar. Innlegget om veiledning om respons avslørte at Midnight Blizzard har rettet seg mot andre globale teknologiselskaper i tillegg til Microsoft. Denne observasjonen ble bekreftet av en Hewlett Packard Enterprise (HPE)-melding til SEC som avslørte at Midnight Blizzard hadde brutt seg inn i HPEs skybaserte e-postmiljø i mai 2023.

Hvordan skjedde hackingen?

Som nevnt ovenfor brukte Microsofts e-posthack et passordsprayangrep for å kompromittere en eldre, ikke-produksjonsbasert testleietakerkonto. Denne kontoen brøt to grunnleggende regler for nettsikkerhet. For det første hadde kontoen et lett gjettelig passord. For det andre hadde ikke kontoen flerfaktorautentisering (MFA) aktivert.

Microsoft innrømmet i sitt innlegg av 25. januar at dersom den eldre kontoen hadde blitt distribuert i dag, ville standard Microsoft-policyer og arbeidsflyter ha sikret at MFA var på plass.

Da Midnight Blizzard fikk tilgang via den kompromitterte testkontoen for eldre e-post, identifiserte og kompromitterte de deretter en eldre OAuth-testapplikasjon med utvidet tilgang til Microsofts bedriftsmiljø. (MERK: OAuth er en åpen standard autorisasjonsprotokoll som lar ett program eller nettsted få tilgang til data fra et annet program eller nettsted, for eksempel ved å sende skylagrede filer til en annen bruker via e-post, eller la et nettsted som ESPN.com få tilgang til Facebook-profilen din uten å oppgi Facebook-passordet ditt.)

Deretter opprettet Midnight Blizzard ytterligere ondsinnede OAuth-applikasjoner og en ny brukerkonto som ga de ondsinnede OAuth-applikasjonene tilgang til Microsofts bedriftsmiljø. Til slutt brukte Midnight Blizzard den kompromitterte, eldre test-OAuth-applikasjonen til å gi dem en Office 365 Exchange Online-rolle som gir tilgang til ansattes postbokser.

Midnight Blizzard utnyttet eksistensen av en eldre e-posttestkonto og en eldre OAuth-testapplikasjon som aldri ble oppdatert for å møte moderne standarder for nettsikkerhet.

Hva endrer Microsoft i sikkerhetspolitikken sin?

I november 2023 annonserte Microsoft sitt Secure Future Initiative (SFI) som samler alle deler av Microsoft for å drive frem betydelige forbedringer innen cybersikkerhet. Initiativet forsøkte å finne en balanse mellom sikkerhets- og forretningsrisiko. Fra et forretningsrisikoperspektiv er det å gjennomføre en revisjon for å identifisere og sikre alle eldre kontoer eller applikasjoner som er opprettet (og deretter glemt) i Microsofts nesten 50 år lange historie, og å endre utallige forretningsprosesser knyttet til etablering og sikring av nye kontoer og applikasjoner, en oppgave som krever betydelig personale og tid å fullføre.

Dessverre er Midnight Blizzard svært flinke til å utnytte eldre kontoer og OAuth-applikasjoner for å trenge inn i bedriftssystemer og få tilgang til bedrifts- og kundeinformasjon. Microsoft har anerkjent denne ekspertisen og erkjent behovet for å sikre sine eldre kontoer og applikasjoner før heller enn senere, som beskrevet i innlegget fra Microsoft Security Response Center 19. januar:

«...Vi vil umiddelbart handle for å anvende våre nåværende sikkerhetsstandarder på Microsoft-eide eldre systemer og interne forretningsprosesser, selv når disse endringene kan forårsake forstyrrelser i eksisterende forretningsprosesser. Dette vil sannsynligvis føre til en viss grad av forstyrrelser mens vi tilpasser oss denne nye virkeligheten, men dette er et nødvendig skritt, og bare det første av flere vi vil ta for å omfavne denne filosofien.» 

Hva kan du gjøre for å beskytte kundene og applikasjonene dine?

I likhet med Microsoft er en revisjon av eldre kontoer og OAuth-applikasjoner, med påfølgende tiltak for å eliminere de som ikke lenger er i bruk, og sikre de som fortsatt er i bruk ved hjelp av moderne standarder for nettsikkerhet, et nødvendig første skritt. Microsoft har delt andre anbefalinger i innlegget fra 25. januar som er nevnt ovenfor.

ISV-er, MSP-er og forhandlere som trenger å gi kunder sikker nettbasert tilgang til Windows-applikasjoner, kan evaluere teknologien som brukes for å gjøre disse applikasjonene tilgjengelige for brukere, inkludert:

  • Nettverkskommunikasjonsprotokoll som brukes – er den sikker? (MERK: Hvis du bruker Microsoft Remote Desktop Protocol (RDP), er RDP ifølge Sophos, et globalt IT-sikkerhetsselskap, fortsatt «et av de mest misbrukte verktøyene» som brukes til å utnytte kompromitterte legitimasjonsopplysninger for intern tilgang. Se blogginnlegget vårt for mer informasjon.)
  • Standardinnstillinger – kan en administrator eller en dårlig aktør aktivere deling av server- eller klientressurser? 
  • Flerfaktorautentisering – muliggjør fjerntilgangsløsningen din flerfaktorautentisering? Microsoft-hacket beskrevet ovenfor ble delvis muliggjort av mangel på flerfaktorautentisering i et eldre test-e-postprogram.
  • Enkel pålogging – støtter fjerntilgangsløsningen din enkel pålogging? Microsoft-hacket beskrevet ovenfor ble delvis muliggjort av et passord som var lett å gjette.

Hvis din nettbaserte tilgangsløsning gjør applikasjonen og kundedataene dine sårbare for skadelige aktører, bør du vurdere GO-Global.

  • RapidX-protokollen (RXP) – RXP er en proprietær protokoll med lav båndbredde for tilkobling over serielle linjer. Den er adaptiv, bruker flere lag med komprimering og er optimalisert for å sikre lavest mulig båndbreddeutnyttelse. Og fordi RXP er lukket kildekode, tilbyr den ekstra forsvar mot angripere, sammenlignet med protokoller med åpen kildekode som Microsoft RDP, hvor sikkerhetssvakheter har blitt funnet og utnyttet.
  • Standardinnstillinger – alle konfigurasjonsalternativer som muliggjør deling av server- eller klientressurser er utformet som deaktivert. I tillegg publiserer ingen standardapplikasjoner fra GO-Global.
  • Tofaktorautentisering (2FA) – GO-Global tilbyr 2FA, en avansert autentiseringsfunksjon som gir et ekstra sikkerhetslag ved å kreve at brukere oppgir en 6-sifret kode fra en autentiseringsapp på en smarttelefon, i tillegg til brukernavn og passord.
  • Støtte for enkel pålogging for OpenID® Connect (OIDC) – lar organisasjoner bruke OIDC-identitetsleverandører som Okta® og Microsoft® Active Directory Federated Services (ADFS) for enkel pålogging til GO-Global Windows-verter.

GO-Globals flerlags tilnærming til sikring av Windows-applikasjoner og kundedata reduserer risikoen fra ondsinnede aktører. Lær mer her .

For å se GO-Globals priser for samtidige brukere med SSO, og beregne din estimerte GO-Global-pris, klikk her .

For å be om en demo, klikk her ; for en gratis 30-dagers prøveversjon av GO-Global, klikk her .

Gratis 30-dagers prøveperiode
Be om en demonstrasjon
Forfatter
Nannette Vilushis
Markedsføringsdirektør

Prøv GO-Global

En enkel, brukervennlig og kostnadseffektiv løsning

Gratis 30-dagers prøveperiode
Be om en demonstrasjon

Relaterte innlegg

Bla gjennom alle innlegg
Appvirtualisering kontra skrivebordsvirtualisering
Informasjon
5 minutters lesetid
5 vanlige utfordringer ved applikasjonsmigrering
Informasjon
4 minutters lesetid
Problem med lisens for eksternt skrivebord?
Informasjon
7 minutters lesetid

Reduser kostnadene og kompleksiteten ved å levere Windows-appen din

Abonner på nyhetsbrevet vårt
Takk for at du ble med i nyhetsbrevet vårt.
Ups! Noe gikk galt under innsending av skjemaet.