‍Microsoftshack av företags e-post driver förändring

En nyligen genomförd hackning av Microsoft®s e-postkonton för företag har fått Microsoft att göra en grundläggande förändring av sin strategi för cybersäkerhet för företag.

Hacket

Den 12 januari 2024 upptäckte Microsofts cybersäkerhetsteam en attack mot företagets system och aktiverade omedelbart sin svarsprocess för att mildra och stänga av attacken. Microsofts utredning visade att attacken startade i november 2023 med hjälp av en lösenordssprayattack (en brute force-attack som använder en lista med vanliga svaga lösenord för att komma åt hundratals konton) för att kompromettera ett äldre icke-produktions testhästkonto.

Därefter använde hotaktören det äldre kontots behörigheter för att komma åt e-postkonton och bifogade dokument för Microsofts högsta ledning och anställda som främst arbetar med cybersäkerhet och juridiska relaterade funktioner.

Microsoft identifierade hotaktören som Midnight Blizzard (även känd som Nobelium), en organisation som sponsras av den ryska regeringen. Nobelium var ansvarigt för intrånget i december 2020 hos minst nio amerikanska myndigheter som använde den federala entreprenören SolarWinds® programvara för att få tillgång till myndigheternas oklassificerade e-postsystem för att spåra hur den amerikanska regeringen svarade på Nobeliums intrång.

I likhet med SolarWinds-attacken avslöjade Microsofts utredning av attacken mot Microsofts företagssystem att hotaktören sökte information relaterad till Midnight Blizzard självt.

Microsoft delade med sig av de första detaljerna om attacken i ett inlägg från Microsoft Security Response Center den¹⁹ januari, och delade sedan med sig av svarsvägledning i ett inlägg från Microsoft Threat Intelligence den ²⁵ januari. I inlägget om svarsvägledning avslöjades att Midnight Blizzard har riktat in sig på andra globala teknikföretag utöver Microsoft. Denna observation bekräftades av en Hewlett Packard Enterprise (HPE) -ansökan till SEC som avslöjade att Midnight Blizzard hade brutit sig in i HPE: s molnhostade e-postmiljö i maj 2023.

Hur gick det till när hacket skedde?

Som nämnts ovan använde Microsofts e-posthack en lösenordssprayattack för att kompromissa med ett äldre icke-produktions testhästkonto. Det här kontot bröt mot två grundläggande cybersäkerhetsregler. För det första hade kontot ett lösenord som var lätt att gissa. För det andra hade kontot inte multifaktorautentisering (MFA) aktiverat.

Microsoft medgav i sitt inlägg den ²⁵ januari att om det äldre kontot hade distribuerats idag, skulle Microsofts standardpolicy och arbetsflöden ha säkerställt att MFA var på plats.

När Midnight Blizzard fick åtkomst via det komprometterade testkontot med äldre e-post identifierade och komprometterade de en äldre OAuth-testapplikation med förhöjd åtkomst till Microsofts företagsmiljö. (OBS: OAuth är ett auktoriseringsprotokoll med öppen standard som gör det möjligt för en applikation eller webbplats att komma åt data från en annan applikation eller webbplats, till exempel att skicka molnlagrade filer till en annan användare via e-post eller låta en webbplats som ESPN.com komma åt din Facebook-profil utan att ange ditt Facebook-lösenord).

Sedan skapade Midnight Blizzard ytterligare skadliga OAuth-applikationer och ett nytt användarkonto som gjorde det möjligt för de skadliga OAuth-applikationerna att komma åt Microsofts företagsmiljö. Slutligen använde Midnight Blizzard den komprometterade OAuth-applikationen för äldre test för att ge dem en Office 365 Exchange Online-roll som ger åtkomst till anställdas brevlådor.

Midnight Blizzard utnyttjade förekomsten av ett äldre e-posttestkonto och en äldre OAuth-testapplikation som aldrig uppdaterats för att uppfylla moderna cybersäkerhetsstandarder.

Vad ändrar Microsoft i sin säkerhetsstrategi?

I november 2023 tillkännagav Microsoft sitt Secure Future Initiative (SFI) som sammanför alla delar av Microsoft för att driva betydande förbättringar av cybersäkerhetsskyddet. Initiativet strävade efter att hitta en balans mellan säkerhet och affärsrisk. Ur ett affärsriskperspektiv är det en uppgift som kräver mycket personal och tid att genomföra en revision för att identifiera och säkra alla äldre konton eller applikationer som skapats (och sedan glömts bort) under Microsofts nästan 50-åriga historia, och att ändra otaliga affärsprocesser relaterade till att upprätta och säkra nya konton och applikationer.

Tyvärr är Midnight Blizzard mycket bra på att utnyttja äldre konton och OAuth-applikationer för att tränga in i företagssystem och få tillgång till företags- och kundinformation. Microsoft erkänner denna expertis och har insett nödvändigheten av att säkra sina äldre konton och applikationer förr snarare än senare, vilket beskrivs i inlägget från Microsoft Security Response Center den¹⁹ januari:

"...Vi kommer att agera omedelbart för att tillämpa våra nuvarande säkerhetsstandarder på Microsoft-ägda äldre system och interna affärsprocesser, även när dessa förändringar kan orsaka störningar i befintliga affärsprocesser. Detta kommer sannolikt att orsaka vissa störningar medan vi anpassar oss till denna nya verklighet, men det är ett nödvändigt steg och bara det första av flera som vi kommer att ta för att anamma denna filosofi." 

Vad kan du göra för att skydda dina kunder och applikationer?

Precis som Microsoft är en granskning av äldre konton och OAuth-applikationer, med efterföljande åtgärder för att eliminera de som inte längre används och säkra de som fortfarande används med hjälp av moderna cybersäkerhetsstandarder, ett nödvändigt första steg. Microsoft har delat med sig av andra rekommendationer i sitt inlägg från den ²⁵ januari som nämns ovan.

ISV:er, MSP:er och återförsäljare som behöver ge sina kunder säker webbaserad åtkomst till Windows-applikationer kan utvärdera den teknik som används för att göra applikationerna tillgängliga för användarna, t.ex:

• Nätverkskommunikationsprotokoll som används - är det säkert? (OBS: Om du använder Microsoft Remote Desktop Protocol (RDP) är RDP enligt Sophos, ett globalt IT-säkerhetsföretag, fortfarande "ett av de mest missbrukade verktygen" som används för att utnyttja komprometterade inloggningsuppgifter för intern åtkomst; se vårt blogginlägg för mer information).
• Standardinställningar - kan en administratör eller bad actor aktivera delning av server- eller klientresurser? 
• Multifaktorautentisering - möjliggör din fjärråtkomstlösning multifaktorautentisering? Microsoft-hacket som beskrivs ovan möjliggjordes delvis av en brist på MFA i en äldre test-e-postapplikation.
• Single Sign-on - har din fjärråtkomstlösning stöd för single sign-on-lösningar? Microsoft-hacket som beskrivs ovan möjliggjordes delvis av ett lösenord som var lätt att gissa.

Om din webbaserade åtkomstlösning gör dina applikationer och kunddata sårbara för dåliga aktörer, överväg GO-Global.

• RapidX Protocol (RXP)-RXP är ett proprietärt protokoll med låg bandbredd för anslutning via seriella linjer. Det är adaptivt, använder flera lager av komprimering och är optimerat för att säkerställa lägsta möjliga bandbreddsutnyttjande. Och eftersom RXP är en sluten källkod erbjuder det ytterligare skydd mot angripare, jämfört med protokoll med öppen källkod som Microsoft RDP, där säkerhetsbrister har hittats och utnyttjats.
• Standardinställningar - alla konfigurationsalternativ som möjliggör delning av server- eller klientresurser är avaktiverade. Dessutom publicerar GO-Global inga standardprogram.
• Tvåfaktorsautentisering (2FA)-GO-Global tillhandahåller 2FA, en avancerad autentiseringsfunktion som ger ett extra säkerhetslager genom att användare måste ange en sexsiffrig kod från en autentiseringsapp på en smart telefon, utöver användarnamn och lösenord.
• Stöd för enkel inloggning för OpenID® Connect (OIDC) - gör det möjligt för organisationer att använda OIDC-identitetsleverantörer som Okta® och Microsoft® Active Directory Federated Services (ADFS) för enkel inloggning på GO-Global Windows-värdar.

GO-Globals flerskiktsstrategi för att säkra Windows-applikationer och kunddata minskar risken från dåliga aktörer. Läs mer om detta här.

För att se GO-Globals prissättning för samtidiga användare med SSO och beräkna din uppskattade GO-Global-prissättning, klicka här.

För att begära en demo, klicka här; för en gratis 30-dagars GO-Global-testversion, klicka här.