Microsoft je u srijedu objavio da proširuje mogućnosti snimanja u Cloud-u kako bi pomogao organizacijama da istraže incidente kibernetičke bezbjednosti i steknu veću vidljivost nakon što se suočio s kritikama nakon nedavne kampanje napada špijunaže usmjerene na njenu email infrastrukturu.
Tehnološki gigant je rekao da pravi promjenu kao direktan odgovor na sve veću učestalost i evoluciju kibernetičkih pretnji nacionalne države. Očekuje se da će biti uveden počevši od septembra 2023. godine za sve vladine i komercijalne klijente.
“Tokom narednih mjeseci uključit ćemo pristup širim sigurnosnim logovima u Cloud-u za naše klijente širom svijeta bez dodatnih troškova” rekao je Vasu Jakkal, korporativni potpredsjednik za sigurnost, usklađenost, identitet i upravljanje u Microsoft-u. “Kako ove promjene stupaju na snagu, korisnici mogu koristiti Microsoft Purview Audit za centralno vizualizaciju više tipova podataka dnevnika u Cloud-u koji se generišu u njihovoj kompaniji.”
Kao dio ove promjene, od korisnika se očekuje da dobiju pristup detaljnim evidencijama pristupa email-u i više od 30 drugih tipova podataka dnevnika koji su ranije bili dostupni samo na nivou pretplate na Microsoft Purview Audit (Premium). Proizvođač Windows-a je rekao da produžava podrazumjevani period zadržavanja za Audit Standard korisnike sa 90 dana na 180 dana.
Američka agencija za kibernetičku bezbjednost i infrastrukturnu sigurnost (CISA) pozdravila je taj potez, navodeći da je “pristup ključnim podacima za evidenciju važno za brzo ublažavanje kibernetičkog upada” i da je to “značajan korak naprijed ka unapređenju sigurnosti prema principima dizajna”.
Razvoj dolazi nakon otkrivanja da je haker koji djeluje iz Kine, nazvan Storm-0558, provalio u 25 organizacija iskorištavajući grešku validacije u Microsoft Exchange okruženju.
Američki State Department, koji je bio jedan od pogođenih subjekata, rekao je da je bio u mogućnosti da otkrije malicioznu aktivnost poštanskog sandučića u junu 2023. godine zbog poboljšanog prijavljivanja u Microsoft Purview Audit, posebno koristeći akciju revizije poštanskog sandučića MailItemsAccessed, što je navelo Microsoft da istraži incident.
Ali druge pogođene organizacije rekle su da nisu bile u mogućnosti otkriti da su provaljene jer nisu pretplatnici E5/A5/G5 licenci, koje dolaze s povećanim pristupom raznim vrstama dnevnika koji bi bili ključni za istragu hakovanja.
Napadi koje je haker pokrenuo su počeli 15. maja 2023. godine, iako je Redmond rekao da je protivnik pokazao sklonost ka OAuth aplikacijama, krađi tokena i napadima ponavljanja tokena na Microsoft naloge najmanje od avgusta 2021. godine.
Microsoft u međuvremenu nastavlja istraživati upade, ali do danas kompanija nije objasnila kako su hakeri uspjeli nabaviti neaktivni Microsoftov račun (MSA) potrošački ključ za potpisivanje kako bi krivotvorili tokene za autentifikaciju i dobili nezakonit pristup nalozima email-a korisnika koristeći Outlook Web Access u Exchange Online (OWA) i Outlook.com.
„Cilj većine kampanja Storm-0558 je da se dobije neovlašćeni pristup email nalozima koji pripadaju zaposlenima u ciljanim organizacijama“ otkrio je Microsoft prošle nedelje.
“Kada Storm-0558 ima pristup željenim korisničkim kredencijalima, haker se prijavljuje na email račun u Cloud-u kompromitovanog korisnika sa važećim kredencijalima naloga. Haker zatim prikuplja informacije sa email naloga preko web usluge.”
Izvor: The Hacker News