Dalış Özeti:
- ABD Dışişleri Bakanlığı hırsızlığının arkasındaki Çin bağlantılı tehdit aktörleri ve diğer Microsoft müşteri e-postaları Exchange Online ve Outlook.com dışındaki uygulamalara erişim kazanmış olabilir, Cuma günü yayınlanan bir rapora göre tarafından Vis.
- Araştırmacılar, güvenliği ihlal edilmiş özel şifreleme anahtarının, bilgisayar korsanlarının SharePoint, Teams ve OneDrive dahil olmak üzere birden çok Azure Active Directory uygulaması türü için erişim belirteçleri oluşturmasına izin vermiş olabileceğini söyledi.
- Bir Microsoft sözcüsü e-posta yoluyla “Bu blogda öne sürülen iddiaların çoğu spekülatiftir ve kanıta dayalı değildir” dedi. “Müşterilerimizin bu olay hakkında daha fazla bilgi edinmek için bloglarımızı, özellikle Microsoft Tehdit İstihbaratı blogumuzu incelemelerini ve kamuya açıkladığımız güvenlik ihlali göstergelerini kullanarak kendi ortamlarını araştırmalarını öneriyoruz.”
Dalış Bilgisi:
Microsoft, bu ayın başlarında, birden fazla devlet müşterisi de dahil olmak üzere dünya çapında yaklaşık 25 müşterinin Microsoft’un Storm-0558 adını verdiği gelişmiş bir kalıcı tehdit grubu tarafından saldırıya uğradığı konusunda uyardı.
Bilgisayar korsanları hassas Dışişleri Bakanlığı e-postalarına erişim kazandı bildirildiğine göre, diğerlerinin yanı sıra ABD Ticaret Bakanı Gina Raimondo’dan gelen e-postalar. Hükümet yetkilileri Microsoft’u güvenlik açığı hakkında bilgilendirdikten sonra, Siber Güvenlik ve Altyapı Güvenliği Ajansı, hasarı kontrol altına almak ve bilgisayar korsanlarının başlangıçta nasıl erişim elde ettiğini daha ayrıntılı araştırmak için Microsoft ile birlikte çalıştı.
Tehdit aktörü bir MSA tüketici imzalama anahtarına erişim kazandıMicrosoft, bu ayın başlarında yaptığı açıklamada, Exchange Online ve Outlook.com için erişim belirteçleri oluşturmasına izin verdiğini söyledi. Ancak Wiz araştırması, anahtarın çok daha geniş bir uygulama yelpazesine erişim sağladığını gösteriyor.
Wiz’in kıdemli güvenlik araştırmacısı Nir Ohfeld, e-posta yoluyla, “Bu soruşturmayla ilgili en büyük sürprizimiz, tehdit aktörünün etkisinin güvenlik topluluğunun çoğunun fark ettiğinden çok daha geniş olabileceğini keşfetmemiz oldu – birçoğu yanlış bir şekilde bunun Outlook ile sınırlı olduğunu varsayıyordu – ve ayrıca tam olası etkiyi bilmiyoruz.”
Wiz araştırmacıları, yeni araştırma raporu üzerinde Microsoft ile birlikte çalıştı ve kuruluşlar, etkilenmiş olabilecek tüm uygulamalarda sahte belirteç kullanımını araştırmalıdır. Rapora göre kullanıcılar, uygulamaların hiçbirinin Microsoft OpenID genel sertifikalarının önbelleğe alınmış bir sürümünü kullanmadığından emin olmalıdır. Varsa, önbelleği yenileyin.
Microsoft kısa bir süre önce, federal yetkililerin ve rakip güvenlik şirketlerinin tepkisinden sonra güvenlik günlüğü verilerini varsayılan olarak kullanılabilir hale getirdi.