Microsoft, Mayıs ve Haziran 2023 arasında bir Exchange Online ihlali sırasında Çinli bilgisayar korsanlarının ABD hükümetinin e-postalarını fark edilmeden çaldığını açıklamasından altı ay sonra, nihayet tüm ABD federal kurumları için ücretsiz Purview Audit kayıt tutma yeteneklerini genişletti.
Şirket, olayı açıkladığından beri CISA, Yönetim ve Bütçe Ofisi (OMB) ve Ulusal Siber Direktör Ofisi (ONCD) ile birlikte çalışarak federal kurumların artık benzer olayları tespit etmek için gereken tüm kayıt verilerine erişebilmesini sağlıyor. gelecekte saldırılar
Bugün yayınlanan bir basın bülteninde, “Bu aydan itibaren, genişletilmiş günlük kaydı, lisans katmanına bakılmaksızın Microsoft Purview Audit’i kullanan tüm ajansların kullanımına sunulacak” deniyor.
“Microsoft, müşteri hesaplarındaki günlükleri otomatik olarak etkinleştirecek ve varsayılan günlük saklama süresini 90 günden 180 güne çıkaracak. Ayrıca bu veriler, daha fazla federal kurumun OMB Memorandumu M-21-31 tarafından zorunlu kılınan günlük kaydı gereksinimlerini karşılamasına yardımcı olacak yeni telemetri sağlayacak. “
Yeni değişiklik aynı zamanda tüm teknoloji sağlayıcılarının ek yapılandırma veya ekstra ücret gerektirmeden “yüksek kaliteli denetim günlükleri” sağlaması gerektiğini söyleyen CISA’nın Güvenli Tasarım kılavuzuyla da uyumludur.
CISA’nın Siber Güvenlikten Sorumlu Yönetici Asistanı Eric Goldstein, “Geçen yaz, Microsoft’un gerekli günlük kayıtlarını federal kurumlara ve daha geniş siber güvenlik topluluğuna sunma konusundaki kararlılığını görmekten memnuniyet duyduk. Bu hedefe doğru gerçek bir ilerleme kaydetmiş olmaktan memnuniyet duyuyorum” dedi.
“Her kuruluşun güvenli ve emniyetli teknolojiye sahip olma hakkı vardır ve biz bu hedefe doğru ilerlemeye devam ediyoruz.”
En az 25 kuruluşun Outlook hesapları ihlal edildi
Temmuz ayında Microsoft, Storm-0558 olarak takip edilen Çinli bir bilgisayar korsanlığı grubunun ABD ve Batı Avrupa devlet kurumları da dahil olmak üzere yaklaşık 25 kuruluşun Exchange Online Outlook verilerine eriştiğini ve bu verileri çaldığını açıklamıştı.
Daha sonra ortaya çıktığı üzere, tehdit aktörleri, kimlik doğrulama belirteçleri oluşturmak ve hedeflenen e-posta hesaplarına Exchange Online (OWA) ve Outlook.com aracılığıyla Outlook Web Erişimi aracılığıyla erişmek için Windows kilitlenme dökümünden çalınan bir Microsoft hesabı (MSA) tüketici anahtarını kullandı.
Bilgisayar korsanları çoğunlukla tespit edilmekten kaçınırken, etkilenen bazı ABD federal kurumları, gelişmiş günlük kaydı (ör. MailItemsAccessed olayları) kullanarak kötü amaçlı etkinliği tespit etti.
Bununla birlikte, bu gelişmiş günlük kaydı yetenekleri yalnızca Microsoft’un Purview Audit (Premium) günlük kaydı lisanslarına sahip müşteriler tarafından kullanılabiliyordu; bu da Redmond’un, kuruluşların Storm-0558’in saldırılarını anında tespit etmesini engellediği için eleştirilere yol açtı.
Olayın açıklanmasının ve CISA’nın baskısının ardından Microsoft, ağ savunucularının gelecekte benzer ihlal girişimlerini tespit etmelerine olanak sağlamak için günlük kaydı verilerine erişimi ücretsiz olarak genişletmeyi kabul etti.
Olaydan aylar sonra ABD Dışişleri Bakanlığı yetkilileri, Çinli Storm-0558 bilgisayar korsanlarının, Microsoft’un bulut tabanlı Exchange Online e-posta platformunu ihlal ettikten sonra Dışişleri Bakanlığı yetkililerine ait Outlook hesaplarından en az 60.000 e-postayı çaldığını açıkladı.
ABD Senatörü Ron Wyden bugün CyberScoop’a şunları söyledi: “Microsoft, baskılara boyun eğdiği ve güvenlik kayıtları gibi temel özellikler için artık müşterilerini ek ücret karşılığında zorlamayacağını açıkladığı için hiçbir övgüyü hak etmiyor.”
“Yangınla mücadele hizmetleri satan bir kundakçı gibi, Microsoft da kendi ürünlerindeki güvenlik açıklarından yararlandı ve yılda on milyarlarca dolar üreten bir güvenlik işi kurdu. İhmalkar siber güvenlik nedeniyle yazılım şirketlerini sorumlu tutmanın gerekliliğine dair daha net bir örnek yok. “