Bir insan hakları kuruluşu, Microsoft tarafından, Temmuz ayında Storm-0558’e atfedilen bir e-posta ihlalinin bir parçası olarak ele geçirildiği konusunda uyarıldı, ancak kuruluş, günlüklerinde herhangi bir uzlaşma kanıtı bulamadı. Neden? Microsoft’a E5 düzeyinde bir lisans için prim ödemedi.
Volexity ile birlikte Steven Adair’in anlatmak için Twitter’a götürdüğü hikaye buydu. günlüğe erişim eksikliği E3 lisanslarına sahip olmayan Microsoft müşterilerinin büyük çoğunluğu için.
Adair, “Bu olay bizim için gerçekten kafa karıştırıcıydı” diye yazdı. “Microsoft 365 ve Azure AD’deki olayları ve şüpheli etkinlikleri araştırmak (Volexity’de) sık sık yaptığımız bir şeydir. Ancak, Microsoft’tan yetkisiz erişimle ilgili bir bildirime rağmen, herhangi bir doğrulayıcı kanıt bulamadık.”
Sorun? Volexity ekibinin, insan hakları örgütünün E3 lisansı ile kayıt kanıtlarına erişimi yoktu.
“Saldırganın e-postalara eriştiği ortaya çıktı ve bu etkinlik düzeyi ‘MailItemsAccessed’ işleminde günlüğe kaydedildi. Ancak, genel olarak konuşursak, bu günlük işlemi E3 lisansları için mevcut değildir ve gerekli ek günlük kaydı yalnızca daha pahalı E5/G5 planları.”
Adair, CISA’nın birinci sınıf E5 düzeyinde günlük kaydının etkinleştirilmesini öneren APT düzeyinde etkinliği tespit etmeye yönelik 12 Temmuz kılavuzunda da kanıtlandığı gibi, tehdit ortamı göz önüne alındığında e-posta günlüğü kaydının tablo payları olması gerektiğini belirtti. Yine de Microsoft’a göre, bir Office 365 E3 lisansı kullanıcı başına aylık 23 ABD Doları, E5 ise kullanıcı başına aylık 38 ABD Doları tutarındadır ve Adair bunun birçok kuruluş için yasaklayıcı olduğuna dikkat çekmiştir.
Microsoft, Dark Reading’in yorum talebine hemen yanıt vermedi.
Microsoft’un Devam Eden “Kayıt Vergisi”
Son Storm-0558 ihlali, bir E5 lisansına sahip olan siber güvenlik “sahipleri” ile hedeflenen insan hakları grubu gibi “sahip olmayanlar” arasındaki veri tutarsızlıklarını vurgulasa da, siber güvenlik uzmanı Jake’e göre sorun yeni değil Williams. Ancak Microsoft, 25 ABD federal devlet kurumunu da etkileyen bu son kampanyanın ardından yakında bu konuda bir şeyler yapma konusunda baskı hissedebilir.
Williams, Dark Reading’e “Yalnızca bir E5 lisansı (veya E3 ile birlikte Güvenlik ve Uyum eklenti lisansı) ile sunulan gelişmiş günlük kaydı, olay müdahale görevlileri ve ihlal koçları için yıllardır bir diken olmuştur” diye açıklıyor. “Bir BEC (iş e-postası uzlaşması) ile vurulan kuruluşlar, tehdit aktörünün hangi mesajları görüntülediğini ancak gelişmiş günlük kaydı olmadan göremediğini görmeyi bekler.”
Bazı durumlarda, hesap bazında nelerin mevcut olduğu konusunda da tutarsızlıklar olabileceğini ekliyor: “Bir kuruluşun bazı hesaplarında yalnızca E5 lisanslaması olabilir, bu da hesap başına hangi etkinlikleri görebilecekleri konusunda tutarlılık olmamasına yol açar. temeli.”
Williams, premium günlüklerin tek başına Storm-0558’in kötü amaçlı etkinliğini kesin olarak tespit edemeyeceğini vurguluyor. Bununla birlikte, Volexity’den Adair, “tüm bu operasyonun bir FCEB Ajansı tarafından ortaya çıkarıldığını” açıkladı. [due to] MailItemsAccessed günlük işlemleriyle ilgili anormal etkinlik” ve bu nedenle Williams, Microsoft’un ileriye dönük günlük ek ücreti üzerinde inceleme yapmaktan kaçınabileceğini beklemiyor.
Williams, “Özellikle e-posta gibi çok temel bir şey için bir günlük kaydı vergisi olmamalı” diye ekliyor. “Microsoft yöneticilerinin bu konuda henüz planlanmamış Kongre oturumlarında gerçekten rahatsız edici bazı soruları yanıtlayacağından şüpheleniyorum.”