Атаката към Microsoft е довела до компрометирането на 60 000 правителствени имейла
По-рано това лято, Microsoft сигнализираха за офанзива към вътрешната облачната инфраструктура на компанията, при което е довело до компрометирането на стеснен брой Exchange Online и Outlook сметки на държавни и корпоративни клиенти на компанията. Излязъл след това отчет на Wiz Security обаче обори изказванията на Microsoft за „ ограничавания брой “ на засегнатите страни, пишейки, че евентуалния мащаб на офанзивата може да е пагубен. Хакерите, хипотетично китайска кибершпионска организация, съумяла да се снабди с неактиввни ключове за автограф за удостоверителни токени за услугата мултифакторно засвидетелствуване Azure Active Directory (AAD), а оттова – да подправят автентикационни токени за необятен кръг от стратегии, разчитащи на Azure, като SharePoint, Teams, OneDrive, както и всяко потребителско приложение, позволяващо вход посредством Login with Microsoft характерността. По този метод те е можели да се показват пред услугата като достоверния притежател на който и да е акаунт и да влязат в него. А дали откраднати 60 000 имейла от сметки, помещаващи и обменящи конфиденциална информация с несъмнено високо равнище на достъп, може да се назова „ лимитирана офанзива “ е въпрос, който Microsoft евентуално ще бъдат питани скоро от управляващите в Съединени американски щати.
Reuters предава за неотдавна провели се чуване по случая в американския сенат, в който представител на Вътрешния департамент на Съединени американски щати разкрива, че най-малко 60 000 имейла са били откраднати в хода на офанзивата към ведомството. Става дума за представителства на департамента в Източна Азия, Европа и тихоокеанския район. В допълнение, атакуващата страна съумяла да се снабди с цялостен лист на всички имейл сметки, принадлежащи на Вътрешния департамент на страната.
По отношение на това, което се е случило и дали вредите е можело да бъдат минимизирани, Wiz Security показват опцията за следене на записите от събитията.
„ За страдание, липсват стандартизирани практики във връзка с записа на събитията от характерни приложения. Следователно, в множеството случаи, притежателите на приложенията не разполагат с подробни записи, съдържащи информация за токените за „ необработен “ достъп или съответстващия го подписал го ключ. В резултат от това, идентифицирането и следствието на сходни събития може да се окаже ивънредно мъчно за притежателите на приложението “, написаха Wiz в края на юли. Вследствие на тази обстановка, Microsoft бяха принудени под напън от Агенцията за киберсигурност и отбрана на инфраструктурата (CISA) да разрешат по-широк достъп до облачните си логове, гратис. Това ще разреши евентуални опити за щурм в бъдеще. Bleeping Computer привежда, че сходен достъп до този миг са имали само притежателите на специфични Purview Audit (Premium) лицензи. Това се явява и повода Microsoft да са подлагани под сериозна рецензия от организации, които е можело да засекат офанзивите от китайските хакери.
