.
A Microsoft, uma semana depois de divulgar que espiões apoiados pelo Kremlin invadiram sua rede e roubaram e-mails e arquivos internos de seus executivos e funcionários, confirmou agora que a conta corporativa comprometida usada na gênese do assalto nem sequer tinha autenticação multifatorial. (MFA) ativado.
Na quinta-feira, Redmond admitiu que a Midnight Blizzard – uma equipe de espionagem apoiada por Moscou, também conhecida como APT29 ou Cozy Bear – “utilizou ataques de spray de senha que comprometeram com sucesso uma conta de inquilino de teste herdada e não produtiva que não tinha autenticação multifator (MFA) habilitada. “
Um ataque de spray de senha ocorre quando um criminoso tenta fazer login em várias contas usando uma senha, depois espera um pouco e tenta novamente com outra senha, repetindo isso indefinidamente. É um tipo de ataque de força bruta projetado para evitar o disparo de sistemas de monitoramento que detectam vários logins com falha em uma conta em um curto período de tempo. A pulverização de senhas é mais sutil e, quando uma conta com uma senha fraca é identificada pelos invasores, eles podem usá-la para começar a explorar o patrimônio de TI.
Depois de obter acesso inicial a um sistema Microsoft que não era de produção, os invasores comprometeram um aplicativo OAuth de teste herdado que tinha acesso ao ambiente de TI corporativo da gigante Windows. A partir daí somos informados:
A equipe então usou esse acesso para roubar e-mails e outros arquivos de caixas de entrada corporativas pertencentes a altos executivos da Microsoft e outros funcionários. Além disso, fomos informados de que a Cozy Bear usava redes residenciais de banda larga como proxies para fazer com que seu tráfego parecesse todo tráfego legítimo de funcionários que trabalhavam em casa, já que vinha de endereços IP de usuários aparentemente reais.
Na sua divulgação, Redmond também quer que todos saibam que a Midnight Blizzard teve como alvo outras organizações. A HPE pode atestar isso, embora neste momento não esteja claro como essa intrusão foi feita.
Por que você está esperando?
Esta é mais uma prova de por que todos – especialmente gigantes globais da tecnologia como a Microsoft – deveriam ativar o MFA o mais rápido possível para todas as contas de usuário.
A Microsoft se recusou a comentar mais sobre a intrusão, embora um porta-voz tenha apontado Strong The One a uma linha em seu alerta anterior sobre a violação de segurança que indica que a MFA será acelerada em todos os aspectos:
“Agiremos imediatamente para aplicar nossos padrões de segurança atuais aos sistemas legados e processos de negócios internos de propriedade da Microsoft, mesmo quando essas mudanças possam causar interrupções nos processos de negócios existentes”.
O comunicado mais recente da Microsoft inclui guias para administradores sobre como evitar ser comprometido da mesma forma que o gigante do software foi atingido. Deixaremos que você decida se deve ou não confiar em seus conselhos, mas ei, pelo menos alguns de nós poderiam aprender com os erros de Redmond.
Recapitulando: na sexta-feira passada, Redmond admitiu que os bisbilhoteiros, ligados à inteligência estrangeira da Rússia, “usaram um ataque de spray de senha para comprometer uma conta legada de inquilino de teste não produtivo e ganhar uma posição segura, e então usaram as permissões da conta para acessar uma porcentagem muito pequena de contas de e-mail corporativo da Microsoft.”
Tudo isso aconteceu no final de novembro, a Microsoft não detectou a intrusão até 12 de janeiro, e as contas de e-mail comprometidas incluíam contas de liderança sênior e funcionários jurídicos e de segurança cibernética.
As divulgações da Microsoft chamaram a atenção para a aparente proteção insuficiente de MFA implantada dentro do titã de TI, que, como disse o senador dos EUA Ron Wyden Strong The Oneé “imperdoável” e “teria evitado este último ataque”.
Na verdade, o próprio Redmond afirmou: “Se a mesma equipe implantasse o locatário legado hoje, a política e os fluxos de trabalho obrigatórios da Microsoft garantiriam que a MFA e nossas proteções ativas fossem capazes de cumprir as políticas e orientações atuais, resultando em melhor proteção contra esses tipos de ataques. “
De acordo com a mais recente inteligência de ameaças de Redmond: “Para a Microsoft, este incidente destacou a necessidade urgente de avançar ainda mais rápido”.
Ou, você sabe, revise a higiene básica de segurança em todo o assunto – e sabemos que a Microsoft tem um mega-império em expansão – de vez em quando. ®
.
