.
A Microsoft revelou na semana passada que descobriu um ataque do Estado-nação aos seus sistemas corporativos por parte dos hackers patrocinados pelo Estado russo que estavam por trás do ataque à SolarWinds. Os hackers conseguiram acessar as contas de e-mail de alguns membros da equipe de liderança sênior da Microsoft – potencialmente espionando-os por semanas ou meses.
Embora a Microsoft não tenha fornecido muitos detalhes sobre como os invasores obtiveram acesso em sua divulgação inicial na SEC na noite de sexta-feira, a fabricante de software publicou agora uma análise inicial de como os hackers ultrapassaram sua segurança. Também alerta que o mesmo grupo de hackers, conhecido como Nobelium ou como o apelido de “Midnight Blizzard” que a Microsoft se refere a eles, tem como alvo outras organizações.
O Nobelium inicialmente acessou os sistemas da Microsoft por meio de um ataque de spray de senha. Esse tipo de ataque é de força bruta, em que hackers usam um dicionário de senhas potenciais contra contas. Crucialmente, a conta de inquilino de teste de não produção que foi violada não tinha a autenticação de dois fatores ativada. A Nobelium “adaptou seus ataques de pulverização de senhas para um número limitado de contas, usando um baixo número de tentativas para evitar a detecção”, diz a Microsoft.
A partir desse ataque, o grupo “aproveitou seu acesso inicial para identificar e comprometer um aplicativo OAuth de teste herdado que tinha acesso elevado ao ambiente corporativo da Microsoft”. OAuth é um padrão aberto amplamente utilizado para autenticação baseada em token. É comumente usado na web para permitir que você faça login em aplicativos e serviços sem precisar fornecer sua senha a um site. Pense em sites nos quais você pode entrar com sua conta do Gmail, isso é o OAuth em ação.
Esse acesso elevado permitiu ao grupo criar mais aplicativos OAuth maliciosos e criar contas para acessar o ambiente corporativo da Microsoft e, eventualmente, seu serviço Office 365 Exchange Online, que fornece acesso a caixas de entrada de e-mail.
“A Midnight Blizzard aproveitou esses aplicativos OAuth maliciosos para autenticar no Microsoft Exchange Online e direcionar contas de email corporativas da Microsoft”, explica a equipe de segurança da Microsoft.
A Microsoft não revelou quantas de suas contas de e-mail corporativas foram direcionadas e acessadas, mas a empresa as descreveu anteriormente como “uma porcentagem muito pequena de contas de e-mail corporativas da Microsoft, incluindo membros de nossa equipe de liderança sênior e funcionários de segurança cibernética, jurídica, e outras funções.”
A Microsoft também ainda não divulgou um cronograma exato de quanto tempo os hackers espionaram sua equipe de liderança sênior e outros funcionários. O ataque inicial ocorreu no final de novembro de 2023, mas a Microsoft só o descobriu no dia 12 de janeiro. Isso pode significar que os invasores espionaram executivos da Microsoft por quase dois meses.
A Hewlett Packard Enterprise (HPE) revelou no início desta semana que o mesmo grupo de hackers já havia obtido acesso ao seu “ambiente de e-mail baseado em nuvem”. A HPE não revelou o nome do fornecedor, mas a empresa revelou que o incidente estava “provavelmente relacionado” à “exfiltração de um número limitado de [Microsoft] Arquivos do SharePoint já em maio de 2023.”
O ataque à Microsoft ocorreu poucos dias depois de a empresa anunciar seu plano de revisar a segurança de seu software após grandes ataques à nuvem Azure. É o mais recente incidente de segurança cibernética a atingir a Microsoft, depois que 30.000 servidores de e-mail de organizações foram hackeados em 2021 devido a uma falha do Microsoft Exchange Server, e hackers chineses violaram e-mails do governo dos EUA por meio de uma exploração na nuvem da Microsoft no ano passado. A Microsoft também esteve no centro do ataque gigante à SolarWinds há quase três anos, que foi realizado pelo mesmo grupo Nobelium por trás deste embaraçoso ataque por e-mail executivo.
A admissão pela Microsoft da falta de autenticação de dois fatores no que era claramente uma conta de teste importante provavelmente levantará suspeitas na comunidade de segurança cibernética. Embora esta não fosse uma vulnerabilidade de software da Microsoft, era um conjunto de ambientes de teste mal configurados que permitiam que os hackers se movimentassem silenciosamente pela rede corporativa da Microsoft. “Como um ambiente de teste que não seja de produção leva ao comprometimento dos funcionários mais graduados da Microsoft?” perguntou o CEO da CrowdStrike, George Kurtz, em uma entrevista à CNBC no início desta semana. “Acho que há muito mais que será revelado sobre isso.”
Kurtz estava certo, mais foi divulgado, mas ainda faltam alguns detalhes importantes. A Microsoft afirma que se esse mesmo ambiente de teste de não produção fosse implantado hoje, “a política e os fluxos de trabalho obrigatórios da Microsoft garantiriam que a MFA e nossas proteções ativas estivessem habilitadas” para melhor proteção contra esses ataques. A Microsoft ainda tem muito mais a explicar, especialmente se quiser que os seus clientes acreditem que está realmente a melhorar a forma como concebe, constrói, testa e opera o seu software e serviços para melhor proteger contra ameaças à segurança.
.
