Father
Professional
- Messages
- 2,602
- Reaction score
- 757
- Points
- 113
Совет по обзору кибербезопасности США (CSRB) раскритиковал Microsoft за серию нарушений безопасности, которые привели к взлому почти двух десятков компаний по всей Европе и США китайской национальной группой Storm-0558 в прошлом году.
Выводы, опубликованные Министерством внутренней безопасности (DHS) во вторник, показали, что вторжение можно было предотвратить и что оно стало успешным благодаря "каскаду ошибок Microsoft, которых можно было избежать".
"Он выявил ряд операционных и стратегических решений Microsoft, которые в совокупности указывают на корпоративную культуру, лишающую приоритета инвестиции в безопасность предприятия и строгое управление рисками, что противоречит центральной роли компании в технологической экосистеме и уровню доверия клиентов к компании в защите их данных и операций", - говорится в заявлении DHS.
CSRB также раскритиковал технологического гиганта за то, что он не смог самостоятельно обнаружить компрометацию, вместо этого полагаясь на клиента, который обратится к Microsoft и укажет на нарушение. Далее он обвинил Microsoft в том, что она не уделила приоритетного внимания разработке решения для автоматической ротации ключей и не перестроила свою устаревшую инфраструктуру для удовлетворения потребностей текущего ландшафта угроз.
Впервые об инциденте стало известно в июле 2023 года, когда Microsoft обнаружила, что Storm-0558 получил несанкционированный доступ к 22 организациям, а также более чем к 500 связанным с ними индивидуальным учетным записям пользователей.
Впоследствии Microsoft заявила, что ошибка проверки в ее исходном коде позволила подделать токены Azure Active Directory (Azure AD) с помощью Storm-0558 с использованием ключа подписи пользователя учетной записи Microsoft (MSA), что позволило злоумышленнику проникнуть в почтовые ящики.
В сентябре 2023 года компания обнародовала, что Storm-0558 приобрела ключ подписи потребителя для подделки токенов, скомпрометировав корпоративную учетную запись инженера, имевшую доступ к среде отладки, в которой размещен аварийный дамп его системы подписи потребителя, который также непреднамеренно содержал ключ подписи.
С тех пор Microsoft в обновлении от марта 2024 года признала, что оно было неточным и что ей до сих пор не удалось найти "аварийный дамп, содержащий поврежденный ключевой материал". Он также заявил, что расследование взлома продолжается.
"Нашей основной гипотезой остается то, что операционные ошибки привели к тому, что ключевые материалы покинули среду безопасной подписи токенов, к которым впоследствии был получен доступ в среде отладки через скомпрометированную учетную запись инженера", - отмечается.
"Недавние события продемонстрировали необходимость внедрения новой культуры инженерной безопасности в наших собственных сетях", - цитирует The Washington Post заявление представителя Microsoft.
Считается, что в ходе кампании, начавшейся в мае 2023 года, было отфильтровано около 60 000 несекретных электронных писем из учетных записей Outlook. Китай отверг обвинения в том, что он стоял за атакой.
Ранее в феврале этого года Redmond расширил возможности бесплатного ведения журнала для всех федеральных агентств США, используя Microsoft Purview Audit, независимо от уровня лицензии, чтобы помочь им обнаруживать, реагировать и предотвращать сложные кибератаки.
"Субъект угрозы, ответственный за это наглое вторжение, отслеживался отраслью более двух десятилетий и был связан с операцией Aurora 2009 года и компрометацией RSA SecureID 2011 года", - сказал исполняющий обязанности заместителя председателя CSRB Дмитрий Альперович.
"Эта группа хакеров, аффилированная с Китайской Народной Республикой, имеет возможность и намерение скомпрометировать системы идентификации для доступа к конфиденциальным данным, включая электронную почту лиц, представляющих интерес для китайского правительства".
Для защиты от угроз, исходящих от субъектов, спонсируемых государством, поставщикам облачных услуг было рекомендовано -
Выводы, опубликованные Министерством внутренней безопасности (DHS) во вторник, показали, что вторжение можно было предотвратить и что оно стало успешным благодаря "каскаду ошибок Microsoft, которых можно было избежать".
"Он выявил ряд операционных и стратегических решений Microsoft, которые в совокупности указывают на корпоративную культуру, лишающую приоритета инвестиции в безопасность предприятия и строгое управление рисками, что противоречит центральной роли компании в технологической экосистеме и уровню доверия клиентов к компании в защите их данных и операций", - говорится в заявлении DHS.
CSRB также раскритиковал технологического гиганта за то, что он не смог самостоятельно обнаружить компрометацию, вместо этого полагаясь на клиента, который обратится к Microsoft и укажет на нарушение. Далее он обвинил Microsoft в том, что она не уделила приоритетного внимания разработке решения для автоматической ротации ключей и не перестроила свою устаревшую инфраструктуру для удовлетворения потребностей текущего ландшафта угроз.
Впервые об инциденте стало известно в июле 2023 года, когда Microsoft обнаружила, что Storm-0558 получил несанкционированный доступ к 22 организациям, а также более чем к 500 связанным с ними индивидуальным учетным записям пользователей.
Впоследствии Microsoft заявила, что ошибка проверки в ее исходном коде позволила подделать токены Azure Active Directory (Azure AD) с помощью Storm-0558 с использованием ключа подписи пользователя учетной записи Microsoft (MSA), что позволило злоумышленнику проникнуть в почтовые ящики.
В сентябре 2023 года компания обнародовала, что Storm-0558 приобрела ключ подписи потребителя для подделки токенов, скомпрометировав корпоративную учетную запись инженера, имевшую доступ к среде отладки, в которой размещен аварийный дамп его системы подписи потребителя, который также непреднамеренно содержал ключ подписи.
С тех пор Microsoft в обновлении от марта 2024 года признала, что оно было неточным и что ей до сих пор не удалось найти "аварийный дамп, содержащий поврежденный ключевой материал". Он также заявил, что расследование взлома продолжается.
"Нашей основной гипотезой остается то, что операционные ошибки привели к тому, что ключевые материалы покинули среду безопасной подписи токенов, к которым впоследствии был получен доступ в среде отладки через скомпрометированную учетную запись инженера", - отмечается.
"Недавние события продемонстрировали необходимость внедрения новой культуры инженерной безопасности в наших собственных сетях", - цитирует The Washington Post заявление представителя Microsoft.
Считается, что в ходе кампании, начавшейся в мае 2023 года, было отфильтровано около 60 000 несекретных электронных писем из учетных записей Outlook. Китай отверг обвинения в том, что он стоял за атакой.
Ранее в феврале этого года Redmond расширил возможности бесплатного ведения журнала для всех федеральных агентств США, используя Microsoft Purview Audit, независимо от уровня лицензии, чтобы помочь им обнаруживать, реагировать и предотвращать сложные кибератаки.
"Субъект угрозы, ответственный за это наглое вторжение, отслеживался отраслью более двух десятилетий и был связан с операцией Aurora 2009 года и компрометацией RSA SecureID 2011 года", - сказал исполняющий обязанности заместителя председателя CSRB Дмитрий Альперович.
"Эта группа хакеров, аффилированная с Китайской Народной Республикой, имеет возможность и намерение скомпрометировать системы идентификации для доступа к конфиденциальным данным, включая электронную почту лиц, представляющих интерес для китайского правительства".
Для защиты от угроз, исходящих от субъектов, спонсируемых государством, поставщикам облачных услуг было рекомендовано -
- Внедряйте современные механизмы контроля и базовые практики
- Принять минимальный стандарт ведения журнала аудита по умолчанию в облачных сервисах
- Внедрение новых стандартов цифровой идентификации для защиты облачных сервисов
- Внедрите практику раскрытия информации об инцидентах и уязвимостях для обеспечения максимальной прозрачности
- Разработать более эффективные механизмы уведомления жертв и поддержки для стимулирования усилий по обмену информацией
