Szerző: Dömös Zsuzsanna

2024. január 22. 10:26

Már megint állami hackerek törtek be a Microsofthoz

Egy gyenge jelszót kihasználva sikerült illetékteleneknek beférkőzniük a Microsoft vállalati hálózatába, ahonnan felsővezetők, illetve a biztonsági és jogi csapatokban dolgozó alkalmazottak e-mailjeihez és dokumentumaihoz szereztek hozzáférést. A redmondi cég egy Kreml által támogatott hackercsoportot vádol a támadással, akik Midnight Blizzard, illetve Nobelium néven tevékenykednek.

Ez már a második olyan eset az elmúlt évek során, amikor alapvető biztonsági intézkedésekkel sikerülhetett volna elkerülni egy olyan incidenst, ami potenciális kárt okozhat a Microsoft ügyfeleinek. Az amerikai Értékpapír- és Tőzsdefelügyelethez benyújtott dokumentumok szerint a 2023. novembertől kezdődő támadás során az elkövetőknek jelszószórással (password spray) sikerült feltörniük egy régi tesztelői fiókot, majd annak jogosultságait kihasználva fértek hozzá vállalati e-mail-fiókok „kis százalékához”, érintve a felsővezetői csapatot és a kiberbiztonsági, jogi és egyéb feladatokat ellátó alkalmazottakat.

Ez egyben arra utal, hogy a gyenge jelszón felül a fiókot kétfaktoros hitelesítés (2FA) sem védte. Továbbá az „örökölt, nem gyártási tesztbérlői fiókot” valahogy úgy konfigurálták, hogy a kezelője a legérzékenyebb alkalmazotti fiókokhoz férjenek hozzá, tehát meglepően sok jogosultsággal rendelkezett. Egy másik felmerülő kérdés, hogy a fiókot a tesztelési feladatok végén miért nem törölték. 

Ugyan az incidens nincs jelentős hatása a vállalati működésre, de a Microsoft közleménye szerint továbbra is átláthatóan szeretné jelenteni a biztonsági eseteket, főleg miután életbe léptek a kiberbiztonsági incidensek közzétételére vonatkozó új amerikai követelmények.

hacker_world_map

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

A Microsoft egészen január 12-ig nem észlelte a jogsértést, így az állítólag orosz hackerek két hónapig zavartalanul hozzáférhettek a kompromittált fiókokhoz. Bár a redmondi cég szerint a Midnight Blizzard (továbbá Nobelium, APT29 vagy Cozy Bear) tudomása szerint nem fért hozzá az ügyfélkörnyezetekhez, termelési rendszerekhez, forráskódokhoz vagy MI-rendszerekhez, egyes szakértők szkeptikusak, különösen azzal kapcsolatban, hogy a Microsoft 365 szolgáltatás sebezhető-e hasonló támadási technikákkal szemben. A korábban Microsoftnál is dolgozó Kevin Beaumont biztonsági szakértő szerint ez azért jogosan felmerülő kérdés, mert a cég alkalmazottai a Microsoft 365-öt használják levelezésre.

Az incidens hasonlóságot mutat egy tavalyi támadással, amikor a Storm-0558 néven nyomon követett kínai állami hackerek törtek be a Microsoft hálózatába, majd a következő hónapokban több Azure- és Exchange-fiókhoz fértek hozzá,  köztük amerikai és nyugat-európai kormányzati szervekéhez.

A redmondi cég szerint az elkövetők egy aláíró kulcs megszerzésével tudtak tokeneket hitelesíteni a fiókok eléréséhez az Outlook Web Access (OWA) és az Outlook.com felületén keresztül. A vállalati e-mail-fiókokhoz eléréséhez Azure AD-felhasználókat személyesítettek meg, szintén tokenekkel való visszaélés útján. A csoport körülbelül egy hónapig lehetett tevékeny, amíg az ügyfelek nem értesítették a Microsoftot a rendellenes levelezési tevékenységről. 

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról