Getty-afbeeldingen
Hackers uit de Russische staat gebruikten een zwak wachtwoord om het bedrijfsnetwerk van Microsoft in gevaar te brengen en toegang te krijgen tot e-mails en documenten van senior executives en werknemers die in de beveiligings- en juridische teams werken, zei Microsoft vrijdag laat.
De aanval, die Microsoft toeschreef aan een door het Kremlin gesteunde hackgroep waar het achteraan gaat als Midnight Blizzard, is op zijn minst de tweede keer in evenveel jaren dat een gebrek aan basisveiligheidshygiëne heeft geresulteerd in een inbreuk die klanten zou kunnen schaden. Eén paragraaf in de aankondiging van vrijdag, ingediend bij de Securities and Exchange Commission, was ironisch:
Vanaf eind november 2023 gebruikte een bedreigingsacteur een wachtwoordspray-aanval om het oude niet-productieproefaccount van een huurder in gevaar te brengen en voet aan de grond te krijgen, en gebruikte vervolgens accountmachtigingen om toegang te krijgen tot een zeer klein percentage van de zakelijke e-mailaccounts van Microsoft, inclusief leden van onze senior teammanagement en medewerkers in onze cyberbeveiligings-, juridische en andere functies, en hebben enkele e-mails en bijgevoegde documenten geëxfiltreerd. Uit onderzoek blijkt dat ze in eerste instantie e-mailaccounts targetten op informatie met betrekking tot Midnight Blizzard zelf. We zijn bezig met het informeren van medewerkers van wie de e-mails zijn geopend.
Microsoft maakte de inbreuk pas op 12 januari bekend, precies een week voor de aankondiging van vrijdag. Het Microsoft-account roept de mogelijkheid op dat Russische hackers wel twee maanden ononderbroken toegang tot de accounts hadden.
Vertaling van de 93 hierboven aangehaalde woorden: Een apparaat binnen het Microsoft-netwerk werd beschermd door een zwak wachtwoord, waarop geen enkele vorm van tweefactorauthenticatie werd toegepast. De Russische tegenstandersgroep slaagde erin om eerder gecompromitteerde of vaak gebruikte wachtwoorden te doorzoeken totdat ze uiteindelijk bij de juiste terechtkwamen. De bedreigingsacteur heeft vervolgens toegang gekregen tot het account, wat aangeeft dat 2FA niet is gebruikt of dat de beveiliging op de een of andere manier is omzeild.
Bovendien was dit “legacy non-productie tenant-proefaccount” op de een of andere manier zo geconfigureerd dat Midnight Blizzard zich kon omdraaien en toegang kon krijgen tot enkele van de meest prestigieuze en gevoelige werknemersaccounts van het bedrijf.
Zoals Steve Bellovin, hoogleraar computerwetenschappen en universitair hoofddocent rechten aan Columbia University met tientallen jaren ervaring op het gebied van cyberbeveiliging, op Mastodon schreef:
Er zijn hier veel fascinerende implicaties. Een succesvolle wachtwoordspray-aanval duidt op geen 2FA en hergebruikte of zwakke wachtwoorden. Toegang tot e-mailaccounts van ‘senior management…cyberbeveiligings- en juridische’ teams die alleen ‘tenant testaccount’-machtigingen gebruiken, suggereert dat iemand dat testaccount ongelooflijke privileges heeft gegeven. Waarom? Waarom werd het niet verwijderd toen de test was voltooid? Ik merk ook op dat het Microsoft ongeveer zeven weken kostte om de aanval te ontdekken.
Hoewel Microsoft zei dat het niet op de hoogte was van enig bewijs dat Midnight Blizzard toegang kreeg tot gebruikersomgevingen, productiesystemen, broncode of AI-systemen, hebben sommige onderzoekers twijfels geuit, met name over de vraag of de Microsoft 365-service mogelijk kwetsbaar was of was voor soortgelijke aanvallen. technieken. Een van de onderzoekers was Kevin Beaumont, die een lange carrière in cybersecurity achter de rug had en onder meer voor Microsoft werkte. Hij schreef op LinkedIn:
Microsoft-medewerkers gebruiken Microsoft 365 voor e-mail. SEC-aangiften en vrijdagavondblogs zonder details zijn geweldig… maar zullen moeten worden opgevolgd met feitelijke details. Voorbij zijn de dagen dat Microsoft tenten bouwde, codewoorden incidenten, CELA-dingen en deed alsof MSTIC alles kon zien (bedreigingsactoren hebben ook Macs) – ze moeten een radicale technische en culturele transformatie doorvoeren om het vertrouwen te behouden.
CELA staat voor Corporate, External, and Legal Affairs, een groep binnen Microsoft die helpt bij het opstellen van data. MSTIC staat voor Microsoft Threat Intelligence Center.