Menu dostępności

Microsoft rozszerza możliwości darmowego audytowania zdarzeń

Microsoft rozszerza możliwości darmowego audytowania zdarzeń (na razie tylko dla wybranych)

Korporacja Microsoft rozszerzyła możliwości bezpłatnego rejestrowania zdarzeń na wszystkie agencje federalne USA korzystające z Microsoft Purview Audit, niezależnie od poziomu licencji. Działanie to jest następstwem odkrycia kampanii cyberszpiegowskiej powiązanej z Chinami, skierowanej w ponad 20 organizacji rządowych USA.

„Microsoft automatycznie włączy rejestrację logów na kontach klientów i zwiększy domyślny okres przechowywania logów z 90 do 180 dni” – oznajmiła amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA).

Dane te zapewnią także nową telemetrię, która pomoże większej liczbie agencji federalnych spełnić wymagania dotyczące rejestrowania obowiązujące w memorandum – M-21-31.

W lipcu 2023 r. Microsoft ujawnił, że mająca siedzibę w Chinach grupa APT znana jako Storm‑0558, której działania obejmują między innymi ataki na rządy państw, uzyskała nieautoryzowany dostęp do około 25 podmiotów w USA i Europie, a także do niewielkiej liczby powiązanych indywidualnych kont konsumenckich.

„Storm-0558 działa przy wysokim stopniu technicznego rzemiosła i bezpieczeństwa operacyjnego” – zauważył MS. „Aktorzy są doskonale świadomi środowiska celu, polityk audytujących, wymagań, zasad i procedur uwierzytelniania”.

Kampania rozpoczęła się w maju 2023 r., a wykryta została zaledwie miesiąc później, gdy agencja federalna USA, później doprecyzowana jako Departament Stanu, odkryła podejrzaną aktywność w niesklasyfikowanych dziennikach audytu Microsoft 365 i zgłosiła ją firmie Microsoft.

Naruszenie zostało wykryte poprzez wykorzystanie ulepszonego logowania zdarzeń w Microsoft Purview Audit, w szczególności przy użyciu akcji inspekcji skrzynek pocztowych MailItemsAccessed, która jest zwykle dostępna dla subskrybentów premium.

Producent systemu Windows przyznał, że błąd sprawdzania poprawności w jego kodzie źródłowym pozwolił na sfałszowanie tokenów Azure Active Directory (Azure AD) przez Storm‑0558 przy użyciu klucza podpisywania konta Microsoft (MSA), a następnie wykorzystanie ich do penetracji skrzynek pocztowych.

We wrześniu 2023 r. agencja Reuters podała, że według szacunków napastnicy ukradli co najmniej 60 000 jawnych e-maili z kont Outlook należących do urzędników Departamentu Stanu stacjonujących w Azji Wschodniej, na Pacyfiku i w Europie. Pekin odparł te zarzuty.

„Wiemy, jak ważne jest, aby zaawansowane logowanie umożliwiało agencjom federalnym wykrywanie, reagowanie i zapobieganie nawet najbardziej wyrafinowanym cyberatakom przeprowadzanym przez podmioty dysponujące odpowiednimi zasobami i sponsorowane przez państwo” – powiedziała Candice Ling z Microsoftu. „Z tego powodu współpracujemy z całym rządem federalnym, aby zapewnić dostęp do zaawansowanego audytu”.

Wiemy, że audyt w środowisku Microsoft 365 jest mocno hermetyczny i poza najwyższym planem premium E5 nie zawiera wystarczająco szczegółowych informacji o zdarzeniu. Przechowywanie przez okres 30 lub 90 dni często nie jest wystarczające w rozległych i krytycznych organizacjach. Dlatego cieszymy się, że Microsoft zwrócił na to uwagę i możliwe, że w przyszłości rozszerzy audyt również na pozostałe plany licencyjne.

Popularne

Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

W połowie sierpnia 2025 roku ujawniono poważną lukę bezpieczeństwa w narzędziu Microsoft Web Deploy 4.0, używanym do publikacji aplikacji webowych na serwerach IIS. Luka – oznaczona jako CVE-2025-53772 – pozwal...
Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Deep Web, czyli warstwa Internetu niedostępna dla standardowych wyszukiwarek, często bywa pomijana w analizach bezpieczeństwa, mimo że stanowi niezwykle wartościowe źródło informacji o zagrożeniach. Jej tre...
Miliony laptopów Dell narażone na kompromitację

Miliony laptopów Dell narażone na kompromitację

Niedawno pisaliśmy o kłopotach Lenovo, dzisiaj czas na Dell. Okazuje się, że pięć luk w oprogramowaniu ControlVault3 i powiązanych interfejsach API systemu Windows naraża miliony laptopów na trwałe w...
Hakowanie przez kamerki Linux – nowy wymiar ataku BadUSB

Hakowanie przez kamerki Linux – nowy wymiar ataku BadUSB

W świecie bezpieczeństwa IT coraz więcej urządzeń peryferyjnych działa na wbudowanych systemach Linux – zwiększa to ich funkcjonalność, ale też stwarza nowe zagrożenia. Badania z ostatnich dni ujawniaj...
WinRAR: krytyczna podatność zero-day CVE-2025-8088

WinRAR: krytyczna podatność zero-day CVE-2025-8088

W popularnym narzędziu do archiwizacji plików WinRAR wykryto poważną lukę bezpieczeństwa. Została oceniona na 8.8 w skali CVSS i otrzymała oznaczenie CVE-2025-8088. Błąd dotyczy wersji przeznaczonych dla syste...