Microsoft rozszerza możliwości darmowego audytowania zdarzeń (na razie tylko dla wybranych)

„Microsoft automatycznie włączy rejestrację logów na kontach klientów i zwiększy domyślny okres przechowywania logów z 90 do 180 dni” – oznajmiła amerykańska Agencja ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA).

Dane te zapewnią także nową telemetrię, która pomoże większej liczbie agencji federalnych spełnić wymagania dotyczące rejestrowania obowiązujące w memorandum – M-21-31.

W lipcu 2023 r. Microsoft ujawnił, że mająca siedzibę w Chinach grupa APT znana jako Storm‑0558, której działania obejmują między innymi ataki na rządy państw, uzyskała nieautoryzowany dostęp do około 25 podmiotów w USA i Europie, a także do niewielkiej liczby powiązanych indywidualnych kont konsumenckich.

„Storm-0558 działa przy wysokim stopniu technicznego rzemiosła i bezpieczeństwa operacyjnego” – zauważył MS. „Aktorzy są doskonale świadomi środowiska celu, polityk audytujących, wymagań, zasad i procedur uwierzytelniania”.

Kampania rozpoczęła się w maju 2023 r., a wykryta została zaledwie miesiąc później, gdy agencja federalna USA, później doprecyzowana jako Departament Stanu, odkryła podejrzaną aktywność w niesklasyfikowanych dziennikach audytu Microsoft 365 i zgłosiła ją firmie Microsoft.

Naruszenie zostało wykryte poprzez wykorzystanie ulepszonego logowania zdarzeń w Microsoft Purview Audit, w szczególności przy użyciu akcji inspekcji skrzynek pocztowych MailItemsAccessed, która jest zwykle dostępna dla subskrybentów premium.

Producent systemu Windows przyznał, że błąd sprawdzania poprawności w jego kodzie źródłowym pozwolił na sfałszowanie tokenów Azure Active Directory (Azure AD) przez Storm‑0558 przy użyciu klucza podpisywania konta Microsoft (MSA), a następnie wykorzystanie ich do penetracji skrzynek pocztowych.

We wrześniu 2023 r. agencja Reuters podała, że według szacunków napastnicy ukradli co najmniej 60 000 jawnych e-maili z kont Outlook należących do urzędników Departamentu Stanu stacjonujących w Azji Wschodniej, na Pacyfiku i w Europie. Pekin odparł te zarzuty.

„Wiemy, jak ważne jest, aby zaawansowane logowanie umożliwiało agencjom federalnym wykrywanie, reagowanie i zapobieganie nawet najbardziej wyrafinowanym cyberatakom przeprowadzanym przez podmioty dysponujące odpowiednimi zasobami i sponsorowane przez państwo” – powiedziała Candice Ling z Microsoftu. „Z tego powodu współpracujemy z całym rządem federalnym, aby zapewnić dostęp do zaawansowanego audytu”.

Wiemy, że audyt w środowisku Microsoft 365 jest mocno hermetyczny i poza najwyższym planem premium E5 nie zawiera wystarczająco szczegółowych informacji o zdarzeniu. Przechowywanie przez okres 30 lub 90 dni często nie jest wystarczające w rozległych i krytycznych organizacjach. Dlatego cieszymy się, że Microsoft zwrócił na to uwagę i możliwe, że w przyszłości rozszerzy audyt również na pozostałe plany licencyjne.