微軟解釋俄羅斯駭客如何監視其高階主管
微軟上週透露,它發現其公司係統受到了來自俄羅斯國家支持的駭客的攻擊,而這些駭客正是SolarWinds 攻擊的幕後黑手。駭客能夠存取微軟高層領導團隊部分成員的電子郵件帳戶,有可能對他們進行長達數週或數月的監視。
雖然微軟在上週五晚些時候首次向美國證券交易委員會披露的資訊中沒有提供太多關於攻擊者如何獲得訪問權限的細節,但這家軟體製造商現在已經公佈了一份關於駭客如何突破其安全防護的初步分析報告。微軟還警告說,這個被稱為Nobelium 或微軟稱之為”午夜暴風雪”的天氣主題駭客組織一直在攻擊其他組織。
Nobelium 最初是透過密碼噴射攻擊進入微軟系統的。這種攻擊是一種暴力攻擊,駭客會使用潛在密碼字典來攻擊帳號。最重要的是,被入侵的非生產測試租戶帳戶沒有啟用雙重認證。微軟表示,Nobelium”針對數量有限的帳戶定制了密碼噴射攻擊,使用較少的嘗試次數來逃避檢測”。
在這次攻擊中,該組織”利用其初始訪問權限,識別併入侵了一個傳統的測試OAuth 應用程序,該應用程序擁有進入微軟企業環境的高級訪問權限”。OAuth 是一種廣泛使用的基於令牌身份驗證的開放標準。它通常用於整個網絡,讓您無需向網站提供密碼即可登入應用程式和服務。想想你可能用Gmail 帳戶登入的網站,這就是OAuth 在發揮作用。
存取權限的提升使該組織能夠創建更多惡意OAuth 應用程序,並創建帳戶來訪問微軟的企業環境,最終訪問其Office 365 Exchange Online 服務,從而訪問電子郵件收件匣。
微軟的安全團隊解釋:”Midnight Blizzard 利用這些惡意OAuth 應用程式來驗證Microsoft Exchange Online 和Microsoft 企業電子郵件帳號。
微軟尚未披露有多少公司電子郵件帳戶成為攻擊目標並被訪問,但該公司此前將其描述為”微軟公司電子郵件帳戶中的很小一部分,包括我們的高級領導團隊成員以及網路安全、法律和其他職能部門的員工”。
微軟也仍未透露駭客監視其高階領導團隊和其他員工多久的確切時間表。最初的攻擊發生在2023 年11 月底,但微軟直到1 月12 日才發現。這可能意味著攻擊者對微軟高層進行了近兩個月的間諜活動。
惠普企業公司(HPE)本週稍早透露,同一夥駭客先前曾進入其”基於雲端的電子郵件環境”。HPE 沒有透露提供者的名稱,但該公司確實透露該事件”很可能與””早在2023 年5 月就有數量有限的[Microsoft] SharePoint 文件外洩有關”。
就在微軟宣布計劃在Azure 雲端遭受重大攻擊後全面加強軟體安全的幾天后,該公司就遭到了攻擊。這是微軟遭遇的最新一次網路安全事件,先前在2021 年,由於微軟Exchange Server 的漏洞,有3 萬個組織的電子郵件伺服器遭到駭客攻擊,去年中國駭客透過微軟雲端漏洞入侵了美國政府的電子郵件。近三年前,微軟也是SolarWinds 巨型攻擊事件的中心,而這次令人尷尬的高階主管郵件攻擊事件的幕後黑手正是同一個Nobelium 組織。
微軟承認其關鍵測試帳戶缺乏雙重認證,可能會引起網路安全界的關注。雖然這不是微軟軟體的漏洞,但這是一套配置不佳的測試環境,讓駭客可以悄悄地穿越微軟的企業網路。本週早些時候,CrowdStrike 執行長喬治-庫爾茨(George Kurtz)在接受CNBC 採訪時問道:”一個非生產性測試環境是如何導致微軟最高級別官員被入侵的?”我認為這件事情還會有更多的進展。”
更多的資訊已經公佈,但仍然缺少一些關鍵細節。微軟確實聲稱,如果今天部署同樣的非生產測試環境,那麼”強制性的微軟策略和工作流程將確保啟用MFA 和我們的主動保護措施”,以更好地防範這些攻擊。微軟還有很多需要解釋的地方,尤其是如果它想讓客戶相信它正在真正改進其軟體和服務的設計、建構、測試和運作方式,以更好地防範安全威脅的話。
了解更多: