מיקרוסופט פרסמה הנחיות חדשות לארגונים כיצד להגן מפני התקפות מתמשכות של מדינות לאום כמו זו שנחשפה לפני מספר ימים שחדרה למערכת הדוא"ל הארגונית שלה.
המוקד העיקרי של ההדרכה הוא מה ארגונים יכולים לעשות כדי להגן מפני גורמי איומים המשתמשים באפליקציות OAuth זדוניות כדי להסתיר את הפעילות שלהם ולשמור על גישה ליישומים, למרות המאמצים לאתחל אותם.
ההתקפה על מיקרוסופט על ידי סופת שלגים של חצות המכונה Cozy Bear - קבוצת איומים המזוהה עם שירות הביון החוץ של רוסיה (SVR) - הביאה לפשרה של חשבונות דואר אלקטרוני השייכים למספר עובדי מיקרוסופט, כולל הנהגה בכירה.
במשך תקופה של מספר שבועות החל מסוף נובמבר 2023, התוקפים ניגשו לחשבונות הדוא"ל הארגוניים של מיקרוסופט וחיפצו מיילים וקבצים מצורפים בניסיון לכאורה לקבוע איזה מידע עשוי להיות לחברה על Midnight Blizzard עצמה.
תביעה שפרסמה לאחרונה SEC שהופיעה השבוע הראתה ששחקן האיום, שממשלת ארה"ב זיהתה רשמית כמבצע פריצת SolarWinds, הפרה גם את ה-HPE של Hewlett Packard Enterprise סביבת דוא"ל מבוססת ענן במאי האחרון. ההתקפות הן ככל הנראה חלק ממאמץ רחב ומתמשך של איסוף מודיעין של SVR/Midnight Blizzard עבור קמפיינים עתידיים פוטנציאליים.
בה בלוג 19 בינואר בתחילה חשפה את המתקפה, מיקרוסופט תיארה את Midnight Blizzard כמי שהשיגה גישה ראשונית לסביבתה באמצעות חשבון בדיקה מדור קודם, שאינו ייצור, ששחקן האיום סכן באמצעות התקפת ריסוס סיסמה. חקירה נוספת של החברה -מפורט בבלוג האחרון שלה השבוע - הראה ששחקני Midnight Blizzard השתמשו ב"מספר עצום" של כתובות IP לגיטימיות למגורים כדי להפעיל את התקפות ריסוס הסיסמה שלהם נגד חשבונות ממוקדים במיקרוסופט, שאחד מהם היה במקרה חשבון הבדיקה שהם פשרו. מיקרוסופט מסרה כי השימוש שחקני האיום בתשתית ה-proxy למגורים עבור התקפותיה סייעו לטשטש את פעילותם ולהתחמק מזיהוי.
שימוש לרעה באפליקציות OAuth
לאחר שהתוקף השיג גישה ראשונית לחשבון הבדיקה, הם השתמשו בו כדי לזהות ולסכן יישום OAuth לבדיקה מדור קודם עם גישה מוסמכת לסביבה הארגונית של מיקרוסופט. לאחר מכן, "השחקן יצר יישומי OAuth זדוניים נוספים", אמרה מיקרוסופט. "הם יצרו חשבון משתמש חדש כדי להעניק הסכמה בסביבה הארגונית של מיקרוסופט ליישומי OAuth זדוניים הנשלטים על ידי השחקן."
היריב השתמש באפליקציית OAuth מדור קודם שהם התפשרו כדי להעניק לעצמם גישה מלאה לתיבות הדואר של Office 365 Exchange, אמרה מיקרוסופט. "השימוש לרעה ב-OAuth גם מאפשר לשחקני איומים לשמור על גישה ליישומים, גם אם הם מאבדים גישה לחשבון שנפרץ מלכתחילה", ציינה החברה.
טל סקוורר, ראש צוות מחקר ב-Astrix Security, אומר שחקני Midnight Blizzard מינפו אסימוני OAuth זדוניים מכיוון שסביר להניח שידעו שהגישה שלהם לחשבון שנפרץ תתגלה.
"בהתחשב בבדיקה שעוברים חשבונות משתמש - אנושיים בכל הנוגע לאבטחתם, הצלחת מתקפת ריסוס הסיסמאות במקרה זה הייתה מוגבלת בזמן", הוא אומר. "לכן, בזמן שהייתה להם [גישה], הם יצרו אפליקציות OAuth והסכימו להן, ויצרו לתוקפים אסימוני גישה של OAuth שאינם פג תוקף."
חלק מההרשאות הללו יכולות להימשך גם אם חשבון שנפרץ במקור מושבת או נמחק, מה שמאפשר לתוקפים לשמור על הגישה שלהם גם אם הם מאבדים גישה דרך חשבון שנפרץ במקור, אומר Skverer.
סיכול OAuth זדוני
הבלוג של מיקרוסופט מ-25 בינואר הציע הדרכה לארגונים להפחתת סיכונים הקשורים לשימוש לרעה באפליקציות OAuth. ההמלצות כוללות את הצורך של ארגונים לבדוק את רמות ההרשאות הנוכחיות הקשורות לכל הזהויות - הן למשתמש והן לשירות - ולהתמקד בבעלי הרשאות גבוהות.
"יש לבחון את הפריבילגיה בצורה מדוקדקת יותר אם היא שייכת לזהות לא ידועה, קשורה לזהויות שאינן בשימוש עוד, או שאינה מתאימה למטרה", אמרה מיקרוסופט. בעת סקירת הרשאות, מנהל מערכת צריך לזכור שלעתים קרובות משתמשים ושירותים יכולים להיות בעלי הרשאות מעבר למה שהם דורשים, ציין הבלוג.
ארגונים צריכים גם לבדוק זהויות שיש להן את התחזות ליישום הרשאה ב-Exchange Online המאפשרת לשירותים להתחזות למשתמש ולבצע את אותן פעולות שהמשתמש יכול, ייעצה מיקרוסופט.
"אם תצורה שגויה, או לא בהיקף מתאים, לזהויות אלה יכולות להיות גישה רחבה לכל תיבות הדואר בסביבה", הזהירה החברה.
ארגונים צריכים גם לשקול שימוש במדיניות זיהוי חריגות כדי לזהות יישומי OAuth זדוניים ובקרות יישומי גישה מותנית עבור משתמשים המתחברים משירותים לא מנוהלים, אמרה מיקרוסופט.
כיצד לזהות סופת שלגים בחצות
הבלוג כלל גם הדרכה מפורטת לגבי מה לחפש בנתוני יומן כדי לצוד ולזהות פעילות זדונית כמו זו הקשורה ל- Midnight Blizzard.
סקוורר אומר שכלי ניהול יציבה יכולים לעזור לארגונים למצוא את כל הזהויות הלא-אנושיות (NHI) בסביבתם - במיוחד אלו המהוות את הסיכון הגבוה ביותר.
"באופן ספציפי, עבור ה-TTPS המשמש את Midnight Blizzard, הכלים הללו ידגישו יישום OAuth שאינו בשימוש, בעל גישה מתירנית יתרה להתחזות לכל משתמש בעת אימות ל-Office 365 Exchange", הוא אומר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/microsoft-shares-new-guidance-in-wake-of-midnight-blizzard-cyberattack
- :יש ל
- :הוא
- :לֹא
- 19
- 2023
- 25
- 7
- a
- גישה
- נצפה
- חֶשְׁבּוֹן
- חשבונות
- פעילות
- שחקנים
- נוסף
- כתובות
- מומלץ
- כלולה
- נגד
- לִפנֵי
- aka
- תעשיות
- מאפשר
- מאפשר
- גם
- an
- ו
- גילוי חריגות
- האפליקציה
- לכאורה
- בקשה
- יישומים
- כראוי
- אפליקציות
- ARE
- AS
- המשויך
- At
- לתקוף
- המתקפות
- בדיקה
- BE
- דוב
- כי
- ההתחלה
- האמין
- שייכות
- שייך
- מעבר
- הצעה
- בלוג
- שניהם
- רחב
- רחב
- by
- קמפיינים
- CAN
- מקרה
- מקרוב
- מגיע
- חברה
- פשרה
- התפשר
- מקשר
- הסכמה
- לשקול
- בהתחשב
- נשלט
- בקרות
- משותף
- נוצר
- נוֹכְחִי
- התקפת סייבר
- נתונים
- ימים
- מְתוּאָר
- למרות
- מְפוֹרָט
- לאתר
- זוהה
- איתור
- לקבוע
- נכה
- חושף
- do
- מסמך
- מאמץ
- מַאֲמָצִים
- אמייל
- מיילים
- עובדים
- מאפשר
- מִפְעָל
- סביבה
- בריחה
- אֲפִילוּ
- כל
- חליפין
- לבצע
- מעטים
- תיוק
- מתאים
- להתמקד
- בעד
- זר
- רשמית
- החל מ-
- מלא
- נוסף
- עתיד
- צבר
- יצירת
- Go
- ממשלה
- להעניק
- קְבוּצָה
- הדרכה
- לפרוץ
- היה
- קרה
- יש
- יש
- he
- לעזור
- עזר
- הסתר
- גָבוֹהַ
- הגבוה ביותר
- להבליט
- איך
- איך
- HTTPS
- בן אנוש
- ציד
- מזוהה
- לזהות
- זהויות
- זהות
- if
- in
- לכלול
- כלול
- כולל
- מסתננים
- מידע
- תשתית
- בתחילה
- בהתחלה
- מוֹדִיעִין
- מלאי
- חקירה
- IP
- כתובות IP
- IT
- שֶׁלָה
- עצמו
- יאן
- jpg
- שמור
- מפתח
- אחרון
- מְאוּחָר
- האחרון
- לשגר
- עוֹפֶרֶת
- מנהיגות
- מוֹרֶשֶׁת
- לגיטימי
- רמות
- ממונפות
- כמו
- סביר
- היכנס
- עוד
- נראה
- להפסיד
- לתחזק
- זדוני
- ניהול
- כלי ניהול
- מאי..
- מיקרוסופט
- חצות
- יכול
- אכפת לי
- שימוש לרעה
- מקלה
- הפחתת סיכונים
- יותר
- צורך
- חדש
- לא
- ציין
- נוֹבֶמבֶּר
- מספר
- oauth
- of
- מוצע
- Office
- לעתים קרובות
- on
- ONE
- מתמשך
- באינטרנט
- תפעול
- or
- ארגונים
- בְּמָקוֹר
- הַחוּצָה
- יותר
- שֶׁלוֹ
- חלק
- סיסמה
- תקופה
- הרשאות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- פוזה
- פוטנציאל
- זְכוּת
- חסוי
- הרשאות
- להגן
- פרוקסי
- מטרה
- לאחרונה
- המלצות
- קָשׁוּר
- שוחרר
- לדרוש
- מחקר
- מגורים
- לִשְׁמוֹר
- ביקורת
- הסיכון
- סיכונים
- רוסיה
- s
- אמר
- אותו
- אומר
- בדיקה
- ה-SEC
- הגשת SEC
- אבטחה
- לחצני מצוקה לפנסיונרים
- מנהיגות בכירה
- שרות
- שירותים
- כמה
- שיתופים
- צריך
- הראה
- So
- השמש
- במיוחד
- כתוצאה מכך
- הצלחה
- כזה
- מערכת
- ממוקד
- נבחרת
- מבחן
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- עצמם
- אלה
- הֵם
- זֶה
- השבוע
- אלה
- איום
- איום שחקנים
- דרך
- ל
- מטבעות
- כלים
- לא ידוע
- לא בשימוש
- us
- ממשלת ארצות הברית
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- באמצעות
- Vast
- באמצעות
- שרות
- מוזהר
- היה
- שבוע
- שבועות
- מה
- מתי
- אשר
- בזמן
- עם
- היה
- זפירנט