مائیکروسافٹ نے تنظیموں کے لیے نئی رہنمائی جاری کی ہے کہ مستقل قومی ریاست کے حملوں سے کیسے بچایا جائے جیسا کہ کچھ دن پہلے اس کے اپنے کارپوریٹ ای میل سسٹم میں دراندازی کا انکشاف ہوا تھا۔
رہنمائی کا ایک کلیدی فوکس اس بات پر ہے کہ تنظیمیں نقصان دہ OAuth ایپس کا استعمال کرتے ہوئے ان کی سرگرمی کو چھپانے اور ایپلیکیشنز تک رسائی کو برقرار رکھنے کے لیے، انہیں بوٹ آؤٹ کرنے کی کوششوں کے باوجود، خطرے کے اداکاروں سے تحفظ فراہم کرنے کے لیے کیا کر سکتی ہیں۔
کی طرف سے مائیکروسافٹ پر حملہ آدھی رات کا برفانی طوفان aka Cozy Bear — a threat group affiliated with Russia’s Foreign Intelligence Service (SVR) — resulted in the compromise of email accounts belonging to several Microsoft employees, including senior leadership.
Over a period of several weeks beginning late November 2023, the attackers accessed Microsoft’s corporate email accounts and exfiltrated emails and document attachments in an apparent bid to determine what information the company might have on Midnight Blizzard itself.
اس ہفتے منظر عام پر آنے والی SEC کی ایک حالیہ فائلنگ سے پتہ چلتا ہے کہ دھمکی آمیز اداکار، جسے امریکی حکومت نے باضابطہ طور پر سولر ونڈز ہیک کے مرتکب کے طور پر شناخت کیا ہے، also breached Hewlett Packard Enterprise’s (HPE) کلاؤڈ بیسڈ ای میل ماحول گزشتہ مئی میں۔ خیال کیا جاتا ہے کہ یہ حملے SVR/Midnight Blizzard کی جانب سے مستقبل کی ممکنہ مہمات کے لیے وسیع تر اور جاری انٹیلی جنس جمع کرنے کی کوشش کا حصہ ہیں۔
اس میں 19 جنوری بلاگ ابتدائی طور پر اس حملے کا انکشاف کرتے ہوئے، مائیکروسافٹ نے مڈنائٹ بلیزارڈ کو اپنے ماحول تک ایک وراثت، غیر پیداواری ٹیسٹ اکاؤنٹ کے ذریعے ابتدائی رسائی کے طور پر بیان کیا جس پر دھمکی آمیز اداکار نے پاس ورڈ سپرے اٹیک کے ذریعے سمجھوتہ کیا۔ کمپنی کی طرف سے مزید تفتیش -اس ہفتے اس کے تازہ ترین بلاگ میں تفصیلی — showed that Midnight Blizzard actors used a “vast number” of legitimate residential IP addresses to launch their password spray attacks against targeted accounts at Microsoft, one of which happened to be the test account they compromised. The threat actors use of the residential proxy infrastructure for its attacks helped obfuscate their activity and evade detection, Microsoft said.
OAuth ایپس کا غلط استعمال
Once the attacker gained initial access to the test account, they used it to identify and compromise a legacy test OAuth application with privileged access to Microsoft’s corporate environment. Subsequently, “the actor created additional malicious OAuth applications,” Microsoft said. “They created a new user account to grant consent in the Microsoft corporate environment to the actor controlled malicious OAuth applications.”
The adversary used the legacy OAuth app they had compromised to grant themselves full access to Office 365 Exchange mailboxes, Microsoft said. “The misuse of OAuth also enables threat actors to maintain access to applications, even if they lose access to the initially compromised account,” the company noted.
Astrix Security میں تحقیقی ٹیم کے سربراہ Tal Skverer کا کہنا ہے کہ Midnight Blizzard اداکاروں نے نقصان دہ OAuth ٹوکنز کا فائدہ اٹھایا کیونکہ وہ ممکنہ طور پر جانتے تھے کہ سمجھوتہ کیے گئے اکاؤنٹ تک ان کی رسائی کا پتہ چل جائے گا۔
“Considering the scrutiny that user — human — accounts go through when it comes to their security, the success of the password spraying attack in this case was time-limited,” he says. “So, while they had [access], they created OAuth apps and consented to them, generating non-expiring OAuth access tokens to the attackers.”
Skverer کا کہنا ہے کہ ان میں سے کچھ اجازتیں برقرار رہ سکتی ہیں یہاں تک کہ اگر کوئی اصل میں سمجھوتہ کیا گیا اکاؤنٹ غیر فعال یا حذف کر دیا جائے تو حملہ آوروں کو اپنی رسائی برقرار رکھنے کی اجازت دی جاتی ہے یہاں تک کہ اگر وہ ابتدائی طور پر سمجھوتہ کیے گئے اکاؤنٹ کے ذریعے رسائی کھو دیتے ہیں۔
نقصان دہ OAuth کو ناکام بنانا
Microsoft’s Jan 25 blog offered guidance to organizations for mitigating risks related to the misuse of OAuth apps. The recommendations include the need for organizations to audit the current privilege levels associated with all identities — both user and service — and to focus on those with high privileges.
“Privilege should be scrutinized more closely if it belongs to an unknown identity, is attached to identities that are no longer in use, or is not fit for purpose,” Microsoft said. When reviewing privileges, an administrator should keep in mind that users and services can often have privileges over and beyond what they require, the blog noted.
تنظیموں کو ان شناختوں کا بھی آڈٹ کرنا چاہیے جن کے پاس ہے۔ درخواست کی نقالی مائیکروسافٹ نے مشورہ دیا کہ ایکسچینج آن لائن میں استحقاق جو خدمات کو صارف کی نقالی کرنے اور وہی کارروائیاں انجام دینے کی اجازت دیتا ہے جو صارف کر سکتا ہے۔
“If misconfigured, or not scoped appropriately, these identities can have broad access to all mailboxes in an environment,” the company warned.
مائیکروسافٹ نے کہا کہ تنظیموں کو نقصان دہ OAuth ایپلیکیشنز کی شناخت کے لیے بے ضابطگی کا پتہ لگانے کی پالیسیوں کے استعمال پر بھی غور کرنا چاہیے اور غیر منظم خدمات سے منسلک ہونے والے صارفین کے لیے مشروط رسائی ایپلیکیشن کنٹرولز۔
آدھی رات کے برفانی طوفان کا پتہ لگانے کا طریقہ
بلاگ میں اس بارے میں تفصیلی رہنمائی بھی شامل تھی کہ لاگ ڈیٹا میں کیا تلاش کرنا ہے تاکہ شکار کرنے اور بدنیتی پر مبنی سرگرمی کا پتہ لگایا جا سکے جیسا کہ مڈنائٹ بلیزارڈ سے وابستہ ہے۔
Skverer کا کہنا ہے کہ کرنسی کے انتظام کے ٹولز تنظیموں کو ان کے ماحول میں تمام غیر انسانی شناختوں (NHIs) کی فہرست بنانے میں مدد کر سکتے ہیں - خاص طور پر وہ جو سب سے زیادہ خطرہ لاحق ہیں۔
“Specifically, for the TTPS used by Midnight Blizzard, these tools would highlight an unused OAuth application, having over-permissive access to impersonate every user when authenticating to Office 365 Exchange,” he says.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/microsoft-shares-new-guidance-in-wake-of-midnight-blizzard-cyberattack
- : ہے
- : ہے
- : نہیں
- 19
- 2023
- 25
- 7
- a
- تک رسائی حاصل
- رسائی
- اکاؤنٹ
- اکاؤنٹس
- سرگرمی
- اداکار
- ایڈیشنل
- پتے
- مشورہ
- وابستہ
- کے خلاف
- پہلے
- ارف
- تمام
- اجازت دے رہا ہے
- کی اجازت دیتا ہے
- بھی
- an
- اور
- بے ضابطگی کا پتہ لگانا
- اپلی کیشن
- واضح
- درخواست
- ایپلی کیشنز
- مناسب طریقے سے
- ایپس
- کیا
- AS
- منسلک
- At
- حملہ
- حملے
- آڈٹ
- BE
- صبر
- کیونکہ
- شروع
- خیال کیا
- تعلق رکھتے ہیں
- تعلق رکھتا ہے
- سے پرے
- بولی
- بلاگ
- دونوں
- وسیع
- وسیع
- by
- مہمات
- کر سکتے ہیں
- کیس
- قریب سے
- آتا ہے
- کمپنی کے
- سمجھوتہ
- سمجھوتہ کیا
- مربوط
- رضامندی
- غور کریں
- پر غور
- کنٹرول
- کنٹرول
- کارپوریٹ
- بنائی
- موجودہ
- سائبر حملہ
- اعداد و شمار
- دن
- بیان کیا
- کے باوجود
- تفصیلی
- کا پتہ لگانے کے
- پتہ چلا
- کھوج
- اس بات کا تعین
- غیر فعال کر دیا
- انکشاف کرنا
- do
- دستاویز
- کوشش
- کوششوں
- ای میل
- ای میل
- ملازمین
- کے قابل بناتا ہے
- انٹرپرائز
- ماحولیات
- فرار
- بھی
- ہر کوئی
- ایکسچینج
- عملدرآمد
- چند
- فائلنگ
- فٹ
- توجہ مرکوز
- کے لئے
- غیر ملکی
- باضابطہ طور پر
- سے
- مکمل
- مزید
- مستقبل
- حاصل کی
- پیدا کرنے والے
- Go
- حکومت
- عطا
- گروپ
- رہنمائی
- ہیک
- تھا
- ہوا
- ہے
- ہونے
- he
- مدد
- مدد
- ذاتی ترامیم چھپائیں
- ہائی
- سب سے زیادہ
- نمایاں کریں
- کس طرح
- کیسے
- HTTPS
- انسانی
- شکار
- کی نشاندہی
- شناخت
- شناخت
- شناختی
- if
- in
- شامل
- شامل
- سمیت
- دراندازی
- معلومات
- انفراسٹرکچر
- ابتدائی
- ابتدائی طور پر
- انٹیلی جنس
- انوینٹری
- تحقیقات
- IP
- آئی پی پتے
- IT
- میں
- خود
- جنوری
- فوٹو
- رکھیں
- کلیدی
- آخری
- مرحوم
- تازہ ترین
- شروع
- قیادت
- قیادت
- کی وراست
- جائز
- سطح
- لیورڈڈ
- کی طرح
- امکان
- لاگ ان کریں
- اب
- دیکھو
- کھو
- برقرار رکھنے کے
- بدقسمتی سے
- انتظام
- مینجمنٹ ٹولز
- مئی..
- مائیکروسافٹ
- آدھی رات
- شاید
- برا
- غلط استعمال کے
- تخفیف کرنا
- خطرات کو کم کرنا
- زیادہ
- ضرورت ہے
- نئی
- نہیں
- کا کہنا
- نومبر
- تعداد
- اوہ
- of
- کی پیشکش کی
- دفتر
- اکثر
- on
- ایک
- جاری
- آن لائن
- آپریشنز
- or
- تنظیمیں
- اصل میں
- باہر
- پر
- خود
- حصہ
- پاس ورڈ
- مدت
- اجازتیں
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پالیسیاں
- کرنسی
- ممکنہ
- استحقاق
- امتیازی سلوک
- استحقاق
- حفاظت
- پراکسی
- مقصد
- حال ہی میں
- سفارشات
- متعلقہ
- جاری
- کی ضرورت
- تحقیق
- رہائشی
- برقرار رکھنے
- جائزہ لیں
- رسک
- خطرات
- روس
- s
- کہا
- اسی
- کا کہنا ہے کہ
- جانچ پڑتال کے
- SEC
- ایس ای سی فائلنگ۔
- سیکورٹی
- سینئر
- سینئر قیادت
- سروس
- سروسز
- کئی
- حصص
- ہونا چاہئے
- سے ظاہر ہوا
- So
- سولر ونڈز۔
- خاص طور پر
- بعد میں
- کامیابی
- اس طرح
- کے نظام
- ھدف بنائے گئے
- ٹیم
- ٹیسٹ
- کہ
- ۔
- ان
- ان
- خود
- یہ
- وہ
- اس
- اس ہفتے
- ان
- خطرہ
- دھمکی دینے والے اداکار
- کے ذریعے
- کرنے کے لئے
- ٹوکن
- اوزار
- نامعلوم
- غیر استعمال شدہ
- us
- امریکی حکومت
- استعمال کی شرائط
- استعمال کیا جاتا ہے
- رکن کا
- صارفین
- کا استعمال کرتے ہوئے
- وسیع
- کی طرف سے
- جاگو
- نے خبردار کیا
- تھا
- ہفتے
- مہینے
- کیا
- جب
- جس
- جبکہ
- ساتھ
- گا
- زیفیرنیٹ