Недавно Microsoft подверглась атаке хакерской группы под названием Midnight Blizzard, о чем компания сообщила в своем блоге.
Что именно произошло, и насколько серьезной была эта атака? Продолжайте читать, чтобы узнать!
Последствия "полуночной метели" на Microsoft
Как произошла атака?
12 января 2024 года команда Microsoft обнаружила общесистемную атаку на свою систему, осуществленную группой Midnight Blizzard. Как была проведена эта атака?
Злоумышленники использовали распыление паролей, чтобы угадать пароль к старой учетной записи тестового арендатора. В этой учетной записи не было многофакторной аутентификации, поэтому хакеры смогли угадать пароль и получить доступ.
После этого злоумышленникам удалось скомпрометировать устаревшее OAuth-приложение, которое имело повышенный доступ к корпоративной среде.
Хакеры создали новую учетную запись пользователя, чтобы получить доступ к корпоративной среде и Office 365 Exchange Online. Они получили доступ к почтовым ящикам и нацелились на корпоративные учетные записи электронной почты Microsoft, сделав это.
Как администраторы могут защитить себя?
Проверьте уровень привилегий всех пользователей и руководителей служб с помощью портала авторизации Microsoft Graph Data Connect. Убедитесь, что неизвестные, устаревшие или неиспользуемые подразделения не имеют больше привилегий, чем необходимо. Далее проверьте идентификаторы, имеющие привилегии ApplicationImpersonation в Exchange Online. Это очень важно, поскольку, имея доступ к ApplicationImpersonation, хакеры могут выдавать себя за пользователей. Проверьте приложения OAuth, использующие политики обнаружения аномалий с помощью App governance. Удалите все подозрительные приложения OAuth. Реализуйте контроль приложений с условным доступом. Его следует использовать для пользователей, подключающихся с неуправляемых устройств. Проверьте приложения, использующие EWS.AccessAsUser.Все и EWS.разрешения на полный_доступ_как_приложение. Если эти приложения не нужны, удалите их. Для приложений, которым требуется доступ к почтовым ящикам, реализуйте гранулированный и масштабируемый доступ.
Поскольку эта атака изначально началась с подбора пароля, Microsoft поделилась несколькими рекомендациями по защите от нее:
Устраните ненадежные пароли и поощряйте пользователей просматривать активность входа в систему и отмечать подозрительные попытки входа. Сбросьте пароли для всех учетных записей, подвергшихся атаке. Используйте Microsoft Entra ID Protection и Microsoft Purview Audit (Premium) для расследования взломанных учетных записей. Применить Microsoft Entra Password Protection для домена Active Directory. Используйте обнаружение рисков для запуска многофакторной аутентификации или смены пароля.
В другом блоге, посвященном атаке Midnight Blizzard, компания Microsoft заявила, что немедленно примет меры по улучшению стандартов безопасности в унаследованных системах и внутренних процессах, и это может привести к некоторым сбоям в работе.
Похоже, что Microsoft не может передохнуть, поскольку недавно в журнале событий Windows было обнаружено сообщение об эксплойте нулевого дня.
Хорошая новость заключается в том, что Microsoft уже занимается этим вопросом, и если вы являетесь системным администратором, обязательно ознакомьтесь с подробными рекомендациями по безопасности в блоге Microsoft.