Недостаточные меры безопасности привели к компрометации Microsoft: российский шпионаж продолжается

В январе 2024 года хакерская группировка Midnight Blizzard проникла в корпоративную систему электронной почты Microsoft. Для достижения цели злоумышленники использовали технику Password Spraying*, благодаря которой они получили доступ к старой тестовой учетной записи без многофакторной аутентификации. Данная учетка имела повышенные привилегии, что дало злоумышленникам возможность доступа к секретной корпоративной информации.

*Password Spraying — это разновидность атаки грубой силы, направленная на компрометацию аккаунтов с неустойчивыми или легко угадываемыми паролями. Для начала злоумышленник формирует список потенциальных имен пользователей, а затем пытается войти под этими именами, используя один и тот же пароль. Password Spraying труднее выявить, чем обычный Brute Force, так как в каждую учетную запись пытаются войти всего 1-2 раза, а не 100000.

В марте Microsoft обнаружила, что Midnight Blizzard использует украденные секреты для доступа к внутренним системам и хранилищам исходного кода. Компания уверяет, что никакая клиентская инфраструктура не была затронута злоумышленниками.

Вот как этот инцидент комментирует CEO Tenable Amit Yoran:
«Midnight Blizzard — это не какая-нибудь мелкая преступная организация. Они высокопрофессиональная команда, действующая при поддержке России и прекрасно понимающая ценность похищенных данных и способы их использования для нанесения максимального ущерба. Учитывая отношения России с Китаем и другими стратегическими противниками, последствия могут оказаться очень серьезными крайне быстро.

Распространенность продуктов Microsoft требует значительно более высокой степени ответственности и прозрачности, чем они постоянно демонстрируют. Даже сейчас они не раскрывают всю правду — например, мы до сих пор не знаем, какой именно исходный код был скомпрометирован. Мы все должны быть возмущены тем, что это продолжается. Эти утечки информации не изолированы, а сомнительные практики безопасности Microsoft и их обманчивые заявления намеренно затуманивают всю правду.»

Из ошибок Microsoft можно сделать следующие выводы — нужно: ● Имплементировать мультифакторную аутентификацию для всех аккаунтов, компрометация одной учетной записи = компрометация целой организации ● Контролировать аномальное количество попыток входа как в одну учетную запись, так и несколько сразу ● Сбалансировать политику блокировки аккаунтов после серии неуспешных попыток входа. Количество попыток входа в блокировку аккаунта должно быть достаточным для пользователей и недостаточным для хакеров. ● Строго контролировать доменные учетные записи, а именно: ● Неактивные аккаунты ● Учетные записи с лишними привилегиями ● Учетные записи с недостаточно сильным паролем ● Примером продукта, закрывающего эти требования, является Tenable Identity Exposure.

Источник: https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/
Демонстрация обнаружения цепочки атаки на Microsoft с помощью Trellix XDR: https://www.trellix.com/blogs/research/midnight-blizzard-attack-detection-in-trellix-helix/  

Рубрика «Пора обновиться»

Microsoft  
Мартовский Patch Tuesday от Microsoft исправляет 64 уязвимости, включая 2 критические. Это меньший пакет обновлений, чем в предыдущие месяцы. Пока ни одна из уязвимостей не содержит примечания «в активной эксплуатации», но ситуация может измениться.
Интересные исправления: ● CVE-2024-21407: Позволяет злоумышленникам выполнять код на хост-машине Windows Hyper-V с гостевой ОС. ● CVE-2024-21334: Уязвимость к удаленному выполнению кода в Open Management Infrastructure (OMI) с самым высоким CVSS-рейтингом в этом патче. ● CVE-2024-26198: Удаленное выполнение кода в Microsoft Exchange Server. ● CVE-2024-21400: Злоумышленник может захватить конфиденциальные виртуальные машины (гости) и контейнеры в Azure Kubernetes Service (AKS). ● Уязвимость к подделке данных в сжатых папках Windows (злоумышленник может потенциально изменить содержимое файлов). ● Несколько уязвимостей с повышением привилегий (в основном нуждаются в локальном доступе). ● Уязвимость обхода функций безопасности, включая одну, которая может помешать запуску Windows Defender. ● Уязвимости раскрытия информации, включая одну, которая позволяет злоумышленникам просматривать личные файлы в Teams для Android.
https://msrc.microsoft.com/update-guide/releaseNote/2024-Mar

Apple

Apple выпустила срочное обновление iOS для устранения двух критических уязвимостей (CVE-2024-23225, CVE-2024-23296), которые злоумышленники использовали для целевых атак. Данные уязвимости могли потенциально разрешить установку шпионского программного обеспечения. Это часть более широкой тенденции роста уязвимостей нулевого дня, влияющих на устройства Apple в 2024 году.

Пользователям iPhone, iPad и iPod touch следует немедленно обновиться до iOS 17.4, iPadOS 17.4, iOS 16.7.6 или iPadOS 16.7.6. Хотя Apple не комментирует действия злоумышленников или конкретные атаки, компания настоятельно рекомендует пользователям обновить свои устройства для защиты.

https://support.apple.com/en-us/HT214081

Adobe

В этом месяце Adobe выпустила шесть патчей, устраняющих 56 уязвимостей в: ● Adobe Experience Manager ● Premiere Pro ● ColdFusion ● Adobe Bridge ● Lightroom ● Adobe Animate

Больше всего уязвимостей было обнаружено в Experience Manager — 44 CVE.
Ни одна из исправленных уязвимостей на момент публикации обновлений не числилась в базе активно эксплуатируемых.

https://helpx.adobe.com/ua/security.html

VMware

VMware выпустила обновления для ESXi, Workstation и Fusion, исправляющее 4 уязвимости, 2 из которых являются критическими — CVE-2024-22252 и CVE-2024-22253 с оценками 9.3 CRITICAL. Они могут позволить злоумышленнику с локальными правами администратора на виртуальной машине выполнять код на хост-системе.

https://www.vmware.com/security/advisories.html