Недостатні заходи безпеки спричинили компрометацію Microsoft: російське шпигунство триває

У січні 2024 року хакерське угруповання Midnight Blizzard проникло в корпоративну систему електронної пошти Microsoft. Для досягнення мети зловмисники використовували техніку Password Spraying*, завдяки якій вони отримали доступ до старого тестового облікового запису без багатофакторної аутентифікації. Цей обліковий запис мав підвищені привілеї, що дало зловмисникам можливість отримати доступ до секретної корпоративної інформації. 
*Password Spraying — це різновид атаки грубої сили, спрямований на компрометацію акаунтів з нестійкими паролями, або з тими, як легко вгадати. Для початку зловмисник формує список потенційних імен користувачів, а потім намагається увійти під цими іменами, використовуючи один і той самий пароль. Password Spraying важче детектувати ніж звичайний Brute Force, адже в кожен обліковий запис намагаються увійти всього 1-2 рази, а не 100000.
У березні Microsoft виявила, що Midnight Blizzard використовує вкрадені секрети для доступу до внутрішніх систем і сховищ початкового коду. Компанія запевняє, що зловмисники не зачепили жодної клієнтської інфраструктури. 
Ось як цей інцидент коментує CEO Tenable Amit Yoran: «Midnight Blizzard — це не якась дрібна злочинна організація. Вони високопрофесійна команда, яка діє за підтримки Росії та чудово розуміє цінність викрадених даних і способи їх використання для завдання максимальної шкоди. Враховуючи відносини Росії з Китаєм та іншими стратегічними противниками, наслідки можуть стати дуже серйозними вкрай швидко.
Поширеність продуктів Microsoft вимагає значно вищого рівня відповідальності та прозорості, ніж вони постійно демонструють. Навіть зараз вони не розкривають всю правду — наприклад, ми досі не знаємо, який саме початковий код було скомпрометовано. Ми всі повинні бути обурені тим, що це триває. Ці витоки інформації не є ізольованими, а сумнівні практики безпеки Microsoft та їхні оманливі заяви навмисно затуманюють усю правду.»
З помилок Microsoft можна зробити такі висновки — необхідно: ● Імплементувати мультифакторну аутентифікацію для всіх облікових записів, компрометація одного облікового запису = компрометація цілої організації. ● Контролювати аномальну кількість спроб входу як в один обліковий запис, так і в декілька одразу. ● Збалансувати політику блокування облікових записів після серії неуспішних спроб входу. Кількість спроб входу до блокування акаунту має бути достатньою для користувачів і недостатньою для хакерів. 
Суворо контролювати доменні облікові записи, а саме виявляти: ● Неактивні облікові записи ● Облікові записи із зайвими привілеями ● Облікові записи з недостатньо сильним паролем ● Прикладом продукту, що закриває ці вимоги, є Tenable Identity Exposure. 
Джерело: https://msrc.microsoft.com/blog/2024/03/update-on-microsoft-actions-following-attack-by-nation-state-actor-midnight-blizzard/ Демонстрація виявлення ланцюжка атаки на Microsoft за допомогою Trellix XDR: https://www.trellix.com/blogs/research/midnight-blizzard-attack-detection-in-trellix-helix/

Рубрика «Час оновитися»

Microsoft

Березневий Patch Tuesday від Microsoft виправляє 64 вразливості, включно з 2 критичними. Це менший пакет оновлень, ніж у попередні місяці. Наразі жодна з вразливостей не містить примітку «в активній експлуатації», але ситуація може змінитися.

Цікаві виправлення: ● CVE-2024-21407: Дозволяє зловмисникам виконувати код на хост-машині Windows Hyper-V з гостьової ОС. ● CVE-2024-21334: Уразливість до віддаленого виконання коду в Open Management Infrastructure (OMI) з найвищим CVSS-рейтингом у цьому патчі. ● CVE-2024-26198: Віддалене виконання коду в Microsoft Exchange Server. ● CVE-2024-21400: Зловмисник потенційно може захопити конфіденційні віртуальні машини (гості) та контейнери в Azure Kubernetes Service (AKS). ● Вразливість до підробки даних в стиснутих папках Windows (зловмисник може потенційно змінити вміст файлів). ● Кілька вразливостей з підвищенням привілеїв (переважно потребують локального доступу). ● Вразливості обходу функцій безпеки, включно з однією, яка може перешкодити запуску Windows Defender. ● Вразливості розкриття інформації, включно з однією, яка дозволяє зловмисникам переглядати особисті файли в Teams для Android.
https://msrc.microsoft.com/update-guide/releaseNote/2024-Mar

Apple

Apple випустила термінове оновлення iOS для усунення двох критичних вразливостей (CVE-2024-23225, CVE-2024-23296), які зловмисники використовували для цільових атак. Ці вразливості могли потенційно дозволити встановлення шпигунського програмного забезпечення. Це частина ширшої тенденції зростання вразливостей нульового дня, що впливають на пристрої Apple у 2024 році.

Користувачам iPhone, iPad та iPod touch слід негайно оновитися до iOS 17.4, iPadOS 17.4, iOS 16.7.6 або iPadOS 16.7.6. Хоча Apple ніяк не коментує дії зловмисників чи конкретні атаки, компанія наполегливо рекомендує користувачам оновити свої пристрої для захисту.

https://support.apple.com/en-us/HT214081

Adobe

Цього місяця Adobe випустила шість патчів, що усувають 56 вразливостей у: ● Adobe Experience Manager ● Premiere Pro ● ColdFusion ● Adobe Bridge ● Lightroom ● Adobe Animate.

Найбільше вразливостей було виявлено в Experience Manager — 44 CVE.
Жодна з виправлених вразливостей на момент публікації оновлень не перебувала в базі активно експлуатованих.

https://helpx.adobe.com/ua/security.html

VMware

VMware випустила оновлення для ESXi, Workstation і Fusion, які виправляють 4 вразливості, 2 з яких є критичними — CVE-2024-22252 та CVE-2024-22253 з оцінками 9.3 CRITICAL. Вони можуть дозволити виконувати код на хост-системі зловмиснику з локальними правами адміністратора на віртуальній машині.

https://www.vmware.com/security/advisories.html