Geçen hafta şüpheli Çinli saldırganların çeşitli devlet kurumlarının çevrimiçi ticaret hesaplarına erişimi olduğu ortaya çıktı. Ancak Microsoft bunu kendisi fark etmedi ancak müşteriler, posta kutularındaki garip hareketliliğe şirketin dikkatini çekti. Ancak, bunu yalnızca Microsoft’un ekstra ücretlendirdiği “premium kayıt defteri verilerini” kullanarak belirleyebildiler. Microsoft artık bu uygulamaya son vermeyi planlıyor ve Eylül ayından itibaren tüm Microsoft 365 müşterilerine günlük verilerine ücretsiz erişim sağlayacak.
Duyuru
Önümüzdeki aylarda müşteriler, daha önce Purview Audit Premium için ayrılan ve ücretli olan standart Microsoft Purview Denetim paketi aracılığıyla e-postalarına kayıtlı erişime erişebilecek. Bu geçiş tamamen gönüllü değildir. Her iki taraf da bunu artık ortak bir başarı olarak satıyor olsa da, CISA’nın satırları ve Microsoft’un yayınları arasında ABD güvenlik yetkililerinin üzerlerinde baskı kurduğu açıkça okunabiliyor. Bu arada, Microsoft’a göre kayıpların çoğunu Batı Avrupa hükümetleri yapmış olsa da, Avrupa güvenlik yetkililerinden konuyla ilgili hiçbir şey duyulmadı.
Bir dizi utanç
Microsoft’a göre Çinli bilgisayar korsanlığı grubu “Storm-0558” tarafından yapılan saldırı, Microsoft’un bulut amiral gemisi Microsoft 365’te bir dizi son derece utanç verici güvenlik sorununu ortaya çıkardı. Saldırganların, daha sonra erişim belirteçlerini kendileri verebilecekleri bir imzalama anahtarını çalmayı başardıkları gerçeğiyle başlar. Diğer şeylerin yanı sıra, çevrimiçi Exchange hesaplarına komut dosyasıyla erişimi ve böylece kurbanların e-postalarının gizli okunmasını sağladılar.
Soruşturmanın üzerinden bir ay geçmesine rağmen Microsoft, görünüşe göre bu kadar önemli bir imzalama anahtarının nasıl çalınmış olabileceğini hâlâ bilmiyor: “Davacının anahtarı elde etme yöntemi araştırılıyor” – Microsoft’un analizine göre bu, hâlâ araştırılıyor. İmza anahtarının yalnızca yeterince korunmadığı açıktır; Bu nedenle Microsoft, bunu Azure AD’nin en iyi korunan anahtar deposunda tutmak istiyor.
Ardından ikinci utanç gelir: Azure AD dünyasının iş alanında bulunan çevrimiçi değiş tokuştan sorumlu olmadığı için imzalama anahtarı herhangi bir geçerli erişim belirteci vermemeliydi. Tüketici alanında Microsoft hesaplarını imzalamanın anahtarıydı (MSA – Microsoft Live’a karşılık gelir). Ayrıca, bu ana anahtarın Azure AD kurumsal hizmetinde neden hala çalıştığı da net değil. Microsoft kısa ve öz bir şekilde bir “doğrulama sorunu”ndan bahsediyor ve bu nedenle bir iflas beyannamesini yetersiz bir şekilde gizliyor. Geçerli oturum açma verilerinin doğrulanması, kimlik doğrulamanın temel görevi olduğundan; geçersiz kimlik bilgileri orada da çalışıyorsa, bu en önemli işlevin başarısızlığıdır.
Ve sonra Microsoft’un kendisi görünüşe göre saldırıyı fark etmedi. Bir ABD federal sivil kurumu, Haziran ayında Microsoft 365 bulut ortamındaki şüpheli etkinliği tespit etmek için ayrı olarak lisanslanan premium kayıt defteri verilerini kullandı ve bunu Microsoft’a ve baş düzenleyici CISA’ya bildirdi. Bu, önce aşağıdaki faaliyetleri tetikledi ve sonunda saldırganların engellenmesine yol açtı. Sonuç olarak, Microsoft gelecekte önemli etkinliği (yani önemli anahtar etkinliği) daha iyi izlemek ve özellikle ilişkili izleme ve uyarıları iyileştirmek istiyor. Bu, elbette şimdiye kadar yeterince yapılmadığının bir itirafı olarak okunabilir.
Duyuru
Çevrimiçi alışverişi izleyin
İşletmelerinin bu sorunlardan etkilenip etkilenmediğini merak eden herkes, etkilenen tüm müşterileri bilgilendiren Microsoft’un açıklamasından memnun olmalıdır (“Size ulaşılmadıysa, araştırmamız etkilenmediğinizi gösteriyor”). Veya ipuçlarını kendiniz arayabilirsiniz. CISA, FBI ile işbirliği içinde, bunun nasıl yapılacağını açıklayan Outlook Online’ı Hedefleyen APT Etkinliğini Tespit Etmek için Gelişmiş İzleme Siber Güvenlik Danışmanlığı’nı bir araya getirdi.
Bu arada, CISA ve FBI ilk paragrafta gerçekte hangi ürünün söz konusu olduğunu açıkça belirtiyor: Ancak Microsoft’un konuyla ilgili analizlerinde “Microsoft 365” ve “M365” ürün adları görünmüyor. Microsoft’un bu utanç verici güvenlik hatalarının önemli bulut amiral gemisinin imajını zedelemesini önlemek istediğini ima eden bir şakacı.
(Evet)
Haberin Sonu
Duyuru
Önümüzdeki aylarda müşteriler, daha önce Purview Audit Premium için ayrılan ve ücretli olan standart Microsoft Purview Denetim paketi aracılığıyla e-postalarına kayıtlı erişime erişebilecek. Bu geçiş tamamen gönüllü değildir. Her iki taraf da bunu artık ortak bir başarı olarak satıyor olsa da, CISA’nın satırları ve Microsoft’un yayınları arasında ABD güvenlik yetkililerinin üzerlerinde baskı kurduğu açıkça okunabiliyor. Bu arada, Microsoft’a göre kayıpların çoğunu Batı Avrupa hükümetleri yapmış olsa da, Avrupa güvenlik yetkililerinden konuyla ilgili hiçbir şey duyulmadı.
Bir dizi utanç
Microsoft’a göre Çinli bilgisayar korsanlığı grubu “Storm-0558” tarafından yapılan saldırı, Microsoft’un bulut amiral gemisi Microsoft 365’te bir dizi son derece utanç verici güvenlik sorununu ortaya çıkardı. Saldırganların, daha sonra erişim belirteçlerini kendileri verebilecekleri bir imzalama anahtarını çalmayı başardıkları gerçeğiyle başlar. Diğer şeylerin yanı sıra, çevrimiçi Exchange hesaplarına komut dosyasıyla erişimi ve böylece kurbanların e-postalarının gizli okunmasını sağladılar.
Soruşturmanın üzerinden bir ay geçmesine rağmen Microsoft, görünüşe göre bu kadar önemli bir imzalama anahtarının nasıl çalınmış olabileceğini hâlâ bilmiyor: “Davacının anahtarı elde etme yöntemi araştırılıyor” – Microsoft’un analizine göre bu, hâlâ araştırılıyor. İmza anahtarının yalnızca yeterince korunmadığı açıktır; Bu nedenle Microsoft, bunu Azure AD’nin en iyi korunan anahtar deposunda tutmak istiyor.
Ardından ikinci utanç gelir: Azure AD dünyasının iş alanında bulunan çevrimiçi değiş tokuştan sorumlu olmadığı için imzalama anahtarı herhangi bir geçerli erişim belirteci vermemeliydi. Tüketici alanında Microsoft hesaplarını imzalamanın anahtarıydı (MSA – Microsoft Live’a karşılık gelir). Ayrıca, bu ana anahtarın Azure AD kurumsal hizmetinde neden hala çalıştığı da net değil. Microsoft kısa ve öz bir şekilde bir “doğrulama sorunu”ndan bahsediyor ve bu nedenle bir iflas beyannamesini yetersiz bir şekilde gizliyor. Geçerli oturum açma verilerinin doğrulanması, kimlik doğrulamanın temel görevi olduğundan; geçersiz kimlik bilgileri orada da çalışıyorsa, bu en önemli işlevin başarısızlığıdır.
Ve sonra Microsoft’un kendisi görünüşe göre saldırıyı fark etmedi. Bir ABD federal sivil kurumu, Haziran ayında Microsoft 365 bulut ortamındaki şüpheli etkinliği tespit etmek için ayrı olarak lisanslanan premium kayıt defteri verilerini kullandı ve bunu Microsoft’a ve baş düzenleyici CISA’ya bildirdi. Bu, önce aşağıdaki faaliyetleri tetikledi ve sonunda saldırganların engellenmesine yol açtı. Sonuç olarak, Microsoft gelecekte önemli etkinliği (yani önemli anahtar etkinliği) daha iyi izlemek ve özellikle ilişkili izleme ve uyarıları iyileştirmek istiyor. Bu, elbette şimdiye kadar yeterince yapılmadığının bir itirafı olarak okunabilir.
Duyuru
Çevrimiçi alışverişi izleyin
İşletmelerinin bu sorunlardan etkilenip etkilenmediğini merak eden herkes, etkilenen tüm müşterileri bilgilendiren Microsoft’un açıklamasından memnun olmalıdır (“Size ulaşılmadıysa, araştırmamız etkilenmediğinizi gösteriyor”). Veya ipuçlarını kendiniz arayabilirsiniz. CISA, FBI ile işbirliği içinde, bunun nasıl yapılacağını açıklayan Outlook Online’ı Hedefleyen APT Etkinliğini Tespit Etmek için Gelişmiş İzleme Siber Güvenlik Danışmanlığı’nı bir araya getirdi.
Bu arada, CISA ve FBI ilk paragrafta gerçekte hangi ürünün söz konusu olduğunu açıkça belirtiyor: Ancak Microsoft’un konuyla ilgili analizlerinde “Microsoft 365” ve “M365” ürün adları görünmüyor. Microsoft’un bu utanç verici güvenlik hatalarının önemli bulut amiral gemisinin imajını zedelemesini önlemek istediğini ima eden bir şakacı.
(Evet)
Haberin Sonu