微軟驚爆遭撞庫攻擊!攻擊者在內網漫遊近2個月
美國微軟公司在上週五(1月19日)晚間宣佈,俄羅斯政府支援的駭客組織利用密碼攻擊侵入公司網路,訪問高階管理層及安全、法務團隊成員的電子郵件和檔案。
微軟表示,這次攻擊系由俄羅斯支援的駭客組織「午夜暴雪」(Midnight Blizzard)發起。微軟於上週五向美國證交會(SEC)遞交文件,其中一段陳述:
「從2023年11月下旬開始,威脅行為者透過密碼噴灑攻擊侵入一個測試帳號,獲得立足點。此後,他們利用該帳號的許可權訪問了微軟公司的少數電子郵件帳號,包括高階領導團隊成員及網路安全、法務和其他職能團隊員工,並竊取了一些電子郵件及附件。調查顯示,威脅行為者最初嘗試攻擊的電子郵件帳號目標是為了獲取與自身駭客組織「午夜暴雪」相關的資訊。」
直到1月12日,也就是上週五提交披露文件一周前,微軟才察覺到這次入侵。這意味著俄羅斯駭客在長達兩個月的時間裡持續訪問相關帳號。
綜上所述,微軟網路內某台設備使用了弱密碼,沒有啟用雙因素認證。俄羅斯駭客組織通過不斷嘗試先前已暴露密碼或常用密碼,最終成功猜中了正確密碼。攻擊者隨後完成帳號訪問,說明微軟沒有啟用雙因素認證,或者這一保護措施被繞過。
未遵循基本安全實踐!
微軟表示,尚未發現「午夜暴雪」訪問客戶環境、生產系統、原始程式碼或AI系統的任何證據。
不過,外媒報導已有一些研究人員提出質疑,懷疑Microsoft 365服務是否可能或已經遭到類似攻擊入侵。
哥倫比亞大學電腦科學教授Steve Bellovin評論表示,這次事件有很多耐人尋味的細節。駭客成功發動密碼噴灑攻擊,表明沒有啟用雙因素認證,密碼可能重複使用或採用若密碼。此外,僅透過測試帳號的許可權就能訪問高階領導、網路安全和法務團隊的電子郵件帳號,這表明有人授予一個測試帳號驚人的許可權。而這些許可權在測試結束時為什麼沒有刪除?此外,微軟足足花了近七周的時間才察覺到這次攻擊。
此次入侵讓人聯想起去年駭客組織Storm-0558對微軟網路的一次類似攻擊。在一個月的時間裡,該組織訪問了多個微軟客戶的Azure和Exchange帳號,其中包括美國國務院和商務部的帳號。
無獨有偶,日前Google旗下安全公司Mandiant的推特帳號也遭到入侵。Mandiant後來表示,入侵者對帳號密碼進行了暴力破解攻擊。Mandiant沒有提供更多細節。但這已說明,Mandiant的推特帳號的密碼強度同樣很弱,也沒有啟用雙因素認證。
專家表示,過去微軟採用秘密術語、事件代號,依賴法務(CELA)團隊,同時認為微軟威脅情報中心能洞察所有威脅的時代過去了。為了維持信任,微軟需要進行根本性的技術和文化轉型。
這一事件促使微軟加速實施去年發佈的《安全未來倡議》。
微軟在上週五的披露檔案表述,「我們將重新平衡安全和業務風險,傳統的權衡方式已經遠遠不夠。對於微軟來說,這次事件提醒我們迫切需要加快行動。我們將立即應用現行安全標準於微軟擁有的舊有系統和內部業務流程,即使這些變化可能干擾現有業務流程也勢在必行。」