חלקה של מיקרוסופט במתקפת הסייבר על ארה"ב – בבדיקה

מיקרוסופט מעורבת בפריצת הענק לחברות ולגופי ממשל אמריקניים, בשל הקשר בין הנוזקה לאופיס 365 ול- Azure Active Directory

הסתבכה? מיקרוסופט. צילום: BigStock

מומחי אבטחה העריכו אמש (ג') כי מיקרוסופט הסתבכה בבדיקות סביב הפריצה לחברות ולגופי ממשל בארצות הברית, שנחשפה באחרונה – בשל הקשר בין הנוזקה לאופיס 365 ול-Azure Active Directory.

על פי הדיווחים, שני קורבנות מרכזיים בקמפיין הסייבר המסיבי שביצעה קבוצת האקרים המקורבת לקרמלין נפרצו דרך חשבונות Microsoft Office 365. ההאקרים, כך דווח, עקבו במשך חודשים עקבו אחרי המיילים שנשלחו באמצעות Office 365 בחשבון של מינהל התקשורת והמידע הלאומי (ה-NTIA) שבמשרד המסחר האמריקני, ולאחר מכן פרצו לרשת הארגונית שלו.

גורם המעורב בחקירת האירוע אמר לרויטרס כי ההאקרים הם "מתוחכמים ביותר", והצליחו להערים על בקרות האימות של פלטפורמת מיקרוסופט.

ממשרד המסחר נמסר כי אחת הלשכות שלו הותקפה, אך הוא לא ענה לשאלה בנוגע לתפקיד של אופיס 365 במתקפה. מיקרוסופט לא השיבה לשאלות התקשורת הטכנולוגית בארצות הברית האם החברה עצמה נפרצה במסגרת קמפיין סייבר זה ועד כמה הטכנולוגיה שלה הייתה משמעותית ביכולתם של ההאקרים לפרוץ ללקוחות. החברה כתבה בתחילת השבוע בבלוג שלה כי החקירות שביצעה לא זיהו כל פגיעות במוצריה או בשירותי הענן שהיא מספקת. מומחה אבטחה שמכיר את המתקפה לא קיבל הערכה זו ואמר כי "ברגע שתוקף השיג גישה לרשת יעד, הוא עלול להיות בעל גישה למגוון של מערכות".

ביום ב' השבוע הודיעה סולאר-ווינדס ל-SEC – הרשות האמריקנית לניירות ערך – כי וקטור התקיפה שימש לפגיעה במיילים שהועברו באמצעות Microsoft Office 365. ההאקרים השיגו גישה לארגונים ציבוריים ופרטיים רבים, באמצעות עדכונים של תוכנת ניטור הרשת אוריון של סולאר-ווינדס – כך לפי פייראיי, אחת החברות שניזוקו מהמתקפה. סולאר-ווינדס עצמה מסרה שהיא בודקת עם מיקרוסופט אם לקוחות או נתונים אחרים נפגעו מהמתקפה, אולם לא גילתה כל ראייה לכך בשלב זה.

מה באשר ל-Azure?

מרכז מחקר האבטחה של מיקרוסופט פרסם שההאקרים הצליחו לייצר טוקן (אסימון), שמייצג חשבון בעל פריבילגיות גבוהות ב-Azure Active Directory. ההאקרים יכולים גם לקבל הרשאות ניהול של ה-Azure Active Directory, תוך שהם משתמשים באישורים גנובים או פגומים. מיקרוסופט ציינה שהדבר סביר במיוחד אם החשבון המדובר לא מוגן על ידי אימות רב גורמי (MFA). "לאחר שהתוקף צבר דריסת רגל משמעותית בסביבה המקומית, הוא ביצע שינויים בהגדרות Azure Active Directory כדי להקל על גישה לטווח הארוך", ציינה מיקרוסופט. "או אז, הוא יכול להשתמש בהרשאות הניהול שלו כדי להעניק הרשאות נוספות. צפינו גם בהאקרים שמוסיפים אישורי סיסמה או אישורים אחרים לתהליכים לגיטימיים – מה שמאפשר להם לקרוא תוכן דואר מאקסצ'יינג' אונליים באמצעות Microsoft Graph או Outlook REST".

שלשום מיקרוסופט השתלטה על דומיין מרכזי ששימש את ההאקרים שפרצו לסולאר-ווינדס כדי לתקשר עם מערכות שנפגעו על ידי עדכוני המוצרים של אוריון – כך דיווח אתמול האתר KrebsOnSecurity. בדיווח נכתב שיש למיקרוסופט היסטוריה ארוכה של השתלטות על דומיינים שקשורים לנוזקות, במיוחד כאשר אתרים אלה משמשים לתקיפת לקוחות Windows. "לכן, למיקרוסופט יהיה בקרוב מושג אילו וכמה לקוחות סולאר-ווינדס הושפעו מהמתקפה", צויין.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים