CISA命令受微软黑客影响的机构降低风险

紧急指令24-02于4月2日发布给联邦文职行政部门(FCEB)各机构。它要求他们调查可能受影响的电子邮件，重置任何受损的凭据(如果有的话)，并采取措施保护特权的微软Azure账户。

CISA说，俄罗斯对外情报局(SVR)的特工现在利用从微软公司电子邮件系统窃取的信息，包括微软与其客户通过电子邮件共享的身份验证细节，来访问某些客户系统。

“这项紧急指令要求各机构立即采取行动，减少联邦系统面临的风险。几年来，美国政府已经将恶意网络活动记录为俄罗斯剧本的标准组成部分;这次微软的最新妥协又增加了他们长长的名单，”CISA主任Jen Easterly周四表示。

“我们将继续努力与联邦政府和私营部门合作伙伴合作，保护和捍卫我们的系统免受此类威胁活动的侵害。”

联邦机构的电子邮件被盗

微软和美国网络安全机构已经通知了所有与微软通信的电子邮件被俄罗斯黑客窃取的联邦机构。

CISA的新紧急指令是美国政府首次确认联邦机构的电子邮件在今年1月的微软交易所入侵事件中被泄露。

CISA现在已经命令受影响的机构在2024年4月30日之前确定其与被入侵的微软账户通信的全部内容，并进行网络安全影响分析。

检测到身份验证漏洞迹象的人员需要:

1. 对于已知或怀疑被泄露的令牌、密码、API密钥或其他身份验证凭证，立即采取补救措施。

2. 对于在2024年4月30日之前通过行动1确定的任何已知或可疑的身份验证漏洞:

1. 重置关联应用程序中的凭据，并停用不再对代理使用的关联应用程序。

2. 查看凭据被怀疑或观察为潜在恶意活动的用户和服务的登录、令牌发布和其他帐户活动日志。

尽管ED 24-02的要求只适用于FCEB机构，但微软公司账户的泄露可能会影响到其他组织，这些组织被敦促向各自的微软客户团队寻求指导。

此外，无论受到何种影响，所有组织都必须采取严格的安全措施，包括使用强密码、尽可能启用多因素身份验证(MFA)以及避免通过不安全的通道共享未受保护的敏感信息。

APT29对微软的攻击

今年1月，微软透露，APT29黑客(也被追踪为Midnight Blizzard和NOBELIUM)在密码喷雾攻击后破坏了其公司电子邮件服务器，导致遗留的非生产测试租户帐户受到损害。

该公司后来披露，测试账户没有启用MFA，这使得黑客可以访问微软的系统。

该账户还可以访问一个OAuth应用程序，该应用程序可以提升对微软公司环境的访问权限，这使得攻击者可以访问并窃取公司邮箱中的数据。这些电子邮件账户属于微软的领导团队成员，以及该公司网络安全和法律部门的员工，具体人数不详。

APT29在2020年SolarWinds供应链遭到攻击后臭名昭著，那次攻击导致一些美国联邦机构和包括微软在内的众多公司遭到入侵。

微软后来证实，这次攻击让俄罗斯黑客组织窃取了一些Azure、Intune和Exchange组件的源代码。

2021年6月，APT29黑客再次入侵微软公司账户，使他们能够访问客户支持工具。

原文始发于微信公众号（HackSee）：CISA命令受微软黑客影响的机构降低风险