Skip links

Depois que a Microsoft sofre uma mega violação, o que os clientes podem fazer?

Avisos: código-fonte dos produtos em risco, segredos dos clientes divulgados por e-mail.

Hackers estatais russos penetraram na Microsoft e não há muito que os usuários possam fazer a respeito.

O que a Microsoft quis dizer quando disse que um grupo de hackers estatal tem “tentado usar segredos de diferentes tipos” que roubou das comunicações da gigante da tecnologia com seus clientes?

Essa é uma pergunta feita por especialistas em segurança, após a Microsoft alertar na sexta-feira em um alerta de segurança, bem como apresentar à Comissão de Valores Mobiliários dos EUA que um ataque de hack descoberto em janeiro, seis semanas depois de ter começado, acabou sendo pior. do que se acreditava inicialmente (veja: Hackers estatais russos penetraram nos repositórios de código da Microsoft ).

Uma das outras grandes conclusões compartilhadas pela Microsoft à medida que sua investigação continua foi que os invasores obtiveram “acesso a alguns repositórios de código-fonte e sistemas internos da empresa”.

“Ser capaz de chegar ao código-fonte é a jóia da coroa”, disse Alan Woodward, professor visitante de ciência da computação na Universidade de Surrey, que testemunhou perante o Parlamento britânico sobre segurança da cadeia de abastecimento. “Então você tem que pensar: o que eles poderiam ter mudado? Além disso, este parece ser um ataque do Estado-nação, e eles fizeram uma limpeza muito inteligente enquanto passavam”, o que tornará a investigação rápida do incidente. ou chegar a conclusões firmes ainda mais difícil.

Outras questões em aberto: Por que a Microsoft estava usando e-mail para negociar segredos com clientes e quais eram esses segredos – talvez senhas ou chaves de API? Os invasores alteraram o código-fonte, potencialmente inserindo backdoors e, em caso afirmativo, para quais produtos? Há algo que os clientes ou usuários dos produtos da Microsoft potencialmente afetados possam fazer para se proteger?

A empresa ainda não forneceu respostas a nenhuma dessas perguntas, exceto para dizer que está entrando em contato com empresas que provavelmente serão alvo de uma falha na segurança operacional de seus e-mails (veja: Microsoft: hackers russos tiveram acesso a e-mails de executivos ).

Sob fogo

Como desenvolvedora do sistema operacional de desktop mais usado no mundo, entre outros softwares, a Microsoft é um alvo importante, e grupos de ataque de estados-nação continuam a aparecer.

“O ano passado foi uma parada de sucessos de ciberatores russos e chineses penetrando em algumas das partes mais sensíveis das redes da Microsoft. Alguns dos ataques foram sofisticados, outros rotineiros e poderiam ter sido resolvidos pelas orientações de segurança da própria Microsoft”, disse Chris Krebs. , diretor de inteligência da SentinelOne, que concorre com os negócios de segurança da Microsoft.

“De qualquer forma, a ameaça é muito real e muito séria, e a visão predominante em toda a comunidade de segurança nacional parece ser a de que a Microsoft está por um fio”, disse Krebs, que foi o primeiro diretor do Departamento de Segurança dos EUA. Agência de Segurança Cibernética e de Infraestrutura. “Estes incidentes contínuos representam um risco significativo para as empresas que dependem dos sistemas Microsoft e estão a levar os executivos do governo e da indústria a reavaliarem a sua dependência dos sistemas Microsoft.”

A Microsoft atribuiu o ataque de novembro de 2023 a um grupo de hackers apoiado pela Rússia, cujo codinome Midnight Blizzard – anteriormente Nobelium – também conhecido como APT29 e Cosy Bear. A administração Biden em 2021 conectou o grupo ao Serviço de Inteligência Estrangeira da Rússia, o SVR, e vinculou-o ao ataque à cadeia de abastecimento que inseriu código no software de monitoramento de TI Orion, amplamente utilizado, desenvolvido pela SolarWinds.

Até agora, a Microsoft não detalhou exatamente como os invasores em novembro passado usaram com sucesso um ataque de pulverização de senha para obter acesso a “uma conta de inquilino de teste herdada de não produção” e, a partir daí, acessar e-mails corporativos e sistemas internos.

“Está claro que a autenticação é uma bagunça dentro da Microsoft”, disse Adam Meyers, chefe de operações contra adversários da CrowdStrike, ao The Washington Post. A CrowdStrike também compete com os negócios de segurança da Microsoft.

Meyers disse ao Information Security Media Group que o alerta de sexta-feira da Microsoft “cria mais perguntas para os clientes e a indústria do que respostas” e também “apresenta dúvidas de que eles foram capazes de expulsar o Cozy Bear”, o que significa que os hackers do SVR ainda podem ter acesso à sua rede .

Revisão do código-fonte

Woodward disse que sua expectativa é que a Microsoft analise todos os códigos-fonte potencialmente acessados ​​em busca de sinais de adulteração. Isso não seria pouca coisa, visto que softwares como o Windows 11 executam 50 milhões de linhas de código e não são estáticos, com novos commits acontecendo constantemente. Os invasores também podem estar revisando códigos roubados off-line, procurando maneiras anteriormente desconhecidas de explorá-los ou subvertê-los.

Outra grande preocupação seria se os invasores inserissem código com sucesso na plataforma de computação em nuvem Azure ou no serviço Active Directory, disse ele, embora mesmo backdoors adicionados a programas como Word ou Excel ainda possam ser extremamente prejudiciais.

Meyers, da CrowdStrike, disse que um problema potencial não é apenas a integridade das bases de código, mas também os grandes modelos de linguagem usados ​​pelo Azure e outros produtos. “Num ano em que 42% da população mundial elege novos líderes, estou preocupado com a forma como o acesso potencial aos dados sensíveis e aos modelos de IA da Microsoft pode ser mal utilizado por Estados-nação hostis”, disse ele.

O que os usuários podem fazer?

Enquanto a Microsoft não libera mais detalhes ou orientações, o que seus usuários podem fazer para se protegerem melhor, especialmente se o código-fonte for alterado ou desaparecido?

“Minha reação pessoal é: não há nada que os usuários possam realmente fazer; não podemos parar de usar o software da Microsoft”, disse Woodward. “Você depende totalmente da Microsoft para resolver o problema, e eles enfrentam alguns estados-nação que estão bastante determinados.”

Um movimento bem-vindo como resultado da violação, disse ele, seria a Microsoft tornar obrigatório o uso da autenticação multifator, principalmente para bloquear completamente muitos outros tipos de ataques ou o impacto de muitos tipos de invasões. “É interessante – minha universidade agora usa autenticação multifatorial em todos os lugares”, disse ele. “Algumas pessoas dizem que é irritante, pede para você autenticar novamente a cada 14 dias, mas salvou nosso bacon, e várias vezes.”

Com a Microsoft ainda não declarando quais códigos-fonte dos produtos podem estar em risco, saber onde potencialmente concentrar defesas mais específicas continua sendo um desafio, disse Brian Honan, chefe da empresa de segurança cibernética BH Consulting, com sede em Dublin.

Em geral, ele também recomenda que as organizações revisem o uso da autenticação multifator, bem como garantam que estão criptografando dados em repouso e considerem o emprego de ferramentas de segurança adicionais de terceiros para criar uma defesa em mais camadas. “As organizações também devem garantir que tenham níveis apropriados de registro de segurança e monitoramento de seus registros”, especialmente para ajudar a investigar incidentes que venham à tona mais tarde – potencialmente como resultado dessas invasões na Microsoft, disse ele (veja: CISA lança registro Ferramenta para organizações com poucos recursos ).

Uma faceta da intrusão da Microsoft com a qual todas as organizações deveriam aprender é evitar o uso de e-mails para compartilhar qualquer tipo de segredo, disse ele.

“O e-mail não é inerentemente um meio seguro para transferir informações seguras e confidenciais e as organizações devem rever quais dados estão compartilhando por e-mail”, disse Honan, que fundou a primeira equipe de resposta a emergências informáticas da Irlanda, IRISS-CERT. “Com base nessa revisão, as organizações devem implementar controles adicionais em relação à segurança de e-mail, como criptografia ponta a ponta ou ferramentas de prevenção contra perda de dados, para detectar e prevenir o vazamento de informações confidenciais por e-mail”.


Fonte:https://www.databreachtoday.com/

Acesse nosso Instagram

Acesse nosso LinkedIn

This website uses cookies to improve your web experience.
pt_BRPortuguese