Microsoft anunció el miércoles que está expandiendo las capacidades de registro en la nube para ayudar a las organizaciones a investigar incidentes de seguridad cibernética y obtener más visibilidad después de enfrentar críticas a raíz de una reciente campaña de ataque de espionaje dirigida a su infraestructura de correo electrónico.
El gigante tecnológico dijo que está haciendo el cambio en respuesta directa a la creciente frecuencia y evolución de las amenazas cibernéticas de los estados nacionales. Se espera que se implemente a partir de septiembre de 2023 para todos los clientes gubernamentales y comerciales.
«En los próximos meses, incluiremos acceso a registros de seguridad en la nube más amplios para nuestros clientes en todo el mundo sin costo adicional», dijo Vasu Jakkal, vicepresidente corporativo de seguridad, cumplimiento, identidad y administración de Microsoft . «A medida que estos cambios surtan efecto, los clientes pueden usar Microsoft Purview Audit para visualizar de forma centralizada más tipos de datos de registro en la nube generados en toda su empresa».
Como parte de este cambio, se espera que los usuarios reciban acceso a registros detallados de acceso al correo electrónico y más de otros 30 tipos de datos de registro que anteriormente solo estaban disponibles en el nivel de suscripción de Microsoft Purview Audit (Premium). Además de eso, el fabricante de Windows dijo que está extendiendo el período de retención predeterminado para los clientes de Audit Standard de 90 días a 180 días.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) acogió con beneplácito la medida y afirmó que «tener acceso a datos de registro clave es importante para mitigar rápidamente las intrusiones cibernéticas» y que es «un paso significativo hacia el avance de los principios de seguridad por diseño».
El desarrollo se produce después de las revelaciones de que un actor de amenazas que opera desde China, denominado Storm-0558, violó 25 organizaciones al explotar un error de validación en el entorno de Microsoft Exchange.
El Departamento de Estado de EE. UU., que fue una de las entidades afectadas, dijo que pudo detectar la actividad maliciosa de los buzones en junio de 2023 debido al registro mejorado en Microsoft Purview Audit, específicamente usando la acción de auditoría de buzones MailItemsAccessed , lo que llevó a Microsoft a investigar el incidente. .
Pero otras organizaciones afectadas dijeron que no pudieron detectar que fueron violadas porque no eran suscriptores de las licencias E5/A5/G5, que vienen con acceso elevado a varios tipos de registros que serían cruciales para investigar el ataque.
Se dice que los ataques montados por el actor comenzaron el 15 de mayo de 2023, aunque Redmond dijo que el adversario ha mostrado una propensión a las aplicaciones OAuth, el robo de tokens y los ataques de repetición de tokens contra cuentas de Microsoft desde al menos agosto de 2021.
Mientras tanto, Microsoft continúa investigando las intrusiones, pero hasta la fecha la compañía no ha explicado cómo los piratas informáticos pudieron adquirir una clave de firma de consumidor de cuenta de Microsoft (MSA) inactiva para falsificar tokens de autenticación y obtener acceso ilícito al correo electrónico del cliente. cuentas que utilizan Outlook Web Access en Exchange Online (OWA) y Outlook.com.
«El objetivo de la mayoría de las campañas de Storm-0558 es obtener acceso no autorizado a cuentas de correo electrónico pertenecientes a empleados de organizaciones objetivo», reveló Microsoft la semana pasada.
«Una vez que Storm-0558 tiene acceso a las credenciales de usuario deseadas, el actor inicia sesión en la cuenta de correo electrónico en la nube del usuario comprometido con las credenciales de cuenta válidas. Luego, el actor recopila información de la cuenta de correo electrónico a través del servicio web».
Fuente y redacción: thehackernews.com
