CISA orienta agências afetadas pelo ataque hacker da Microsoft a mitigar riscos
12 de Abril de 2024

A CISA emitiu uma nova diretiva de emergência, ordenando que as agências federais dos EUA abordem os riscos resultantes do comprometimento de várias contas de e-mail corporativas da Microsoft pelo grupo russo de hackers APT29.

A Diretiva de Emergência 24-02 foi emitida para as agências do Federal Civilian Executive Branch (FCEB) em 2 de abril.

Ela exige que investiguem os e-mails potencialmente afetados, redefinam quaisquer credenciais comprometidas (se houver) e tomem medidas para assegurar contas privilegiadas do Microsoft Azure.

A CISA diz que operativos do Serviço de Inteligência Estrangeira Russo (SVR) agora usam informações roubadas dos sistemas de e-mail corporativos da Microsoft, incluindo os detalhes de autenticação compartilhados entre a Microsoft e seus clientes por e-mail, para ganhar acesso a certos sistemas de clientes.

"Esta Diretiva de Emergência exige ação imediata pelas agências para reduzir o risco aos nossos sistemas federais.

Por vários anos, o governo dos EUA documentou atividade cibernética maliciosa como uma parte padrão do playbook russo; este último comprometimento da Microsoft adiciona à longa lista deles", disse a diretora da CISA, Jen Easterly, na quinta-feira.

"Continuaremos os esforços em colaboração com nossos parceiros do governo federal e do setor privado para proteger e defender nossos sistemas contra tal atividade de ameaça."

A Microsoft e a agência de cibersegurança dos EUA já notificaram todas as agências federais cuja correspondência por e-mail com a Microsoft foi detectada como exfiltrada pelos hackers russos.

A nova diretiva de emergência da CISA é a primeira vez que o governo dos EUA confirmou que e-mails de agências federais foram exfiltrados nos comprometimentos do Microsoft Exchange em janeiro.

A CISA agora ordenou que as agências afetadas identifiquem o conteúdo completo da correspondência da agência com as contas da Microsoft comprometidas e realizem uma análise de impacto de cibersegurança até 30 de abril de 2024.

Aqueles que detectarem sinais de comprometimentos de autenticação são obrigados a:

Tomar ação imediata de remediação para tokens, senhas, chaves de API, ou outras credenciais de autenticação conhecidas ou suspeitas de estarem comprometidas.

Para quaisquer comprometimentos de autenticação conhecidos ou suspeitos identificados através da ação 1 até 30 de abril de 2024:

Redefinir credenciais em aplicações associadas e desativar aplicações associadas que não são mais de uso para a agência.

Revisar logs de atividade de login, emissão de tokens, e outras atividades de conta para usuários e serviços cujas credenciais foram suspeitas ou observadas como comprometidas em busca de atividade maliciosa potencial.

Embora os requisitos da ED 24-02 se apliquem exclusivamente às agências do FCEB, a exfiltração de contas corporativas da Microsoft pode impactar outras organizações, que são instadas a buscar orientação de suas respectivas equipes de contas da Microsoft.

Também é essencial que todas as organizações, independentemente do impacto, adotem medidas de segurança rigorosas, incluindo o uso de senhas fortes, habilitação da autenticação multifator (MFA) sempre que possível e abstenção de compartilhar informações sensíveis não protegidas através de canais não seguros.

Em janeiro, a Microsoft revelou que hackers APT29 (também rastreados como Midnight Blizzard e NOBELIUM) haviam comprometido seus servidores de e-mail corporativos seguindo um ataque de pulverização de senha que levou ao comprometimento de uma conta de teste de legado não produzida.

A empresa depois divulgou que a conta de teste não tinha MFA habilitado, permitindo que os hackers acessassem os sistemas da Microsoft.

A conta também tinha acesso a um aplicativo OAuth com acesso elevado ao ambiente corporativo da Microsoft, o que permitiu aos atacantes acessar e roubar dados de caixas de correio corporativas.

Essas contas de e-mail pertenciam a membros da equipe de liderança da Microsoft e a um número não divulgado de funcionários nos departamentos de cibersegurança e jurídico da empresa.

O APT29 ganhou notoriedade após o ataque à cadeia de fornecimento do SolarWinds em 2020, que resultou no comprometimento de algumas agências federais dos EUA e inúmeras empresas, incluindo a Microsoft.

A Microsoft mais tarde confirmou que o ataque permitiu ao grupo russo de hackers roubar código-fonte de alguns componentes do Azure, Intune e Exchange.

Em junho de 2021, os hackers do APT29 novamente comprometeram uma conta corporativa da Microsoft, dando-lhes acesso a ferramentas de suporte ao cliente.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...