A Microsoft anunciou na segunda-feira que transferiu o serviço de assinatura da Microsoft Account (MSA) para máquinas virtuais (VMs) confidenciais do Azure e que também está em processo de migração do serviço de assinatura do Entra ID para o mesmo.
A divulgação ocorre cerca de sete meses após a gigante da tecnologia afirmar que completou atualizações no Microsoft Entra ID e MSA para ambos, nuvens públicas e do governo dos Estados Unidos, para gerar, armazenar e rotacionar automaticamente as chaves de assinatura de tokens de acesso usando o serviço Azure Managed Hardware Security Module (HSM).
"Cada uma dessas melhorias ajuda a mitigar os vetores de ataque que suspeitamos que o ator utilizou no ataque Storm-0558 à Microsoft em 2023", disse Charlie Bell, Vice-Presidente Executivo de Segurança da Microsoft, em uma postagem compartilhada.
A Microsoft também observou que 90% dos tokens de identidade do Microsoft Entra ID para apps da Microsoft são validados por um identity Software Development Kit (SDK) reforçado e que 92% das contas de produtividade dos funcionários agora estão usando autenticação multifator (MFA) resistente a phishing para mitigar risco de ataques cibernéticos avançados.
Além de isolar sistemas de produção e impor uma política de retenção de dois anos para logs de segurança, a empresa também disse que está protegendo 81% dos ramos de código de produção usando MFA através de verificações de prova de presença.
"Para reduzir o risco de movimento lateral, estamos piloteando um projeto para mover fluxos de trabalho e cenários de suporte ao cliente para um tenant dedicado", acrescentou.
Baseline de segurança são aplicados em todos os tipos de tenants da Microsoft, e um novo sistema de provisionamento de tenant registra automaticamente novos tenants no nosso sistema de resposta a emergências de segurança.
As mudanças fazem parte da sua Secure Future Initiative (SFI), que a empresa caracterizou como "o maior projeto de engenharia de cibersegurança da história e o esforço mais extenso de seu tipo na Microsoft."
A SFI ganhou destaque no ano passado em resposta a um relatório do U.S.
Cyber Safety Review Board (CSRB), que criticou a gigante da tecnologia por uma série de erros evitáveis que levaram à violação de quase duas dúzias de empresas na Europa e nos EUA por um grupo de Estado-nação baseado na China chamado Storm-0558 em 2023.
Em julho de 2023, a Microsoft revelou que um erro de validação em seu código-fonte permitiu que tokens de Azure Active Directory (Azure AD) ou Entra ID fossem forjados pelo Storm-0558 usando uma chave de assinatura consumer da MSA para infiltrar várias organizações e obter acesso não autorizado a e-mails para subsequente exfiltração de dados de caixas de correio.
No final do ano passado, a empresa também lançou uma Windows Resiliency Initiative para melhorar a segurança e a confiabilidade e evitar causar interrupções no sistema como o que aconteceu durante o infame incidente de atualização do CrowdStrike em julho de 2024.
Isso inclui um recurso chamado Quick Machine Recovery, que permite aos administradores de TI executar correções específicas em PCs Windows mesmo em situações em que as máquinas não conseguem iniciar.
Está integrado ao Windows Recovery Environment (WinRE).
"Diferentemente das opções tradicionais de reparo que dependem da intervenção do usuário, ele ativa automaticamente quando o sistema detecta falha", disse Rudy Ooms da Patch My PC, no mês passado.
Todo o processo de remediação na nuvem é bastante direto: verifica se flags/configurações como CloudRemediation, AutoRemediation e, opcionalmente, HeadlessMode estão definidas.
Se o ambiente atender às condições (como uma rede disponível e plugin requerido), o Windows inicia silenciosamente a recuperação.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...