来源 :飞天诚信2024-02-04
微软公司在1月19日晚间宣布,黑客组织利用弱密码(口令)侵入公司网络,访问了高管及安全、法务团队成员的电子邮件和文件。微软于已向美国证交会(SEC)提交文件,披露了部分细节:
“从2023年11月下旬开始,威胁行为者通过口令喷洒攻击侵入一个遗留的非生产测试租户帐号,获得了立足点。此后,他们利用该帐号的权限访问了微软公司的少数电子邮件帐号,包括高级领导团队成员及网络安全、法务和其他职能团队员工,并窃取了一些电子邮件及附件。”
据此推测,微软网络内某个账号使用了弱口令,而且没有启用双因素认证。黑客组织通过不断尝试先前已暴露口令或常用口令,最终成功猜中了正确口令。攻击者随后完成账号访问,说明微软没有启用双因素认证,或者这一保护措施被绕过。
1月25日,微软公司就此事又发布了公告,披露了更多细节。据称,被攻破的账号是一个“传统非生产测试租户帐号”,该帐号并未启用多因素身份认证。利用他们最初获取的访问权限,识别并侵入一个拥有对微软公司环境的高级访问权限的遗留测试OAuth应用程序。随后,威胁行为者创建了额外的恶意OAuth应用程序。他们新建了一个用户帐号,允许由他们控制的恶意OAuth应用程序访问微软公司环境。然后,威胁行为者使用遗留测试OAuth应用程序,授予自己Office 365 Exchange Online的‘完整应用程序访问’(full_access_as_app)角色,该角色有权访问邮箱。
微软不是第一个因为弱口令这个“采用多因素身份认证就能避免”的问题而导致网络安全事故的网络安全公司。(又是密码(口令)惹的祸?Okta被黑事件溯源)
飞天诚信是MISA(微软智能安全协会)的会员。该协会由一些与微软合作的安全公司组成,旨在抵御全球日渐复杂的信息安全威胁(飞天诚信正式加入MISA(微软智能安全协会),成为国内唯一一家入选的企业)。飞天诚信配合微软混合Azure AD推出了指纹生物识别无密码安全认证方案(飞天诚信生物识别安全密钥支持微软混合Azure AD无密码认证)。
飞天诚信曾入围微软安全20/20合作伙伴奖(Microsoft Security 20/20 Partner Awards)并获得身份认证开拓者奖项(Identity Trailblazer)。(飞天诚信喜获微软安全20/20合作伙伴奖之身份认证开拓者奖项)
如果微软对飞天诚信这个来自中国的合作伙伴再重视一些……