Microsoft прилагает все усилия, чтобы скрыть роль 0-day, вызвавшую взлом электронной почты

... С учетом затрат... Разве Microsoft буквально не является гангстером, требующим денег за защиту?

E5 — это «настоящий» сервис MS365, а все остальное — всего лишь разная степень тизера, чтобы привлечь вас, IMO. Пройдя через танец несколько раз, всегда есть что-нибудь заперт за е5 что хочешь. Это, OTOH, особенно вопиющее, поскольку вы доплачиваете за журналы, созданные сервисом, за использование которого вы уже платите.

Все это кажется довольно убийственным. Есть «приобретенный» ключ, о котором никто не может ничего сказать (за исключением того, что с тех пор все было улучшено, по некоторым причинам); и оказывается, что причудливый Azure OWA с поддержкой кормов, по-видимому, прекрасно реагирует на токены outlook.com; и все дело было обнаружено после некоторого периода эксплуатации в отчете клиента.

Я подозреваю, что это все же лучше, чем неисправленная установка Windows Server Essentials чьим-то двоюродным братом; но это не то, что вы хотели бы получить от великолепного облака «даже не думайте о надоедливой инфраструктуре, потому что в ней работают умные профессионалы»; особенно с платными функциями безопасности.

fuzzyfuzzyfungus сказал:
Все это кажется довольно убийственным. Есть «приобретенный» ключ, о котором никто не может ничего сказать (за исключением того, что с тех пор все было улучшено, по некоторым причинам); и оказывается, что причудливый Azure OWA с поддержкой кормов, по-видимому, прекрасно реагирует на токены outlook.com; и все дело было обнаружено после некоторого периода эксплуатации в отчете клиента.

Я подозреваю, что это все же лучше, чем неисправленная установка Windows Server Essentials чьим-то двоюродным братом; но это не то, что вы хотели бы получить от великолепного облака «даже не думайте о надоедливой инфраструктуре, потому что в ней работают умные профессионалы»; особенно с платными функциями безопасности.

Нажмите, чтобы развернуть...

Да, все еще непонятно, как ключ подписи, который якобы работает только для потребителя, переделывает его и работает на коммерческой/корпоративной стороне. Например, это безопасность 101, когда вы говорите, что «этот ключ подходит только к этому замку», и вдруг люди узнают, что он открывает все замки. Совсем не хороший вид.

Они действительно заблокировали конкретный ключ, но никто не знает, как он на самом деле появился, откуда он был выдан или как его получили плохие парни. Просто много домыслов.

Кстати, обратите внимание, что Azure AD меняет название на «Azure Entra ID».

Источник:

Learn.Microsoft.com

Узнайте, как мы объединяем семейство продуктов Microsoft Entra и как мы переименовываем Azure Active Directory (Azure AD) в Microsoft Entra ID.

Learn.Microsoft.com


Было бы полезно поместить новое имя в круглые скобки где-нибудь в статье, чтобы его было легко найти в будущем при поиске в Интернете.

В этом есть смысл, поскольку AAD никогда не имел ничего общего с Active Directory. Но, черт возьми, я ненавижу все постоянные изменения имен, которые Microsoft бросает нам.

Пуллатомас сказал:

Насколько я понимаю, если вы поместите его в E3 или ниже, он выбьет конкуренцию. Зачем вам платить за еще один инструмент безопасности, если Microsoft дает вам все необходимое в вашем сабвуфере? Если Microsoft смогла определить причину атаки, а жертва атаки не использовала свои инструменты... то какие инструменты они использовали, но не обнаружили атаку?

Нажмите, чтобы развернуть...
На самом деле вы не ожидаете, что сторонний инструмент выявит такую ​​​​атаку без доступа, который Microsoft продается журналам: злоумышленник использовал поддельные токены аутентификации для доступа к серверу Microsoft OWA; никакого взаимодействия с заказчиком.

Вам не нужно использовать предложения Microsoft, чтобы пережевывать журналы и искать такие вещи, как аномальные токены, если вы платите за доступ к журналам, вы можете проникнуть в чужие инструменты; но если вы не покупаете причудливый доступ к журналу, вам не о чем пережевывать.

Редактировать: отчет CISA содержит некоторые дополнительные сведения; Администраторы некоторых клиентов из сети наблюдают за событиями MailItemsAccessed и обнаруживают неожиданный идентификатор приложения, который представляет собой «расширенную» функцию ведения журнала аудита. Они отмечают, что «CISA и ФБР не знают о других журналах аудита или событиях, которые могли бы обнаружить эту активность».

Я подозреваю, что на многих E5 никто так внимательно не следит за логами; но если у вас нет этого «расширенного» элемента ведения журнала, он будет фактически бесшумным.

Джодж сказал:

E5 — это «настоящий» сервис MS365, а все остальное — всего лишь разная степень тизера, чтобы привлечь вас, IMO. Пройдя через танец несколько раз, всегда есть что-нибудь заперт за е5 что хочешь. Это, OTOH, особенно вопиющее, поскольку вы доплачиваете за журналы, созданные сервисом, за использование которого вы уже платите.

Нажмите, чтобы развернуть...
Возможно.

Это по-прежнему дерьмовый ход — продавать службу аутентификации, где самые основные журналы находятся за чертовым платным доступом. Честно говоря, это (или должно быть) неловко.

DNick сказал:

Сумасшедший. Они тратят миллионы (миллиарды?) на создание узнаваемости бренда, а затем меняют название бренда. Это похоже на то, что владелец рекламного агентства находится в сговоре с кем-то из высокопоставленных лиц в MS.

Нажмите, чтобы развернуть...
Похоже, они не ХОТЯТ, чтобы вы находили в Интернете статьи об уязвимостях системы безопасности...

Кроме того, Gmail имеет функцию безопасности E5 на своем буквально бесплатном уровне (общедоступный Gmail), а также на всех платных: https://support.google.com/mail/answer/45938?hl=en

У них это было с тех пор, как они обнаружили китайских хакеров в своей сети еще в 2012 году? Microsoft отстает на 10 лет и взимает плату с клиентов за привилегию знать, было ли взломано их дерьмо. Я каждый день искренне удивляюсь тому, что CISO разрешают продление MS.

ETA: Я особенно поражен тем, что федералы прямо не сказали MS добавить его к каждому ярусу или фунту песка; совершенно очевидно, что это ОГРОМНЫЙ риск для важной инфраструктуры национальной безопасности (например, трубопроводов и больниц)!

Откровенно говоря, это общая проблема национальной безопасности: все в стране либо используют его, либо взаимодействуют с теми, кто им пользуется. Функции безопасности должны быть базовой функцией, а не надстройкой. Эти журналы в любом случае делаются, просто сделайте их доступными.

Они также раскрывали в пятницу, что может быть совпадением, или это может быть потому, что новости в пятницу имеют тенденцию быть похороненными к выходным.

SplatMan_DK сказал:
Определенно не хочу защищать Microsoft здесь, но вообще говоря, разве 0-day не считается результатом ошибочного кода, который нуждается в исправлении?

Недостаток дизайна не является ошибкой. Конечно, это все еще может быть уязвимостью, но любой, кто занимается созданием программного обеспечения, скажет, что между «багом» и «ошибкой дизайна» есть довольно большая разница.

Для системы безопасности я бы сказал, что последнее на самом деле хуже.

Нажмите, чтобы развернуть...
Это расщепление волос / семантика в худшем случае.

Извините, на это не распространяется гарантия, так как это не производственный дефект, а инженерно-математическая ошибка.

Баг, ошибка, глюк, недоработка. На самом деле не имеет значения, как вы это называете, если конечным результатом является то, что дверь вашей машины принимает любой ключ.

Звучит как облачная версия Golden Ticket. Приятно видеть, что Microsoft взяла с собой этот вектор атаки. А затем гарантировал, что это будет работать, не используя HSA.

Я долгое время считал Microsoft и Windows синонимами Z.

скотл сказал:

Статью даже не читал, потому что... что это за бред для названия?
«Microsoft прилагает все усилия, чтобы скрыть роль нулевого дня, вызвавшую взлом электронной почты»

Нажмите, чтобы развернуть...
Microsoft — крупная технологическая компания. Среди прочего они делают продукты для электронной почты.

Прилагает усилия означает прилагать дополнительные усилия.

Скрыть - скрыть что-то.

Роль означает их участие.

Нулевой день — это новая или ранее неизвестная уязвимость системы безопасности.

Вызвать что-то означает, что их действия были ответственны за результат.

Нарушение электронной почты означает, что кто-то получил доступ к серверу, к которому не должен был, раскрывая личную информацию.

Я хотел бы узнать больше о конкретных журналах, которые были защищены платным доступом. Насколько я понимаю, журналы аудита, входа и подготовки можно бесплатно просматривать на портале Azure. Сказав это, возможно, это другой набор журналов и, возможно, есть другие улучшения, о которых я не знаю.

Если они говорят, что это не нулевой день… значит, они знали об этом до того, как его использовали, верно?

Danation сказал:

Я хотел бы узнать больше о конкретных журналах, которые были защищены платным доступом. Насколько я понимаю, журналы аудита, входа и подготовки можно бесплатно просматривать на портале Azure. Сказав это, возможно, это другой набор журналов и, возможно, есть другие улучшения, о которых я не знаю.

Нажмите, чтобы развернуть...

Вот статья Майкрософт как использовать событие аудита MailItemsAccessed; часть Аудит Microsoft Purview (Премиум), доступный для учетных записей с E5 или E3 с надстройкой E5 Compliance или надстройкой E5 Discovery and Audit. Это одно из различий между аудитом (стандартным) и аудитом (премиум). Здесь представляет собой таблицу, которая разбивает, какие значения проверяются или не проверяются по умолчанию; с примечаниями, для которых доступны только с лицензированием аудита уровня E5.

Вот Часть CISA описание того, как несоответствия AppID в событии аудита MailItemsAccessed привели к обнаружению проблемы.

И да, в основном это означает, что определенные события, которые, как показывает случайный взгляд на журнал аудита, проверяются в вашей среде, потенциально не являются таковыми, если данный почтовый ящик выходит за рамки эквивалента E5, потому что он является общим, или у вас есть неоднородное лицензионное соглашение с некоторыми F1/F3/E3 или нравиться. В настройках аудита по умолчанию для всего клиента будет показано, что событие будет включено; но он просто ничего не сделает для почтовых ящиков, на которые не распространяется действие лицензии.

Насколько я знаю, нет лицензии на весь клиент или на событие/на ГБ, которую вы могли бы использовать (по крайней мере, если есть, это модно поговорите со своим представителем, который не отображается ни в официальной, ни в неофициальной документации SKU), чтобы включить премиум Ведение журнала; Я предполагаю, что клиенты с достаточной тягой могут уговорить продавцов предоставить им скидку на E5 Discovery and Audit; но это для каждого пользователя, а не для всего арендатора.

Из других новостей софтверный гигант Microsoft решил провести ребрендинг. На пресс-конференции 14 июля председатель и главный исполнительный директор Сатья Наделла представил новое название компании «Фета».

Пол Террот из Суперсайт для Windows приветствовал «смелое новое имя» и описал его как «дальновидное и отличное от всего остального в отрасли, но доступное».

Однако не все так положительно относятся к новой идентичности. Интернет-эксперты заявляют, что модернизация является попыткой приукрасить традиционную безопасность «швейцарского сыра» производителя программного обеспечения, заменив ее другим, менее дырявым сыром.

Пока что Фета молчит о том, чем компания будет отличаться в будущем. Однако, БлумбергМарк Гурман из Марка Гурмана сообщает, что «Вторник исправлений» будет переименован в «Опа!».

Новое имя Microsoft — Feta

Лично нам сказали, что это именно то, что «Облако» предотвратит, или, по крайней мере, облако служба обнаружит, потому что у них может быть гораздо больше ресурсов и лучший персонал, чем в организациях среднего размера. мог. Но это никогда не было правдой — и здесь мы видим именно тот тип атаки, который, как я всегда считал, будет очень ценным. чтобы противостоять крупной облачной службе, которую не обнаружила «супербезопасность» облачных служб, это сделал клиент!

Я буду продолжать говорить об этом — ФРС и предприятиям необходимо избавиться от своей откровенно устаревшей одержимости Outlook/Exchange и получить некоторую конкуренцию в этой области. Очевидно, что GovCloud / сверхзащищенное облако для федеральных агентств... нет - если он принимает потребительские билеты любого вида FFS. И вы знаете, что, если бы это было в предварительном AD в правительстве, он никогда бы не взял токен аутентификации из семейной учетной записи. Не говорю, что это лучше по своей сути, но вам нужны отдельные домены аутентификации между каждым арендатором.

Итак, еще одна новость о том, как глобальные злоумышленники успешно взламывают американские компании, учреждения и государственные структуры. Мне любопытно, есть ли в США своя доля белых хакеров, которые так же способны и делают то же самое.

Я посмотрел, но на этот раз не увидел. Где все люди в комментариях, повторяющие рефрен «вы были бы полным идиотом, если бы запускали свой собственный сервер обмена»? 365 почта была взломана, а мой сервер Exchange — нет. Просто говорю.

Ни 365, ни Exchange on-prem не идеальны, во всяком случае. Но одна из них — гораздо более крупная цель, само определение «охоты на крупную дичь». Я лучше буду маленькой мышкой, чем огромным медленным слоном. Переход в облако не делает вас каким-то образом «безопасным».

4XjrPz6t сказал:
Я посмотрел, но на этот раз не увидел. Где все люди в комментариях, повторяющие рефрен «вы были бы полным идиотом, если бы запускали свой собственный сервер обмена»? 365 почта была взломана, а мой сервер Exchange — нет. Просто говорю.

Ни 365, ни Exchange on-prem не идеальны, во всяком случае. Но одна из них — гораздо более крупная цель, само определение «охоты на крупную дичь». Я лучше буду маленькой мышкой, чем огромным медленным слоном. Переход в облако не делает вас каким-то образом «безопасным».

Нажмите, чтобы развернуть...
Конечно, но угадайте, кто виноват, когда подаются судебные иски? Не вы.

Не сказать, что это отличная защита или правильный способ делать что-то, но это абсолютно одно из соображений бизнеса.

Два слова: Строгая ответственность. Коммерческое программное обеспечение и услуги имеют такой дисбаланс между поставщиком и пользователем, что превращают в насмешку любое предполагаемое «соглашение о равных», лежащее в основе договорного права. В подобных случаях, когда преднамеренные действия поставщика ограничивают или лишают пользователя возможности проверить качество товаров и сравнивать то, что доставляется, с тем, что рекламируется, закон должен устранять любое уклонение от соответствия цели «как есть». нарушения.

Microsoft утверждает, что является экспертом, во всяком случае, крупным шрифтом. Настало время, чтобы их заставили соответствовать стандартам, которым они хотят, чтобы другие верили в то, что они изображают.

4XjrPz6t сказал:
Я посмотрел, но на этот раз не увидел. Где все люди в комментариях, повторяющие рефрен «вы были бы полным идиотом, если бы запускали свой собственный сервер обмена»? 365 почта была взломана, а мой сервер Exchange — нет. Просто говорю.

Ни 365, ни Exchange on-prem не идеальны, во всяком случае. Но одна из них — гораздо более крупная цель, само определение «охоты на крупную дичь». Я лучше буду маленькой мышкой, чем огромным медленным слоном. Переход в облако не делает вас каким-то образом «безопасным».

Нажмите, чтобы развернуть...

У многих компаний нет бюджета, чтобы иметь дополнительного сотрудника только для надлежащей защиты локальной установки или варианта облачного сервера.

Мы используем почту, размещенную на Microsoft, WordPress, размещенный на WPEngine (для сайта только с маркетинговой информацией), службу поддержки, размещенную на Zendesk, и т. д. потому что это стоит ничтожную долю того, что наем ИТ-персонала для надежно управлять своими силами будет стоить.

Да, в этой статье говорится о том, что в этом случае размещенная служба не может быть защищена, но это происходит и с самоуправляемыми серверами. Если ваши серверы подключены к Интернету, они уязвимы для автоматических атак с использованием 0-day или если ваш ИТ-специалист болен и не может вовремя установить исправление.

Подожди, 57 долларов в месяц на пользователя чтобы увидеть войти в логи, самое основное из регистрации?

Последнее сообщение в блоге

Правительственные учреждения продолжают жертвовать деньгами зомби-ИТ-системам, считает GAO
October 03, 2023

С середины 1994 по начало 1996 года я был ведущим программистом проекта по преобразованию более 2100 программ Нью-Йорка. Интегрированная система фи...

Правительственные учреждения продолжают жертвовать деньгами зомби-ИТ-системам, считает GAO
October 03, 2023

С середины 1994 по начало 1996 года я был ведущим программистом проекта по преобразованию более 2100 программ Нью-Йорка. Интегрированная система фи...

Правительственные учреждения продолжают жертвовать деньгами зомби-ИТ-системам, считает GAO
October 03, 2023

С середины 1994 по начало 1996 года я был ведущим программистом проекта по преобразованию более 2100 программ Нью-Йорка. Интегрированная система фи...