Microsoft изо всех сил старается скрыть роль в нулевых днях, вызвавших взлом электронной почты

... С учетом затрат... Разве Microsoft не является в буквальном смысле гангстером, требующим денег за защиту?

E5 — это «настоящий» сервис MS365, а все остальное — всего лишь разная степень тизера, чтобы вас заинтересовать, ИМХО. Пройдя через танец уже несколько раз, всегда есть что-нибудь заблокирован за E5, который вы хотите. Это, OTOH, особенно вопиюще, поскольку вы платите дополнительно за журналы, созданные службой, за использование которой вы уже платите.

Все это кажется довольно устрашающим. Есть «приобретенный» ключ, о котором никто ничего не может сказать (за исключением того, что с тех пор все было улучшено по определенным причинам); и оказывается, что модный Azure OWA, очевидно, прекрасно реагирует на токены Outlook.com; и все это было обнаружено после некоторого периода эксплуатации по отчету клиента.

Я подозреваю, что все же лучше, если непропатченная установка Windows Server Essentials будет сделана чьим-то двоюродным братом; но это не то, чего вы хотели бы от великолепного облака «даже не думайте о надоедливой инфраструктуре, потому что в ней работают умные профессионалы»; особенно с функциями безопасности с платным доступом.

fuzzyfuzzyfungus сказал:
Все это кажется довольно устрашающим. Есть «приобретенный» ключ, о котором никто ничего не может сказать (за исключением того, что с тех пор все было улучшено по определенным причинам); и оказывается, что модный Azure OWA, очевидно, прекрасно реагирует на токены Outlook.com; и все это было обнаружено после некоторого периода эксплуатации по отчету клиента.

Я подозреваю, что все же лучше, если непропатченная установка Windows Server Essentials будет сделана чьим-то двоюродным братом; но это не то, чего вы хотели бы от великолепного облака «даже не думайте о надоедливой инфраструктуре, потому что в ней работают умные профессионалы»; особенно с функциями безопасности с платным доступом.

Нажмите, чтобы развернуть...

Да, в целом, как ключ подписи, который предположительно работает только на потребительской стороне, переделать его и работать на коммерческой / корпоративной стороне, все еще сбивает с толку. Типа... это уровень безопасности 101, когда вы говорите: «Этот ключ подходит только к этому замку», и внезапно люди обнаруживают, что он открывает все замки. Совсем нехороший вид.

Они заблокировали конкретный ключ, но никто понятия не имеет, как он на самом деле появился, откуда он был выдан и как злоумышленники его получили. Просто много предположений.

Кстати, обратите внимание, что Azure AD меняет имя на «Azure Entra ID».

Источник:

Learn.microsoft.com

Узнайте, как мы объединяем семейство продуктов Microsoft Entra и переименовываем Azure Active Directory (Azure AD) в Microsoft Entra ID.

Learn.microsoft.com


Было бы полезно поместить новое имя в скобки где-нибудь в статье, чтобы его можно было легко найти при дальнейшем поиске в Интернете.

В этом есть смысл, поскольку AAD вообще никогда не имел ничего общего с Active Directory. Но, черт возьми, я ненавижу все постоянные изменения имен, которые Microsoft бросает нам.

Пулатомас сказал:

Насколько я понимаю, если вы поставите его на E3 или ниже, это выбьет конкуренцию. Зачем вам платить за еще один инструмент безопасности, если Microsoft предоставляет вам все необходимое в вашем сабвуфере? Если Microsoft смогла определить причину атаки и жертва атаки не использовала свои инструменты... тогда какие инструменты они использовали, которые не обнаружили атаку?

Нажмите, чтобы развернуть...
На самом деле вы вряд ли ожидаете, что сторонний инструмент сможет обнаружить такую ​​атаку без доступа, который есть у Microsoft. продает журналы: злоумышленник использовал поддельные токены аутентификации для доступа к серверу Microsoft OWA; никакого взаимодействия с клиентом.

Вам не обязательно соглашаться на предложения Microsoft, чтобы пережевывать логи и искать такие вещи, как аномальные токены: если вы платите за доступ к журналам, вы можете подключить чужие инструменты; но если вы не покупаете модный доступ к журналам, вам особо не о чем думать.

Изменить: отчет CISA содержит некоторые дополнительные подробности; администраторы некоторых клиентов Fed наблюдали за событиями MailItemsAccessed и заметили неожиданный идентификатор приложения, который является «расширенной» функцией ведения журнала аудита. Они отмечают, что «CISA и ФБР не знают о других журналах аудита или событиях, которые могли бы обнаружить эту активность».

Я подозреваю, что на многих E5 никто так внимательно не следит за журналами; но если у вас нет этого «расширенного» элемента журнала, он будет фактически бесшумным.

Джодж сказал:

E5 — это «настоящий» сервис MS365, а все остальное — всего лишь разная степень тизера, чтобы вас заинтересовать, ИМХО. Пройдя через танец уже несколько раз, всегда есть что-нибудь заблокирован за E5, который вы хотите. Это, OTOH, особенно вопиюще, поскольку вы платите дополнительно за журналы, созданные службой, за использование которой вы уже платите.

Нажмите, чтобы развернуть...
Возможно.

Продавать службу аутентификации, в которой самые базовые журналы находятся за чертовой платной стеной, по-прежнему глупо. Честно говоря, это (или должно быть) стыдно.

DNick сказал:

Сумасшедший. Они тратят миллионы (миллиарды?) на повышение узнаваемости бренда, а затем меняют название бренда. Это почти как если бы владелец рекламного агентства был в сговоре с кем-то из высшего руководства MS.

Нажмите, чтобы развернуть...
Как будто они не ХОТЯТ, чтобы вы находили в Интернете статьи об уязвимостях системы безопасности...

Кроме того, Gmail имеет функцию безопасности E5 на своем буквально бесплатном уровне (публичный Gmail), а также на всех платных: https://support.google.com/mail/answer/45938?hl=en

У них это было с тех пор, как они обнаружили китайских хакеров в своей сети еще в 2012 году? Microsoft отстает на 10 лет и взимает с клиентов плату за возможность узнать, было ли их взломано. Я каждый день искренне удивляюсь тому, что CISO разрешает продление MS.

ЭТА: Я особенно поражен тем, что федеральные органы не сказали MS прямо, чтобы он добавлял его в каждый слой или фунт песка; очевидно, что это ОГРОМНЫЙ риск для важной инфраструктуры национальной безопасности (например, трубопроводов и больниц)!

Честно говоря, это общая проблема национальной безопасности: все в стране либо используют его, либо взаимодействуют с кем-то, кто это делает. Функции безопасности должны быть базовой функцией, а не дополнением. Эти журналы в любом случае создаются, просто сделайте их доступными.

Они также сообщили об этом в пятницу, что может быть совпадением, а может быть, потому, что новости в пятницу, как правило, забываются к выходным.

SplatMan_DK сказал:
Определенно не хочу здесь защищать Microsoft, но, вообще говоря, не считается ли нулевой день результатом ошибочного кода, который требует исправления?

Ошибка дизайна не является ошибкой. Конечно, это все еще может быть уязвимостью, но любой, кто занимается созданием программного обеспечения, скажет, что между «ошибкой» и «недостатком дизайна» существует довольно большая разница.

Что касается системы безопасности, я бы сказал, что последнее на самом деле хуже.

Нажмите, чтобы развернуть...
Это самое худшее расщепление волос/семантика.

К сожалению, гарантия не распространяется, поскольку это не производственный дефект, а инженерно-математическая ошибка.

Баг, ошибка, глюк, изъян. На самом деле не имеет значения, как вы это называете, если в конечном итоге дверь вашей машины принимает любой ключ.

Мне кажется, это облачная версия Golden Ticket. Приятно видеть, что Microsoft взяла на себя этот вектор атаки. А затем убедился, что это будет работать, не используя HSA.

Я долгое время считал Microsoft и Windows синонимами Z.

Скотл сказал:

Статью даже не читал, потому что... что за ерунда в названии?
«Microsoft прилагает все усилия, чтобы скрыть роль нулевых дней, вызвавших взлом электронной почты»

Нажмите, чтобы развернуть...
Microsoft — крупная технологическая компания. Помимо прочего, они создают продукты для электронной почты.

Стараться – значит прилагать дополнительные усилия.

Скрыть — значит что-то скрыть.

Роль означает их участие.

Нулевой день — это новая или ранее неизвестная уязвимость безопасности.

Вызвать что-то означает, что их действия были ответственны за результат.

Нарушение электронной почты означает, что кто-то получил доступ к серверу, к которому он не должен был обращаться, и раскрыл личную информацию.

Я хотел бы узнать больше о конкретных журналах, которые были платными. Насколько я понимаю, журналы аудита, входа и подготовки можно бесплатно просмотреть на портале Azure. Однако, возможно, это другой набор журналов и, возможно, есть другие улучшения, о которых я не знаю.

Если они говорят, что это не нулевой день… это означает, что они знали об этом до того, как его использовали, верно?

Данация сказал:

Я хотел бы узнать больше о конкретных журналах, которые были платными. Насколько я понимаю, журналы аудита, входа и подготовки можно бесплатно просмотреть на портале Azure. Однако, возможно, это другой набор журналов и, возможно, есть другие улучшения, о которых я не знаю.

Нажмите, чтобы развернуть...

Вот статья Microsoft о том, как использовать событие аудита MailItemsAccessed; часть Аудит Microsoft Purview (Премиум), доступно для учетных записей с E5 или E3 с надстройкой E5 Compliance или E5 Discovery and Audit. Это одно из отличий между Аудит (Стандарт) и Аудит (Премиум). Здесь это таблица, в которой указано, какие значения проверяются, а какие не проверяются по умолчанию; с примечаниями, которые доступны только при наличии лицензии на аудит уровня E5.

Вот Часть CISA описывающее, как несоответствия AppID в событии аудита MailItemsAccessed привели к обнаружению проблемы.

И да, по сути это означает, что определенные события, которые можно предположить при беглом взгляде на журнал аудита, проверяются в вашей среде, потенциально таковыми не являются, если данный почтовый ящик выходит за рамки эквивалента E5, поскольку он является общим, или у вас есть гетерогенное лицензионное соглашение с некоторыми F1/F3/E3 или нравиться. В настройках аудита на уровне клиента по умолчанию будет показано, что событие должно быть включено; но он просто ничего не будет делать для почтовых ящиков, на которые не распространяется лицензия.

Насколько я знаю, вы не можете использовать лицензию на весь клиент или на событие/на ГБ (по крайней мере, если она есть, это необычная возможность поговорить со своим представителем, которая не отображается ни в официальной, ни в неофициальной документации SKU), чтобы полностью включить премиум-версию Ведение журнала; Я предполагаю, что клиенты, имеющие достаточную привлекательность, могут убедить продавцов предоставить им скидку на E5 Discovery and Audit; но это касается каждого пользователя, а не всего арендатора.

Другие новости: гигант программного обеспечения Microsoft решил провести ребрендинг. На пресс-конференции 14 июля председатель и главный исполнительный директор Сатья Наделла представил новое название компании — Feta.

Пол Терротт из Суперсайт для Windows аплодировал «смелому новому названию» и охарактеризовал его как «дальновидное и отличающееся от всего остального в отрасли, но доступное».

Однако не все так положительно относятся к новой идентичности. Интернет-эксперты утверждают, что эта модернизация является попыткой замаскировать традиционную безопасность производителя программного обеспечения в виде «швейцарского сыра», заменив его другим, менее дырявым сыром.

Пока что Фета хранит молчание о том, как компания будет отличаться в будущем. Однако, БлумбергМарк Гурман из журнала сообщает, что «Patch Tuesday» будет переименован в «Opa!»

Новое имя Microsoft — Feta

Лично нам сказали, что это именно то, что «Облако» предотвратит, или, по крайней мере, облако служба обнаружит это, потому что у них может быть гораздо больше ресурсов и лучший персонал, чем у организаций среднего размера. мог. Но это никогда не было правдой – и здесь мы видим именно тот тип атаки, который, как я всегда считал, будет очень ценным. чтобы противостоять крупному облачному сервису, который не обнаружила служба «супербезопасности» облачных сервисов, это сделал клиент!

Я буду продолжать говорить об этом: ФРС и предприятиям необходимо избавиться от своей откровенно устаревшей одержимости Outlook/Exchange и создать некоторую конкуренцию в этой сфере. Очевидно, что GovCloud / сверхбезопасное облако для федеральных агентств... нет - если он принимает потребительские билеты любого типа FFS. И вы знаете, что, если бы это было в премиальной AD в правительстве, оно никогда не взяло бы токен аутентификации от семейной учетной записи на улице. Я не говорю, что это по сути лучше, но, черт возьми, вам нужны отдельные домены аутентификации между каждым арендатором.

Итак, еще одна новость о том, как глобальные противники успешно взламывают американские компании, учреждения и государственные учреждения. Мне любопытно, есть ли в США хакеры в белых шляпах, которые столь же способны и делают то же самое.

Я посмотрел, но на этот раз не увидел этого. Где все люди в комментариях, повторяющие припев: «Вы были бы полным идиотом, если бы у вас был собственный сервер обмена»? Почта 365 была взломана, а мой сервер Exchange — нет. Просто говорю.

Ни 365, ни локальная версия Exchange не являются совершенными, ни при каких обстоятельствах. Но одна из них — гораздо более крупная цель — само определение «охоты на крупную дичь». Я предпочитаю быть маленькой мышкой, чем огромным, медленно передвигающимся слоном. Переход в облако не делает вас каким-то «безопасным».

4XjrPz6t сказал:
Я посмотрел, но на этот раз не увидел этого. Где все люди в комментариях, повторяющие припев: «Вы были бы полным идиотом, если бы у вас был собственный сервер обмена»? Почта 365 была взломана, а мой сервер Exchange — нет. Просто говорю.

Ни 365, ни локальная версия Exchange не являются совершенными, ни при каких обстоятельствах. Но одна из них — гораздо более крупная цель — само определение «охоты на крупную дичь». Я предпочитаю быть маленькой мышкой, чем огромным, медленно передвигающимся слоном. Переход в облако не делает вас каким-то «безопасным».

Нажмите, чтобы развернуть...
Конечно, но угадайте, кто виноват, когда подаются иски? Не вы.

Я не говорю, что это отличная защита или правильный способ действий, но это одно из соображений, которые учитывают компании.

Два слова: Строгая ответственность. В коммерческом программном обеспечении и услугах существует такой дисбаланс между поставщиком и пользователем, что любое предполагаемое «соглашение равных», лежащее в основе договорного права, становится посмешищем. В подобных случаях, когда преднамеренные действия поставщика ограничивают или исключают возможность пользователя проверять качество продукта. товаров и сравнивать то, что доставляется, с тем, что рекламируется, закон должен исключить любые отклонения «как есть» от пригодности для использования по назначению. нарушения.

Microsoft заявляет, что является экспертом, во всяком случае, крупным шрифтом. Пришло время привести их к тем стандартам, которые они хотят, чтобы другие считали, что они изображают.

4XjrPz6t сказал:
Я посмотрел, но на этот раз не увидел этого. Где все люди в комментариях, повторяющие припев: «Вы были бы полным идиотом, если бы у вас был собственный сервер обмена»? Почта 365 была взломана, а мой сервер Exchange — нет. Просто говорю.

Ни 365, ни локальная версия Exchange не являются совершенными, ни при каких обстоятельствах. Но одна из них — гораздо более крупная цель — само определение «охоты на крупную дичь». Я предпочитаю быть маленькой мышкой, чем огромным, медленно передвигающимся слоном. Переход в облако не делает вас каким-то «безопасным».

Нажмите, чтобы развернуть...

У многих компаний нет бюджета на содержание дополнительного сотрудника только для того, чтобы должным образом обеспечить безопасность локальной установки или варианта облачного сервера.

Мы используем почту, размещенную на сервере Microsoft, WordPress, размещенный на WPEngine (для сайта только с маркетинговой информацией), службу поддержки, размещенную на Zendesk, и т. д. потому что это стоит ничтожную часть того, что нанимает ИТ-персонал надежно справиться с нашими собственными будет стоить.

Да, эта статья посвящена тому, что в этом случае не удается защитить размещенную службу, но это случается и с самоуправляемыми серверами. Если ваши серверы подключены к Интернету, они уязвимы для автоматических атак с использованием нулевых дней или если ваш ИТ-специалист заболел и не может вовремя применить исправление.

Подождите, 57 долларов в месяц. на пользователя чтобы увидеть войти в журналы, самый простой способ ведения журнала?

Последнее сообщение в блоге

Новая вечная нить для 3D-печати
October 07, 2023

Да, именно этим процессом я и планирую заняться. Следующее тестирование, надеюсь, состоится на этих выходных, с использованием смолы со слабым запа...

Corsair покупает самодельную механическую клавиатуру бренда Drop
October 07, 2023

Я хочу разобраться в этих вещах, но на самом деле мне хочется большего в духе «естественных» клавиатур.Я бы также ассоциировал Drop ne Massdrop с с...

Обновление моей памяти x570/5900x/16 ГБ 3600 DDR4: просто купить 7800X3D или получить новую комбинацию Intel Mobo + 13900?
October 10, 2023

Привет, Арс!Моя одноядерная производительность больше неудовлетворительна, поэтому я хочу обновить свой процессор и хочу знать, нужно ли мне также ...