周五晚些时候,微软表示,俄罗斯政府支持的黑客利用一个弱口令,成功入侵了微软的企业网络,并访问了高级管理人员以及安全和法律团队员工的一些电子邮件和文件。
这次攻击被微软归咎于一个他们追踪为“午夜雪暴”的克里姆林宫背景黑客组织,至少是过去两年内第二次因基本安全习惯未得到遵守而导致的重大安全事故,可能对客户造成潜在危害。
周五提交给美国证券交易委员会的一份披露文件中,有一段内容令人瞠目结舌:从2023年11月底开始,这个黑客团伙采用了一种密码猜测攻击方式,破解了一个老旧的非生产测试环境账户,从而取得立足点,然后利用该账户权限访问了极小比例的微软公司内部邮箱,包括我们高层领导团队成员以及网络安全、法务和其他部门的部分员工的邮件,并窃取了一些邮件及其附件。
调查表明,他们最初的目标是寻找与“午夜雪暴”自身相关的邮件信息。目前我们正在通知那些邮箱被访问的员工。
直到1月12日,微软才检测到这次入侵,而这恰好是在本周五披露前一周。这意味着俄罗斯黑客可能在长达两个月的时间里持续无阻地访问这些账户。以上93个词的大白话翻译就是:微软网络内某设备仅用了一个很弱的密码保护,且并未启用任何形式的双因素认证。
俄罗斯对手通过尝试使用之前泄露或常用的各种密码,最终猜中了正确的密码。黑客成功登录账户,说明要么没启用2FA,要么这种防护措施被某种方式绕过了。
再来说说这个“老旧的非生产测试环境账户”,它被配置得如此离谱,以至于午夜雪暴团伙能够以此为跳板,进而侵入公司一些最高层且极为敏感的员工账户。
哥伦比亚大学计算机科学教授兼法学兼职教授史蒂夫·贝洛文,在网络安全领域有着数十年的经验,他在Mastodon上写道:这里面有很多令人着迷的暗示。一次成功的密码猜测攻击表明可能没有启用2FA,或者使用了重复或弱口令。
仅仅利用一个“测试环境账户”的权限就能访问到“高层领导、网络安全和法务”团队的电子邮件账户,这说明有人赋予了这个测试账户极其强大的权限。这是为什么呢?测试结束后为何没将这个账户撤销掉呢?另外,我注意到微软花了大约七周时间才发现这次攻击。
尽管微软声称目前尚未发现任何证据表明午夜雪暴成功获取客户环境、生产系统、源代码或AI系统的访问权限,但一些研究人员对此表示怀疑,尤其是关于微软365服务是否可能存在或曾经受到类似攻击技术的威胁。
其中一位研究人员是凯文·博蒙特,他拥有长期的网络安全职业生涯,曾任职于微软。他在LinkedIn上写道:微软员工使用的就是微软365邮件服务。周五晚上发个SEC报告和博客含糊其辞当然很酷炫...但是紧随其后的必须是实实在在的详细信息。
那个时代已经过去了——微软搞帐篷会议、内部代号、让CELA团队起草披露文件、假装MSTIC能洞悉一切(黑客也用Mac电脑哦)的做法已不再适用——他们需要进行彻底的技术和文化变革,才能保持用户的信任。
这里的CELA是Corporate, External, and Legal Affairs(企业外部与法律事务部)的缩写,它是微软内部负责起草披露文件的一个团队。而MSTIC则是Microsoft Threat Intelligence Center(微软威胁情报中心)的简称。
微软一位代表表示,公司拒绝回答相关问题,包括是否遵循了基本安全操作规程。这次入侵让人想起去年的一次事件,当时被追踪为“风暴-0558”的中国国家背景黑客侵入了微软的网络。
接下来的一个月里,该团伙访问了多个客户的Azure和Exchange账户,其中一些客户属于美国国务院和商务部。
不甘示弱的是,谷歌旗下的网络安全公司Mandiant最近也被黑了,其在推特(现更名为X)上的账号遭到入侵。后来Mandiant称这次攻击是由于对账号密码进行“暴力破解”所致,但并未详细说明。这意味着该账户的密码同样很弱,并且也没有启用2FA保护。
这一系列事件促使微软加速推进去年首次公布的“安全未来计划”。微软官员在周五的披露文件中写道:“我们正在调整必须在安全与商业风险之间找到的平衡点——传统的权衡方式已经远远不够用了。
对于微软而言,这次事件突显出加快行动的紧迫性。我们将立即采取行动,将当前的安全标准应用到微软拥有的老旧系统以及内部业务流程上,即使这些改变可能会对现有业务流程造成一定干扰。”