Recentemente, a Microsoft enfrentou mais um desafio de segurança cibernética ao revelar um ataque sofisticado realizado por hackers patrocinados pelo Estado russo, conhecidos como Midnight Blizzard ou Nobelium. Este ataque comprometeu os sistemas corporativos da Microsoft, resultando no acesso não autorizado às contas de e-mail de alguns de seus principais executivos.
No final de novembro de 2023, os hackers russos iniciaram um ataque utilizando a técnica de “spray de senha”, uma forma de ataque de força bruta. Eles adaptaram seus métodos para um número limitado de contas, utilizando poucas tentativas para evitar detecção. A vulnerabilidade crucial foi encontrada em uma conta de inquilino de teste sem autenticação de dois fatores ativada.
A Microsoft identificou o grupo como o mesmo responsável pelo ataque à SolarWinds há três anos, destacando a sofisticação desses hackers. Além disso, a empresa alertou que outras organizações podem estar na mira desse grupo, indicando a amplitude das atividades maliciosas.
A brecha utilizada pelos hackers
A falta de autenticação de dois fatores na conta de teste permitiu que os hackers avançassem em seu ataque. Eles exploraram o acesso inicial para comprometer um aplicativo OAuth de teste herdado, o qual tinha privilégios elevados no ambiente corporativo da Microsoft. OAuth é um padrão amplamente utilizado para autenticação baseada em token, e sua exploração permitiu aos hackers criar aplicativos maliciosos adicionais.
O acesso elevado obtido pelos hackers possibilitou a criação de novas contas e a eventual invasão do serviço Office 365 Exchange Online, que fornece acesso às caixas de entrada de e-mail da Microsoft. A Microsoft confirmou que a invasão afetou uma pequena porcentagem de contas corporativas, incluindo membros de liderança sênior e profissionais de segurança cibernética, jurídica e outras áreas.
Extensão do ataque e descoberta tardia
Embora a Microsoft não tenha divulgado o número exato de contas afetadas, o ataque perdurou por quase dois meses antes de ser descoberto em 12 de janeiro de 2024. Essa descoberta levanta questionamentos sobre a eficácia dos mecanismos de detecção da Microsoft e destaca a persistência e engenhosidade dos hackers russos.
Outras organizações, como a Hewlett Packard Enterprise (HPE), também revelaram terem sido alvo do Midnight Blizzard, evidenciando a extensão dessa campanha maliciosa.
O ataque à Microsoft ocorreu após o anúncio de revisão de segurança da empresa, relata o The Verge, mostrando a urgência de medidas mais robustas. A revelação da falta de autenticação de dois fatores em uma conta de teste crucial levanta preocupações sobre a configuração segura dos ambientes de teste não produtivos.
A Microsoft, em sua defesa, afirmou que se a mesma configuração de teste fosse implementada hoje, medidas como autenticação de dois fatores e proteções ativas seriam aplicadas. A empresa prometeu uma revisão completa de seus processos de segurança para melhor proteção contra ameaças futuras.
Em resposta ao ataque, a Microsoft forneceu métodos abrangentes de detecção e prevenção para ajudar organizações a identificar atividades maliciosas do Midnight Blizzard. Recomendações incluem foco em alertas de identidade, XDR e SIEM, com ênfase em cenários suspeitos, como atividades elevadas em aplicativos em nuvem, chamadas de API pós-credenciais e uso da API dos Serviços Web do Exchange.
