Microsoft heeft de gratis logmogelijkheden uitgebreid naar alle Amerikaanse federale instanties die Microsoft Purview Audit gebruiken, ongeacht het licentieniveau, meer dan zes maanden nadat een aan China gelinkte cyberspionagecampagne tegen twintig organisaties aan het licht kwam.
“Microsoft zal de logbestanden in klantaccounts automatisch inschakelen en de standaard bewaartermijn voor logbestanden verlengen van 90 dagen naar 180 dagen”, aldus de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA).
“Ook zullen deze gegevens nieuwe telemetrie bieden om meer federale instanties te helpen voldoen aan de logboekvereisten die zijn opgelegd door [Office of Management and Budget] Memorandum M-21-31.”
Microsoft maakte in juli 2023 bekend dat een in China gevestigde natiestaatactiviteitengroep, bekend als Storm-0558, ongeautoriseerde toegang kreeg tot ongeveer 25 entiteiten in de VS en Europa, evenals tot een klein aantal gerelateerde individuele consumentenaccounts.
“Storm-0558 werkt met een hoge mate van technisch vakmanschap en operationele veiligheid”, aldus het bedrijf. “De actoren zijn zich scherp bewust van de omgeving van het doelwit, het logbeleid, de authenticatievereisten, het beleid en de procedures.”
De campagne zou in mei 2023 zijn begonnen, maar werd pas een maand later ontdekt nadat een Amerikaans federaal agentschap, waarvan later bleek dat het het ministerie van Buitenlandse Zaken was, verdachte activiteit ontdekte in niet-geclassificeerde Microsoft 365-auditlogboeken en dit aan Microsoft rapporteerde.
De inbreuk werd ontdekt door gebruik te maken van verbeterde logboekregistratie in Microsoft Purview Audit, met name door gebruik te maken van de mailboxcontrole-actie MailItemsAccessed die doorgaans beschikbaar is voor Premium-abonnees.
De Windows-maker erkende vervolgens dat een validatiefout in de broncode ervoor zorgde dat Azure Active Directory-tokens (Azure AD) door Storm-0558 konden worden vervalst met behulp van een Microsoft-account (MSA)-consumentenondertekeningssleutel, en deze vervolgens konden gebruiken om de mailboxen binnen te dringen.
Naar schatting hebben de aanvallers minstens 60.000 niet-geclassificeerde e-mails gestolen van Outlook-accounts van functionarissen van het ministerie van Buitenlandse Zaken die in Oost-Aziƫ, de Stille Oceaan en Europa zijn gestationeerd, meldde Reuters in september 2023. Peking heeft de beschuldigingen ontkend.
Het kreeg ook te maken met intensieve kritiek vanwege het achterhouden van elementaire, maar cruciale logmogelijkheden aan entiteiten die het duurdere E5- of G5-abonnement volgen, wat het bedrijf ertoe aanzette wijzigingen aan te brengen.
“We erkennen het cruciale belang dat geavanceerde houtkap speelt bij het mogelijk maken van federale instanties om zelfs de meest geavanceerde cyberaanvallen van goed uitgeruste, door de staat gesponsorde actoren te detecteren, erop te reageren en te voorkomen”, aldus Candice Ling van Microsoft. “Om deze reden werken we samen met de hele federale overheid om toegang te bieden tot geavanceerde auditlogboeken.”
