ถือเป็นประเด็นที่น่าสนใจของการโจมตีที่เกิดขึ้นกับไมโครซอฟท์ โดยกลุ่มแฮกเกอร์ Storm-0558 ที่มาจากประเทศจีนได้ทำการขโมยข้อมูลจากฝ่ายบริหารฝั่งพลเรือนของรัฐบาลสหรัฐฯโดยการโจมตีนี้ทำให้คนร้ายสามารถขโมยกุญแจเซ็นโทเค็น Azure AD ของไมโครซอฟท์ออกไป ทำให้พวกเขาสามารถใช้เซ็นโทเค็นปลอมตัวเป็นบัญชีผู้ใช้อะไรก็ได้ของเหยื่อ อย่างน่าเชื่อถือคือการพบล็อกใน Microsoft 365 ที่รายงาน MailItemsAccessed ที่มีค่า AppID ที่ไม่เคยพบ ซึ่งแสดงให้เห็นว่ามีคนใช้อีเมลไคลเอนต์ประหลาดเข้ามาอ่านเมลของระบบ
ไมโครซอฟท์ตอบสนองด้วยการยืนยันว่า Storm-0558 ได้ขโมยกุญแจเซ็นโทเค็น Microsoft Account ออกไป และอย่างน่าเชื่อถือคือไมโครซอฟท์ได้ดำเนินการยกเลิกกุญแจที่ถูกขโมยออกไปแล้ว และเปลี่ยนกุญแจทั้งหมดที่ใช้งานอยู่ รวมถึงแยกระบบเก็บกุญแจและกระบวนการออกกุญแจเพื่อเพิ่มความปลอดภัยให้กับระบบอีเมลและผู้ใช้งานในองค์กร
ทาง CISA แนะนำให้หน่วยงานต่าง ๆ เปิดใช้ Purview Audit สำหรับเก็บข้อมูลเพิ่มเติม (ต้องใช้ไลเซนส์ E5) และเปิดให้หน่วยงานความปลอดภัยไซเบอร์เข้าค้นหา log ผ่านทางศูนย์ SOC และเปิดใช้ Microsoft 365 Unified Audit Logging (UAL) ไว้เสมอ เพื่อเพิ่มความเข้าใจและติดตามการเกิดเหตุการณ์ที่อาจเกิดขึ้นในอนาคต และเพื่อเสริมสร้างความปลอดภัยให้กับระบบในองค์กร
ขอบคุณแหล่งที่มา : microsoft , cisa
สามารถติดตามข่าวสารหรือสาระความรู้แวดวง IT ได้ที่ Avery it tech “เพราะเรื่อง IT อยู่รอบ ๆ ตัวคุณ”