23/02/2567

Microsoft เพิ่มความสามารถในการบันทึกข้อมูลฟรี หลังจากถูกโจมตีในเดือนพฤษภาคม


        Microsoft ได้ขยายพื้นที่ในการบันทึกข้อมูลฟรีให้กับผู้ใช้งานทั่วไปของ Microsoft Purview Audit ทั้งหมดรวมถึงหน่วยงานของรัฐบาลของสหรัฐอเมริกา และหกเดือนต่อมา Microsoft เปิดเผยว่าถูกผู้ไม่ประสงค์ดีชาวจีนได้โจรกรรมข้อมูลอีเมลของรัฐบาลสหรัฐฯ จากในช่องโหว่ของ Exchange Online ที่ยังไม่ถูกค้นพบ ตั้งแต่เดือนพฤษภาคมถึงมิถุนายน 2023

        นับตั้งแต่การเปิดเผยเหตุการณ์โจรกรรมข้อมูล Microsoft ได้ทํางานร่วมกับ CISA, OMB และ ONCD เพื่อตรวจสอบให้มั่นใจว่าหน่วยงานของรัฐบาลสามารถเข้าถึงข้อมูลบันทึกที่จําเป็นทั้งหมดได้ และทำการตรวจจับการโจรกรรมจากผู้ไม่ประสงค์ดีในอนาคต

        Microsoft ได้ประกาศ ขยายความจุให้กับทุกหน่วยงาน องค์กรและผู้ใช้งานทุกสิทธิ์ที่ใช้  Microsoft Purview Audit และให้ทำการบันทึกข้อมูลอัตโนมัติ เพิ่มระยะเวลาเก็บข้อมูลจาก 90 วันเป็น 180 วันนอกจากนี้ยังกำหนดการบันทึกข้อมูลที่ได้รับจากหน่วยงานรัฐบาล ตามข้อกำหนด OMB Memorandum M-21-31

        การเปลี่ยนแปลงครั้งนี้เพื่อให้สอดคล้องกับแนวทางการออกแบบความปลอดภัยของ  CISA  ซึ่งระบุว่าผู้ให้บริการด้านเทคโนโลยีทั้งหมดควรจัดการกับข้อมูลที่บันทึกให้มีความปลอดภัยสูง  โดยเสียค่าใช้จ่ายเพิ่มเติม     
 
        ในเดือนกรกฎาคม ไมโครซอฟท์เปิดเผยว่ากลุ่มผู้ไม่ประสงค์ดีจากประเทศจีนที่รู้จักในชื่อว่า Storm-0558 ได้โจรกรรมข้อมูล Outlook จากบัญชี Exchange Online จาก 25 องค์กร รวมถึงหน่วยงานรัฐบาลในสหรัฐอเมริกาและประเทศในแถบยุโรป

        ภายหลังก็รู้ว่า ผู้โจมตีใช้ Microsoft account (MSA) consumer key ที่ถูกขโมยจาก Windows crash dump เพื่อปลอมตัวเป็น token ในการตรวจสอบและเข้าถึงบัญชีอีเมลเป้าหมายผ่าน Outlook Web Access ใน Exchange Online (OWA) และ Outlook.com

        ผู้ไม่ประสงค์ดีส่วนใหญ่สามารถหลีกเลี่ยงการตรวจจับได้   แต่หน่วยงานของรัฐบาลสหรัฐฯที่ได้รับผลกระทบบางแห่งประสบความ  สําเร็จในการค้นพบการเขาถึงระบบที่เป็นอันตรายโดยเฉพาะอย่างยิ่งการเข้าถึงอีเมล   

        อย่างไรก็ตาม  ความสามารถในการบันทึกข้อมูลที่ได้รับการปรับปรุงนี้สามารถใช้งานได้เฉพาะลูกค้าที่มีสิทธิ์การใช้งานการบันทึกข้อมูลบน   Purview Audit (Premium)  ของ  Microsoft  เท่านั้ข้อจำกัดนี้ทำให้เกิดการวิพากษ์วิจารณ์ต่อ  Microsoft  ว่าอาจเป็นการขัดขวางต่อความสามารถ การตรวจจับและตอบสนองต่อการโจมตีของ Storm-0558 ในองค์กรได้ทันที

        หลังจากการเปิดเผยเหตุการณ์  CISA  ได้สร้างแรงกดดันให้ Microsoft ตกลงที่จะเปิดให้บันทึกข้อมูลได้ฟรี เพื่อให้ผู้ดูแลระบบเครือข่ายสามารถเฝ้าระวังการบุกรุกที่คล้ายกันได้ในอนาคต

        ไม่กี่เดือนหลังจากเหตุการณ์เจ้าหน้าที่ของกระทรวงการต่างประเทศสหรัฐฯ  เปิดเผยว่าผู้ไม่ประสงค์ดีชาวจีน   Storm-0558  ได้โจรกรรมข้อมูลอีเมลอย่างน้อย 60,000 ฉบับ  จากบัญชี  Outlook  ของเจ้าหน้าที่ของกระทรวงการต่างประเทศหลังจากโจมตีแพลตฟอร์มอีเมลออนไลน์ที่ใช้ระบบคลาวด์ของ Microsoft

 

Ref : bleepingcomputer


ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)