Microsoft avslørte i forrige uke at de hadde oppdaget et russisk dataangrep på selskapets systemer i januar 2024. Angrepet ble trolig utført i november 2023 av de samme hackerne som sto bak SolarWinds-angrepet. Den russiske hackergruppen heter Nobelium, men Microsoft kaller dem for «Midnight Blizzard». Hackergruppen fikk tilgang til M365-kontoer som tilhørte noen i toppledelsen hos Microsoft.
"Den russiske hackergruppen brukte et begrenset antall kontoer i passordspray-angrepet for å unngå å bli oppdaget," sier Microsoft. I denne typen angrep prøver hackere å logge seg inn med en rekke "potensielle" passord. Sannsynligvis har de fleste hos Microsoft flerfaktorautentisering (MFA) aktivert, men angriperne lyktes med å få tilgang via en "legacy non-production test tenant". Tilgangen til denne ubrukte tenanten var nok til å få tilgang til noen veldig viktige epostkontoer blant Microsoft ledelse.
Det er en ting å nevne alle grepene du må ta for å hindre sikkerhetsbrudd - det er noe helt annet å få kontroll over alt som skjer i Microsoft 365. ViroSafe anbefaler alle IT-bedrifter som håndterer flere Microsoft-tenants å ta i bruk Augmentt.
Augmentt er en tjeneste designet spesielt for MSSPs (Managed Security Service Providers). Løsningen hjelper MSSPs med sentralisering av oppgaver og sikkerhet i Microsoft 365.
Det oppsiktsvekkende med dette Microsoft-angrepet er at testkontoen som ble hacket, ikke hadde tofaktorautentisering (MFA) aktivert. Hvis Augmentt Microsoft 365-verktøyet hadde vært brukt, så ville dette angrepet etter all sannsynlighet vært forhindret - ennå det skjedde via en ubrukt tenant.