Microsoft reagiert auf chinesischen Hacking-Angriff und erweitert die Purview-Audit-Protokolle
Microsoft erweitert die Aufbewahrungsdauer der Purview-Audit-Protokolle, um auf den Angriff der chinesischen Hacking-Gruppe Storm-0558 im Juli zu reagieren. Diese Gruppe hatte dutzende Exchange- und Microsoft 365-Konten von Unternehmen und Regierungsbehörden gehackt, darunter das US-Außen- und Handelsministerium. Die Auswirkungen waren enorm, da die Angreifer mindestens 60.000 E-Mails aus Outlook-Konten gestohlen haben.
Wie haben die Angreifer das geschafft? Nun, sie haben einen Verbraucher-Signaturschlüssel verwendet, der aus einem Windows-Crash-Dump stammte. Diesen hatten sie durch die Kompromittierung eines Firmenkontos eines Microsoft-Ingenieurs erhalten. Mit diesem Schlüssel hatten sie Zugriff auf Exchange Online- und Azure Active Directory-Konten, was ihnen den Zugang zu Regierungskonten ermöglichte.
Um solche Vorfälle in Zukunft zu verhindern, hat Microsoft nun Änderungen an der Aufbewahrungsdauer der Audit-Protokolle angekündigt. Diese Änderungen werden in den kommenden Wochen für Kunden mit Standardlizenzen eingeführt. Für Unternehmenskunden beginnen die Änderungen bereits diesen Monat, für Regierungskunden im November. Ab Oktober 2023 wird die Standard-Aufbewahrung von Audit-Protokollen für Kunden mit Standardlizenzen von 90 auf 180 Tage verlängert.
Kunden mit Premiumlizenzen haben weiterhin standardmäßig ein Jahr Aufbewahrungsdauer und haben die Möglichkeit, diese auf bis zu zehn Jahre zu verlängern. Dieses Update soll Organisationen helfen, das Risiko zu minimieren, indem der Zugriff auf historische Aktivitätsdaten von Audit-Protokollen erhöht wird. Diese Daten sind bei der Untersuchung von Sicherheitsverstößen oder der Bewältigung von Rechtsstreitigkeiten von entscheidender Bedeutung.
Darüber hinaus hat Microsoft auf Druck der Cybersecurity and Infrastructure Security Agency (CISA) zugestimmt, den Zugang zu Cloud-Protokolldaten kostenlos zu erweitern. Dadurch können Netzwerkverteidiger ähnliche Angriffsversuche in Zukunft besser erkennen. Zuvor waren solche Protokollierungsfunktionen nur Kunden mit kostenpflichtigen Premiumlizenzen zugänglich. Microsoft wurde dafür kritisiert, die Fähigkeiten von Organisationen zur Erkennung von Storm-0558-Angriffen zu behindern.
Ab Dezember 2023 werden auch Kunden mit Standardlizenzen auf zusätzliche Protokolle für E-Mail-Zugriff und andere Ereignisse in Yammer/Viva Engage, Teams, Exchange und Sharepoint zugreifen können. Bisher standen diese Protokolle nur Kunden mit Premiumlizenzen zur Verfügung. Die zusätzlichen Protokolldaten werden schrittweise eingeführt, wobei die letzte Phase im September 2024 erreicht wird. Dann werden auch Cloud-Sicherheitsaktivitätsprotokolle für Microsoft Exchange und SharePoint erweitert und weitere Ereignisse hinzugefügt.
Microsoft hat eng mit der CISA zusammengearbeitet, um diese wichtigen Protokolle zu identifizieren und in die Microsoft Purview Audit (Standard)-Lizenz aufzunehmen. Kunden mit Premiumlizenzen erhalten weiterhin eine längere Aufbewahrungsdauer, erweiterten Zugriff auf Exportdaten, höheren Bandbreiten-API-Zugriff und Protokolle, die durch KI-gesteuerte intelligente Erkenntnisse von Microsoft angereichert sind.
Mit diesen Maßnahmen hofft Microsoft, die Sicherheit seiner Kunden zu verbessern und das Risiko von Angriffen zu minimieren. Es ist ein wichtiger Schritt, um auf die Bedrohungen der heutigen digitalen Welt zu reagieren und gleichzeitig den Schutz und die Privatsphäre der Benutzer zu gewährleisten.
Schlagwörter: PurviewAuditProtokolle + Storm0558 + Microsoft 365Konten
Wie bewerten Sie den Schreibstil des Artikels?