A inicios de este año nos enteramos de que una de las empresas más grandes en tecnología había sido hackeada por el grupo ruso Midnight Blizzard, y a pesar de que creíamos que nada extraño había sucedido con este error de Microsoft (además de obtener los correos de altos mandos del gobierno), a inicios de abril el CISA ha pedido hacer una nueva revisión de los inicios de sesión y demás acciones sobre estas cuentas que puedan considerarse un riesgo.
Los requerimientos del CISA
La Agencia de Seguridad de Infraestructura y Ciberseguridad asegura en el reporte que Midnight Blizzard ha ido aumentando sus esfuerzos con los datos que recolectaron en el primer ataque y extraen información de los correos electrónicos para intentar obtener acceso adicional a los clientes de Microsoft en Estados Unidos.
Por esto pide a las agencias afectadas que el contenido de los correos sea analizado en detalle, además de reestablecer las credenciales y garantizar el uso seguro de herramientas de autenticación para cuentas privilegiadas de Microsoft Azure.
Las acciones tras el error de Microsoft
La responsabilidad en este punto no recae solo en los afectados. Microsoft se ha comprometido a proporcionar los metadatos de toda la correspondencia filtrada de las agencias federales implicadas. Así mismo, estas agencias pueden hacer un análisis del contenido sospechoso o con detalles específicos.
Con esto en cuenta, estas son las acciones que se deben tomar:
-
Usar tokens, contraseñas, claves API y demás credenciales de autenticación.
-
Reestablecer credenciales en aplicaciones asociadas y desactivar aquellas que no sean de utilidad.
-
Para las cuentas con actividad sospechosa, se debe revisar los inicios de sesión, emisión de tokens y otros registros de actividad del usuario y servicios.
-
Para las cuentas ya identificadas como afectadas, es necesario revisar el contenido de los correos electrónicos y su impacto en la ciberseguridad antes del 30 de abril.
Existen varios casos, pero podemos protegernos
Este no es el primer error de Microsoft del que tenemos conocimiento. Algunos de los fallos más importantes de este gigante tecnológico se relacionan con violaciones de seguridad para la extracción de datos gubernamentales; The Washington Post nos habla del caso de hackers chinos que lograron infiltrarse en las herramientas en la nube de Microsoft y robar correos del Departamento de Estado y del Departamento de Comercio de los Estados Unidos.
Esto ha desembocado en que la Junta de la Revisión de Seguridad Cibernética le pida a Microsoft analizar su cultura tras estos fallos evitables.
Nosotros sabemos que una auditoria constante y una adecuada gestión de logs es indispensable para saber quienes ingresan y en qué momento a la organización.
Si quiere conocer más sobre una herramienta experta, Log360 es la solución SIEM perfecta. Recuerde que puede descargarla gratis y probarla por 30 días en nuestra página web.
Ahora le preguntamos, ¿Cómo cree que estos errores de Microsoft pudieron evitarse? Cuéntenos en los comentarios.