Bir insan hakları kuruluşu, Microsoft tarafından, Temmuz ayında Storm-0558’e atfedilen bir e-posta ihlalinin bir parçası olarak ele geçirildiği konusunda uyarıldı, ancak kuruluş, günlüklerinde herhangi bir uzlaşma kanıtı bulamadı. Neden? Microsoft’a E5 düzeyinde bir lisans için prim ödemedi.
Volexity ile birlikte Steven Adair’in anlatmak için Twitter’a götürdüğü hikaye buydu. günlüğe erişim eksikliği E3 lisanslarına sahip olmayan Microsoft müşterilerinin büyük çoğunluğu için.
Adair, “Bu olay bizim için gerçekten kafa karıştırıcıydı” diye yazdı. “Microsoft 365 ve Azure AD’deki olayları ve şüpheli etkinlikleri araştırmak (Volexity’de) sık sık yaptığımız bir şeydir. Ancak, Microsoft’tan yetkisiz erişimle ilgili bir bildirime rağmen, herhangi bir doğrulayıcı kanıt bulamadık.”
Sorun? Volexity ekibinin, insan hakları örgütünün E3 lisansı ile kayıt kanıtlarına erişimi yoktu.
“Saldırganın e-postalara eriştiği ortaya çıktı ve bu etkinlik düzeyi ‘MailItemsAccessed’ işleminde günlüğe kaydedildi. Ancak, genel olarak konuşursak, bu günlük işlemi E3 lisansları için mevcut değildir ve gerekli ek günlük kaydı yalnızca daha pahalı E5/G5 planları.”
Adair, CISA’nın 12 Temmuz’da APT düzeyinde etkinliği tespit etmeye yönelik kılavuzunda da kanıtlandığı gibi, tehdit ortamı göz önüne alındığında e-posta günlüğü tutmanın tablo payları olması gerektiğini belirtti. premium E5 düzeyinde günlük kaydını etkinleştirir. Yine de, Microsoft’a göre, bir Office 365 E3 lisansı Adair’in işaret ettiği gibi, kullanıcı başına aylık 23 ABD Doları, E5 ise kullanıcı başına aylık 38 ABD Doları tutarındadır ve bunun birçok kuruluş için engelleyici olduğunu belirtmiştir.
Microsoft, Dark Reading’in yorum talebine hemen yanıt vermedi.
Microsoft’un Devam Eden “Kayıt Vergisi”
son zamanlarda Storm-0558 ihlali siber güvenlik uzmanı Jake Williams’a göre, E5 lisansına sahip olan siber güvenlik “sahipleri” ile hedeflenen insan hakları grubu gibi “sahip olmayanlar” arasındaki veri tutarsızlıklarını vurguluyor. Ancak Microsoft, 25 ABD federal devlet kurumunu da etkileyen bu son kampanyanın ardından yakında bu konuda bir şeyler yapma konusunda baskı hissedebilir.
Williams, Dark Reading’e “Yalnızca bir E5 lisansı (veya E3 ile birlikte Güvenlik ve Uyum eklenti lisansı) ile sunulan gelişmiş günlük kaydı, olay müdahale görevlileri ve ihlal koçları için yıllardır bir diken olmuştur” diye açıklıyor. “Bir BEC (iş e-postası uzlaşması) ile vurulan kuruluşlar, tehdit aktörünün hangi mesajları görüntülediğini ancak gelişmiş günlük kaydı olmadan göremediğini görmeyi bekler.”
Bazı durumlarda, hesap bazında nelerin mevcut olduğu konusunda da tutarsızlıklar olabileceğini ekliyor: “Bir kuruluşun bazı hesaplarında yalnızca E5 lisanslaması olabilir, bu da hesap başına hangi etkinlikleri görebilecekleri konusunda tutarlılık olmamasına yol açar. esas.”
Williams, premium günlüklerin tek başına Storm-0558’in kötü amaçlı etkinliğini kesin olarak tespit edemeyeceğini vurguluyor. Bununla birlikte, Volexity’den Adair, “tüm bu operasyonun bir FCEB Ajansı tarafından ortaya çıkarıldığını” açıkladı. [due to] MailItemsAccessed günlük işlemleriyle ilgili anormal etkinlik” ve bu nedenle Williams, Microsoft’un ileriye dönük günlük ek ücreti üzerinde inceleme yapmaktan kaçınabileceğini beklemiyor.
Williams, “Özellikle e-posta gibi çok temel bir şey için bir günlük kaydı vergisi olmamalı” diye ekliyor. “Microsoft yöneticilerinin bu konuda henüz planlanmamış Kongre oturumlarında gerçekten rahatsız edici bazı soruları yanıtlayacağından şüpheleniyorum.”