Microsoft a étendu ses capacités de journalisation gratuite à toutes les agences fédérales américaines en utilisant Microsoft Purview Audit, quel que soit le niveau de licence, plus de six mois après la révélation d’une campagne de cyberespionnage liée à la Chine ciblant deux douzaines d’organisations.
« Microsoft activera automatiquement les journaux dans les comptes clients et augmentera la période de conservation par défaut des journaux de 90 jours à 180 jours », a déclaré l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). dit.
« En outre, ces données fourniront une nouvelle télémétrie pour aider davantage d’agences fédérales à répondre aux exigences de journalisation imposées par [Office of Management and Budget] Mémorandum M-21-31« .
Microsoft, en juillet 2023, a révélé qu’un groupe d’activités d’État-nation basé en Chine, connu sous le nom de Storm-0558, avait obtenu un accès non autorisé à environ 25 entités aux États-Unis et en Europe, ainsi qu’à un petit nombre de comptes de consommateurs individuels associés.
« Storm-0558 fonctionne avec un haut degré de savoir-faire technique et de sécurité opérationnelle », a noté la société. « Les acteurs sont parfaitement conscients de l’environnement de la cible, des politiques de journalisation, des exigences d’authentification, des politiques et des procédures. »
La campagne aurait débuté en mai 2023, mais n’a été détectée qu’un mois plus tard après qu’une agence fédérale américaine, révélée plus tard être le Département d’État, ait découvert une activité suspecte dans des journaux d’audit non classifiés de Microsoft 365 et l’ait signalée à Microsoft.
La violation a été détectée en tirant parti de la journalisation améliorée dans Microsoft Purview Audit, en utilisant spécifiquement le Action d’audit de boîte aux lettres MailItemsAccessed qui est généralement disponible pour les abonnés Premium.
Le fabricant de Windows a par la suite reconnu qu’une erreur de validation dans son code source permettait à Storm-0558 de falsifier des jetons Azure Active Directory (Azure AD) à l’aide d’une clé de signature de consommateur de compte Microsoft (MSA), puis de les utiliser pour pénétrer dans les boîtes aux lettres.
On estime que les attaquants ont volé au moins 60 000 e-mails non classifiés provenant de comptes Outlook appartenant à des responsables du Département d’État en poste en Asie de l’Est, dans le Pacifique et en Europe, selon Reuters. signalé en septembre 2023. Pékin a nié ces allégations.
Il a également fait l’objet d’un examen minutieux pour avoir refusé des capacités de journalisation de base, mais cruciales, aux entités bénéficiant du plan E5 ou G5, plus coûteux, ce qui a incité l’entreprise à apporter des modifications.
« Nous reconnaissons l’importance vitale que joue la journalisation avancée pour permettre aux agences fédérales de détecter, de répondre et de prévenir même les cyberattaques les plus sophistiquées émanant d’acteurs bien financés et parrainés par l’État », a déclaré Candice Ling de Microsoft. « Pour cette raison, nous collaborons à travers le gouvernement fédéral pour fournir un accès aux journaux d’audit avancés. »