Microsoft mengungkapkan minggu lalu bahwa mereka telah menemukan serangan negara terhadap sistem perusahaan mereka dari para peretas yang didukung oleh negara Rusia yang juga bertanggung jawab atas serangan SolarWinds. Para peretas berhasil mengakses akun email beberapa anggota tim kepemimpinan senior Microsoft, yang berpotensi memata-matai mereka selama beberapa minggu atau bulan.
Meskipun Microsoft tidak memberikan banyak detail tentang bagaimana para peretas mendapatkan akses dalam pengungkapan SEC awal mereka pada Jumat malam, perusahaan perangkat lunak ini sekarang telah menerbitkan analisis awal tentang bagaimana para peretas berhasil melewati keamanannya. Microsoft juga memperingatkan bahwa kelompok peretas yang sama, yang dikenal sebagai Nobelium atau dengan sebutan cuaca “Midnight Blizzard” yang disebut oleh Microsoft, telah menargetkan organisasi lain.
Nobelium awalnya mengakses sistem Microsoft melalui serangan password spray. Jenis serangan ini adalah serangan brute force yang melibatkan peretas menggunakan kamus kata sandi potensial terhadap akun. Penting untuk dicatat bahwa akun penyewa uji non-produksi yang diretas tidak memiliki otentikasi dua faktor. Nobelium “menyesuaikan serangan password spray mereka untuk sejumlah terbatas akun, menggunakan jumlah percobaan yang rendah untuk menghindari deteksi,” kata Microsoft.
Dari serangan ini, kelompok ini “menggunakan akses awal mereka untuk mengidentifikasi dan mengompromikan aplikasi OAuth uji coba warisan yang memiliki akses tinggi ke lingkungan perusahaan Microsoft.” OAuth adalah standar terbuka yang banyak digunakan untuk otentikasi berbasis token. Ini umum digunakan di web untuk memungkinkan Anda masuk ke aplikasi dan layanan tanpa harus memberikan kata sandi Anda kepada situs web. Bayangkan situs web yang Anda masuki dengan akun Gmail Anda, itulah OAuth dalam aksi.
Akses yang ditingkatkan ini memungkinkan kelompok ini untuk membuat aplikasi OAuth yang lebih berbahaya dan membuat akun untuk mengakses lingkungan perusahaan Microsoft dan akhirnya layanan Office 365 Exchange Online yang memberikan akses ke kotak surat email.
“Midnight Blizzard memanfaatkan aplikasi OAuth yang berbahaya ini untuk mengautentikasi pada Microsoft Exchange Online dan menargetkan akun email perusahaan Microsoft,” jelas tim keamanan Microsoft.
Microsoft belum mengungkap berapa banyak akun email perusahaan mereka yang ditargetkan dan diakses, tetapi perusahaan sebelumnya menggambarkannya sebagai “sejumlah kecil akun email perusahaan Microsoft, termasuk anggota tim kepemimpinan senior kami dan karyawan di bidang keamanan siber, hukum, dan fungsi lainnya.”
Microsoft juga belum mengungkap jangka waktu yang tepat tentang berapa lama peretas memata-matai tim kepemimpinan senior dan karyawan lainnya. Serangan awal terjadi pada akhir November 2023, tetapi Microsoft baru menemukannya pada tanggal 12 Januari. Ini berarti para peretas mungkin memata-matai eksekutif Microsoft selama hampir dua bulan.
Hewlett Packard Enterprise (HPE) mengungkapkan awal minggu ini bahwa kelompok peretas yang sama sebelumnya telah mengakses “lingkungan email berbasis cloud” mereka. HPE tidak menyebutkan penyedia layanan tersebut, tetapi perusahaan tersebut mengungkapkan bahwa insiden tersebut “mungkin terkait” dengan “pengeluaran sejumlah terbatas file SharePoint [Microsoft] sejak Mei 2023.”
Serangan terhadap Microsoft terjadi hanya beberapa hari setelah perusahaan tersebut mengumumkan rencananya untuk memperbaiki keamanan perangkat lunaknya menyusul serangan besar-besaran terhadap Azure cloud. Ini adalah insiden keamanan siber terbaru yang menimpa Microsoft, setelah 30.000 server email organisasi diretas pada tahun 2021 karena kekurangan pada server Exchange Server Microsoft, dan peretas Tiongkok meretas email pemerintah AS melalui eksploitasi awan Microsoft tahun lalu. Microsoft juga menjadi pusat serangan SolarWinds yang besar hampir tiga tahun yang lalu, yang dilakukan oleh kelompok Nobelium yang sama di balik serangan email eksekutif memalukan ini.
Pengakuan Microsoft atas kurangnya otentikasi dua faktor pada akun uji coba yang jelas merupakan akun penting kemungkinan akan menimbulkan kekhawatiran di komunitas keamanan siber. Meskipun ini bukanlah kerentanan perangkat lunak Microsoft, ini adalah serangkaian lingkungan uji coba yang dikonfigurasi buruk yang memungkinkan para peretas bergerak diam-diam di jaringan perusahaan Microsoft. “Bagaimana lingkungan uji coba bukan produksi dapat menyebabkan pengorbanan pejabat paling senior di Microsoft?” tanya CEO CrowdStrike George Kurtz dalam wawancara dengan CNBC awal minggu ini. “Saya pikir masih banyak hal yang akan terungkap tentang hal ini.”
Kurtz benar, lebih banyak lagi yang terungkap, tetapi masih ada beberapa detail penting yang hilang. Microsoft memang menyatakan bahwa jika lingkungan uji coba bukan produksi yang sama diterapkan hari ini, maka “kebijakan dan alur kerja Microsoft yang wajib akan memastikan MFA dan perlindungan aktif kami diaktifkan” untuk melindungi lebih baik dari serangan-serangan ini. Microsoft masih memiliki banyak penjelasan yang harus diberikan, terutama jika ingin pelanggan mereka percaya bahwa mereka benar-benar memperbaiki cara mereka merancang, membangun, menguji, dan mengoperasikan perangkat lunak dan layanan mereka untuk melindungi lebih baik dari ancaman keamanan.