Microsoft heeft woensdag toegezegd alle klanten gratis toegang te geven tot cloud beveiligingslogboeken, een functie die normaal gesproken alleen beschikbaar is voor premium klanten. Deze stap volgt op berichten dat e-mails op cloudservers van de overheid het doelwit waren van een vermeende hackpoging vanuit China.

In een blogbericht uit 2023 beschrijft Microsoft plannen om de toegang tot deze service uit te breiden om “de inherente beveiliging” van zijn cloudplatforms te verbeteren “in het licht van escalerende en evoluerende cyberdreigingen van natiestaten”.

Klanten die het standaardpakket van Microsoft Purview Audit gebruiken, krijgen een verlenging van hun standaardbewaartermijn van 90 naar 180 dagen.

Hoewel logs aanvallen niet direct kunnen voorkomen, benadrukte Microsoft de waarde ervan bij het reageren op incidenten en digitaal forensisch onderzoek, omdat ze helpen onderscheid te maken tussen normaal en verdacht gebruikersgedrag.

De beslissing is volgens Microsoft het resultaat van intensieve samenwerking met commerciële en overheidsklanten en het Cybersecurity and Infrastructure Security Agency (CISA). CISA heeft naar verluidt opgeroepen tot een grotere verantwoordingsplicht van de industrie op het gebied van cyberbeveiliging.

Lees ook: “Navigeren door cyberbeveiliging: Google’s proefprogramma om het vertrouwen van gebruikers te waarborgen”.

De directeur van CISA, Jen Easterly, noemde de stap “vooruitgang in de goede richting”. In een blogbericht op de CISA-website waarin het besluit werd toegejuicht, verwees Eric Goldstein, de uitvoerend assistent-directeur voor cyberbeveiliging van de organisatie, naar de recente Microsoft Exchange Online-inbreuk.

Goldstein legde uit dat de loggegevens de instantie die door de inbreuk was getroffen, hielpen om de inbraak op de cloud e-mailservices van Microsoft te identificeren en maatregelen te nemen om de schade te beperken. Hij verklaarde dat het in rekening brengen van loggegevens “een obstakel vormt voor grondige zichtbaarheid bij het onderzoeken van cyberbeveiligingsincidenten”.

De aanval, die Microsoft heeft geïdentificeerd als spionage-centrisch en gekoppeld aan een in China gebaseerde dreigingsgroep die bekend staat als Storm-O558, werd ontdekt door het Federal Civilian Executive Branch (FCEB) agentschap. Onder de bevestigde slachtoffers bevinden zich de Amerikaanse minister van Handel, Gina Raimondo, en verschillende andere ambtenaren van het Ministerie van Buitenlandse Zaken en Handel. De aanvallers hadden naar verluidt ongeveer een maand toegang tot de account voordat ze op 16 juni 2023 werden ontdekt.

Microsoft meldde dat de bedreigingsgroep Azure Active Directory (AD) tokens vervalste met behulp van een gekaapte Microsoft account (MSA) consumer signing key, mogelijk gemaakt door een fout in de validatiecode van Microsoft. Dankzij een misbruikte sleutel kon het gespecialiseerde team van Microsoft alle toegangsverzoeken van de dreigersgroep controleren.

Op vrijdag bekende Microsoft dat het nog steeds in het duister tastte over hoe de hackers de ondertekensleutel voor accounttoegang te pakken hadden gekregen en verklaarde dat het onderzoek “nog gaande” was.

Het bedrijf maakte ook bekend dat Storm-0558 verschillende methoden gebruikt, wat suggereert dat het vermogen van de groep om ondertekeningssleutels te gebruiken werd gehinderd door cyberbeveiliging. ®