Microsoft ha ampliato le funzionalità di free logging (registrazione gratuita) per i clienti standard di Purview Audit, incluse le agenzie federali statunitensi. Tale decisione arriva dopo la violazione di Exchange Online del 2023. In tale occasione, alcuni hacker cinesi sono riusciti a rubare e-mail del governo statunitense senza essere rilevati. Dopo aver scoperto l’incidente, Microsoft ha collaborato con la CISA, l'Office of Management and Budget (OMB) e l'Office of the National Cyber Director (ONCD) per garantire che le agenzie federali abbiano accesso ai dati di registrazione necessari per rilevare simili attacchi in futuro. Come annunciato dalla società di Redmond: “Microsoft abiliterà automaticamente i registri negli account dei clienti e aumenterà il periodo di conservazione dei registri predefinito da 90 giorni a 180 giorni. Inoltre, questi dati forniranno nuovi dati di telemetria per aiutare un numero maggiore di agenzie federali a soddisfare i requisiti di registrazione imposti dal Memorandum M-21-31 dell'OMB. "
Microsoft: 25 organizzazioni colpite dagli attacchi di Storm-0558
La nuova modifica è in linea anche con le linee guida Secure by Design di CISA. Secondo tali norme, tutti i produttori di tecnologia dovrebbero fornire “registri di controllo di alta qualità” senza richiedere configurazioni aggiuntive o costi aggiuntivi. A luglio, Microsoft ha rivelato che il gruppo di hacker cinese Storm-0558 ha rubato i dati di Exchange Online Outlook da circa 25 organizzazioni. Queste includevano anche agenzie governative degli Stati Uniti e dell'Europa occidentale. Come rivelato in seguito, gli autori delle minacce hanno utilizzato la chiave consumer di un account Microsoft (MSA) rubata da un crash dump di Windows per falsificare token di autenticazione e accedere ad account di posta elettronica mirati tramite Outlook Web Access in Exchange Online (OWA) e Outlook.com. Mentre la maggior parte degli hacker è riuscita a sfuggire al rilevamento, alcune agenzie federali statunitensi interessate hanno identificato l'attività dannosa utilizzando la registrazione avanzata.
Inizialmente, queste funzionalità di registrazione avanzate erano disponibili solo per i clienti con licenze di registrazione Purview Audit (Premium) di Microsoft. L’azienda di Redmond è stata quindi molto criticata per aver impedito alle organizzazioni di rilevare tempestivamente gli attacchi di Storm-0558. In seguito alla divulgazione dell’incidente e alle pressioni della CISA, Microsoft ha quindi accettato di ampliare gratuitamente l’accesso ai dati di registrazione. Ciò consentirà alle organizzazioni di individuare tentativi di violazione simili in futuro. Dopo aver violato la piattaforma di posta elettronica Exchange Online basata su cloud di Microsoft, gli hacker cinesi Storm-0558 hanno rubato almeno 60.000 e-mail da account Outlook appartenenti a funzionari del Dipartimento di Stato USA. Grazie alla nuova politica di Microsoft, i prossimi attacchi hacker potranno essere individuati e bloccati in tempo.