مایکروسافت اعلام کرد که سرویس امضای حسابهای کاربری مایکروسافت (Microsoft Account یا MSA) را به ماشینهای مجازی محرمانه در پلتفرم Azure منتقل کرده و در حال اجرای فرآیند مشابهی برای سرویس امضای Entra ID است.
این اقدام حدود هفت ماه پس از آن انجام شد که این شرکت بهروزرسانیهای امنیتی برای Entra ID و MSA را در فضای ابری عمومی و ابری دولت ایالات متحده تکمیل کرد. این بهروزرسانیها شامل تولید، ذخیرهسازی و چرخش خودکار کلیدهای امضای توکنهای دسترسی با استفاده از سرویس Azure Managed Hardware Security Module (HSM) بود.
چارلی بل، معاون اجرایی امنیت مایکروسافت، اظهار داشت که هر یک از این بهبودها به کاهش بردارهای حملهای کمک میکنند که گمان میرود گروه نفوذ Storm-0558 در حمله سال ۲۰۲۳ از آنها بهره برده باشد.
این گروه، که وابسته به دولت چین شناخته میشود، با سوءاستفاده از یک خطای اعتبارسنجی در کد منبع مایکروسافت، از کلید امضای حسابهای مصرفی مایکروسافت برای جعل توکنهای Azure Active Directory (Entra ID) استفاده کرد. این اقدام به آنها امکان داد بهطور غیرمجاز به ایمیلهای سازمانهای متعددی در اروپا و آمریکا دسترسی یافته و دادههای صندوق پستی را استخراج کنند.
پیشرفتهای امنیتی در احراز هویت و حفاظت از کد
مایکروسافت گزارش داد که ۹۰ درصد از توکنهای هویتی صادرشده توسط Entra ID برای اپلیکیشنهای این شرکت، توسط یک کیت توسعه نرمافزاری (SDK) مقاومسازیشده بررسی میشوند. همچنین، ۹۲ درصد از حسابهای کاری کارکنان مایکروسافت اکنون از احراز هویت چندمرحلهای مقاوم در برابر فیشینگ بهره میبرند تا خطر حملات سایبری پیشرفته کاهش یابد. این شرکت همچنین سیستمهای تولیدی خود را ایزوله کرده و سیاست نگهداری دوساله برای لاگهای امنیتی اعمال کرده است. علاوه بر این، ۸۱ درصد از شاخههای کد تولیدی با استفاده از بررسیهای حضور فیزیکی و احراز هویت چندمرحلهای محافظت میشوند.
برای کاهش ریسک گسترش مهاجم در سیستم، مایکروسافت پروژهای آزمایشی را آغاز کرده که سناریوها و روالهای کاری پشتیبانی مشتریان(مانند تیکت زدن) را به یک tenant اختصاصی منتقل میکند. tenant در این زمینه یک محیط ابری مجزا در Azure است که مانند یک فضای کاری ایزوله برای یک گروه خاص (مثل تیم پشتیبانی) عمل میکند و دادهها و دسترسیهایش از بقیه سیستمها جدا است. سیاستهای امنیتی پایه در تمام انواع tenantهای مایکروسافت اجرا میشوند و یک سیستم جدید تخصیص tenant بهطور خودکار tenantهای جدید را در سیستم واکنش اضطراری امنیتی این شرکت ثبت میکند.
این تغییرات بخشی از «ابتکار آینده امن» (Secure Future Initiative یا SFI) هستند که مایکروسافت آن را بزرگترین پروژه مهندسی امنیت سایبری در تاریخ خود و گستردهترین تلاش در نوع خود توصیف کرده است. این ابتکار پس از گزارش هیئت بررسی ایمنی سایبری ایالات متحده (CSRB) در سال گذشته سرعت گرفت. این گزارش، مایکروسافت را به دلیل مجموعهای از خطاهای قابل اجتناب که منجر به نفوذ Storm-0558 به حدود ۲۰ شرکت شد، مورد انتقاد قرار داد.
مایکروسافت همچنین ابتکار «تابآوری ویندوز» (Windows Resiliency) را برای تقویت امنیت و پایداری سیستمعامل را اواخر سال گذشته معرفی کرده است تا از اختلالاتی مانند حادثه بهروزرسانی CrowdStrike در ژوئیه ۲۰۲۴ جلوگیری کند.
در ۷ اوت ۲۰۲۴، شرکت CrowdStrike تحلیل علت اصلی خرابی گسترده ۱۹ ژوئیه را منتشر کرد که میلیونها دستگاه ویندوزی را مختل کرده بود. این حادثه، معروف به «Channel File 291»، به دلیل ناهمخوانی ورودیها در بهروزرسانی Falcon Sensor رخ داد و باعث صفحه آبی مرگ (BSOD) شد. CrowdStrike بررسیهای اعتبارسنجی و تستهای داخلی خود را تقویت کرده تا از تکرار چنین حوادثی جلوگیری کند.
ابتکار تابآوری ویندوز، شامل قابلیت «بازیابی سریع ماشین» (Quick Machine Recovery) است که به مدیران فناوری اطلاعات امکان میدهد اصلاحات خاصی را حتی در صورت بوت نشدن سیستم روی کامپیوترهای ویندوزی اعمال کنند. این قابلیت در محیط بازیابی ویندوز (WinRE) تعبیه شده است. رودی اومس از شرکت Patch My PC توضیح داد که برخلاف روشهای سنتی تعمیر که نیاز به دخالت کاربر دارند، این قابلیت بهطور خودکار فعال میشود زمانی که سیستم خرابی را تشخیص دهد.
فرآیند ترمیم ابری بررسی میکند که آیا تنظیماتی مانند CloudRemediation، AutoRemediation و در صورت نیاز HeadlessMode فعال هستند یا خیر. اگر شرایط محیطی مانند دسترسی به شبکه و پلاگینهای موردنیاز فراهم باشد، ویندوز بهطور خودکار و بیصدا فرآیند بازیابی را آغاز میکند.
