La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato le linee guida finalizzate per la configurazione sicura di Microsoft 365, progettate per rafforzare la sicurezza e la resilienza dei servizi cloud Microsoft 365 (M365) delle organizzazioni. Questo rilascio è accompagnato dall’aggiornamento dello strumento SCuBAGear, che valuta i servizi cloud M365 delle organizzazioni secondo le basi raccomandate da CISA. Inoltre, CISA ha aggiunto due nuove vulnerabilità al suo Catalogo di Vulnerabilità Conosciute e Sfruttate, basandosi su prove di sfruttamento attivo.
Microsoft 365 Secure Configuration Baselines
Le linee guida per la configurazione sicura di Microsoft 365 incorporano i feedback degli stakeholder ottenuti durante il periodo di commento pubblico dell’anno scorso e un progetto pilota con agenzie federali. Le modifiche alle bozze delle linee guida sono state integrate con lo strumento SCuBAGear, che ora è più automatizzato per ridurre lo sforzo organizzativo.
Aggiunte al Catalogo di Vulnerabilità
Le due vulnerabilità aggiunte al catalogo sono:
- CVE-2023-49897: Vulnerabilità di iniezione di comandi OS in FXC AE1021, AE1021PE.
- CVE-2023-47565: Vulnerabilità di iniezione di comandi OS in QNAP VioStor NVR.
Questi tipi di vulnerabilità sono frequenti vettori di attacco per attori cyber malintenzionati e rappresentano rischi significativi per l’impresa federale.
Direttive Operative Vincolanti
La Direttiva Operativa Vincolante (BOD) 22-01: Ridurre il Rischio Significativo delle Vulnerabilità Conosciute e Sfruttate ha stabilito il Catalogo di Vulnerabilità Conosciute e Sfruttate come un elenco vivente di vulnerabilità comuni e esposizioni (CVE) che comportano rischi significativi per l’impresa federale. La BOD 22-01 richiede alle agenzie del Federal Civilian Executive Branch (FCEB) di rimediare alle vulnerabilità identificate entro la data di scadenza per proteggere le reti FCEB contro minacce attive.
Raccomandazioni di CISA
Sebbene la BOD 22-01 si applichi solo alle agenzie FCEB, CISA esorta fortemente tutte le organizzazioni a ridurre la loro esposizione agli attacchi informatici, dando priorità alla tempestiva rimediazione delle vulnerabilità del catalogo come parte della loro pratica di gestione delle vulnerabilità. CISA continuerà ad aggiungere vulnerabilità al catalogo che soddisfano i criteri specificati.
Il rilascio delle linee guida per la configurazione sicura di Microsoft 365 e l’aggiunta di nuove vulnerabilità al catalogo di CISA rappresentano passi importanti nella protezione delle infrastrutture informatiche e nella gestione delle minacce cyber.