Microsoft ha scoperto una grave violazione della sicurezza: alcuni dei suoi account email aziendali sono stati compromessi da APT29 sponsorizzata dallo stato russo, noto come Midnight Blizzard e Cozy Bear. L’attacco, identificato inizialmente il 12 gennaio, è stato attribuito agli attori di minaccia russi Nobelium o APT29.
Il gruppo ha effettuato un attacco di password spray a novembre 2023, ottenendo l’accesso a un account di test non produttivo di Microsoft. Questo account è stato poi utilizzato per accedere a una piccola percentuale degli account email aziendali di Microsoft, incluso il team di leadership e i dipartimenti di cybersecurity e legale, per più di un mese.
Il metodo di attacco suggerisce che l’account compromesso non era protetto con autenticazione a due fattori (2FA) o multi-fattore (MFA), prassi di sicurezza raccomandata da Microsoft.
Microsoft sta attualmente notificando i dipendenti i cui account email sono stati accessi e ha sottolineato che la violazione non è stata causata da una vulnerabilità nei loro prodotti e servizi, ma da un attacco brute force alle password. Nonostante l’indagine sia ancora in corso, Microsoft ha dichiarato che la violazione non ha avuto un impatto significativo sulle operazioni dell’azienda.
Questo incidente mette in luce l’importanza delle misure di sicurezza avanzate per proteggere gli account aziendali da attacchi sofisticati usando l’autenticazione a due fattori.
