Sumário executivo

• • • • CloudSEKA equipe de pesquisa de inteligência de ameaças descobriu uma postagem em um fórum de crimes cibernéticos, anunciando 21 milhões de registros de usuários da Microsoft.
      • Nossos pesquisadores suspeitam que o aviso mais recente da Microsoft esteja possivelmente relacionado a esse incidente, que avisa seus usuários sobre uma vulnerabilidade recém-descoberta presente em seu Cosmos DB.
      • A equipe de pesquisa de inteligência de ameaças da CloudSEK está validando a autenticidade desta postagem.
    [caption id="attachment_17846" align="aligncenter” width="549"] Postagem do ator da ameaça no fórum de crimes cibernéticos [/caption]

    Análise e atribuição

    Em 20 de agosto de 2021, um agente de ameaças publicou uma postagem em um fórum de crimes cibernéticos alegando ter invadido 21 milhões de contas de usuário da Microsoft. Embora o ator não tenha compartilhado amostras para fundamentar sua afirmação, eles descreveram o processo pelo qual os dados foram obtidos.

    O processo

    • • O ator menciona que, durante uma atualização do sistema, a Microsoft salvou seus dados em um armazenamento temporário na nuvem.
      • Além disso, o ator afirma ter obtido acesso a esse banco de dados “temporário” na nuvem, por meio do qual recebeu a forma hexadecimal de um cookie e o decifrou usando um serviço jurídico público.
      • Depois de concluir essas duas etapas, o ator obteve acesso às informações da máquina, bem como aos arquivos e documentos nela contidos.
      • Além disso, o ator também afirma ter acesso ao banco de dados de navegação junto com os seguintes campos de dados:
    • • • Site
        • Nome de usuário
        • Senha

    Informações dos comentários

    Nos comentários postados neste tópico, outro ator da ameaça compartilhou uma amostra do banco de dados mencionado acima, que recebeu do ator original em seu bate-papo no Telegram. Com base nas amostras, os dados fornecidos são os seguintes:
    • • • Nome do host
        • Data de criação, data do último acesso e data de validade.
        • Caminho

    Conexões possíveis

    Esta publicação foi publicada após um comunicado da Microsoft que solicitava que os clientes corrigissem seus computadores devido a uma vulnerabilidade descoberta em seus serviços em nuvem. No entanto, como o ator não forneceu amostras nem mencionou a vulnerabilidade específica ou a tecnologia usada, nossos pesquisadores acreditam, com pouca confiança, que os dois eventos só podem ser vinculados.

    Impacto e mitigação

    Impacto Mitigação
    • A postagem acima contém informações de PII dos usuários que podem ser usadas por agentes de ameaças para realizar vários ataques, como:
      • Ataques de engenharia social
      • Ataques de phishing
      • Roubo de identidade
    • Coleta de informações da conta Target Cosmos DB.
    • A recuperação da chave de credencial leva à aquisição da conta.
    • Perda da integridade dos dados por modificação não autorizada e comprometimento da confidencialidade e exfiltração dos dados.
    • Atualize o sistema e todos os aplicativos para os patches e versões mais recentes.
    • Use uma política regular de atualização de senha e evite a reutilização de senhas para várias contas.
    • Use 2FA (Autenticação de Dois Fatores) em todos os logins.
    • Corrija todos os endpoints vulneráveis e exploráveis.
    • A Microsoft solicitou às organizações que regenerassem as chaves primárias para as respectivas contas do Cosmos DB. O link para o guia oficial é fornecido abaixo:https://docs.microsoft.com/en-us/azure/cosmos-db/secure-access-to-data?tabs=using-primary-key#primary-keys

    Referências

    https://mobile.reuters.com/article/amp/idUSL1N2PX2W7?__twitter_impression=true