【低級錯誤】CISA發布緊急指令 聯邦機構須盡快執漏杜絕Microsoft被入侵事故影響
Microsoft 上月承認遭俄羅斯國家級黑客集團 Midnight Blizzard(APT 29)入侵,而且表示對方很可能仍然匿藏於內部電郵系統盜竊情報。不知道是否由於美國大量政府或重要機構均採用 Microsoft 服務,美國網絡安全機構 CISA 上星期發出緊急行政指令,要求所有聯邦機構立即檢查有否相關入侵痕跡,以免被刺探更多國家機密。
在這次 CISA 發布的緊急行政指令中,要求聯邦機構必須立即分析在 Microsoft 外洩電郵事故中涉及的內容,評估外洩資料的風險,並且應該立即重設外洩的帳戶登入憑證,阻止俄羅斯黑客繼續潛入內部盜取機密,警告由於 Midnight Blizzard 曾成功入侵 Microsoft 企業電郵帳戶,包括該公司與客戶經電郵共享的身分驗證資訊,而且正試圖獲取更多訪問權限,因此可以肯定將帶來嚴重且不可接受的國家安全風險,因而必須快速完成內部檢查。
緊急行政指令內所指的事件,便是早前曾報導的 Microsoft 遭受入侵事件,原本 Microsoft 表示發現 Midnight Blizzard 在去年 11 月入侵後,已成功截斷對方的間諜活動,但事隔兩個月,卻尷尬地公布原來對方利用了在入侵事故中盜取的電郵系統帳戶資料,不單盜取 Microsoft 與客戶的電郵往來內容,還利用帳戶憑證繼續違法獲取更多權限,更甚者是盜取了 Microsoft 工程師部分寄存在程式倉庫內的源代碼,而且可能仍在窺探其內部系統。
CISA 指出受影響的機構,應在收到 Microsoft 披露的具體細節後採取以下措施:
- 立即對已知或懷疑被洩露的密碼、API 金鑰或其他身分驗證憑證採取補救措施
- 對於發現的任何已知或可疑的身分驗證洩露,必須在 4 月 30 日之前重設關聯應用程式中的憑證
- 停用機構不再使用的應用程式
- 檢查被懷疑或觀察到因潛在惡意活動而受到損害的使用者和服務的登入、憑證頒發及其他帳戶活動日誌
指令亦限定受影響機構,必須向 CISA 報告所有維護措施實施的狀態,並在 5 月 1 日晚上 11:59 之前,向 CISA 提供狀態更新,並且每周提供身分驗證補救措施的更新進度,直至完成為止。
事實上,這次入侵導致美國約 25 家政府機構的電郵數據被盜,網絡安全審查委員會(CSRB)亦特此發布了一份措詞嚴厲的報告,稱 Microsoft 犯下一連串可避免的錯誤,並認為對方的安全文化並不充足,需要徹底改革,且看 IT 龍頭公司會搬出什麼法寶補鑊。
唔想成為下一個騙案受害人?
