Microsoft đã mở rộng khả năng ghi nhật ký miễn phí cho tất cả các cơ quan liên bang Hoa Kỳ sử dụng Microsoft Purview Audit bất kể cấp giấy phép, hơn sáu tháng sau khi một chiến dịch gián điệp mạng liên kết với Trung Quốc nhắm vào hai chục tổ chức được đưa ra ánh sáng.
"Microsoft sẽ tự động kích hoạt nhật ký trong tài khoản khách hàng và tăng thời gian lưu giữ nhật ký mặc định từ 90 ngày lên 180 ngày", Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) cho biết.
"Ngoài ra, dữ liệu này sẽ cung cấp phép đo từ xa mới để giúp nhiều cơ quan liên bang đáp ứng các yêu cầu ghi nhật ký được ủy quyền bởi Bản ghi nhớ [Văn phòng Quản lý và Ngân sách] M-21-31."
Microsoft, vào tháng 7/2023, tiết lộ rằng một nhóm hoạt động quốc gia-nhà nước có trụ sở tại Trung Quốc được gọi là Storm-0558 đã truy cập trái phép vào khoảng 25 thực thể ở Mỹ và châu Âu cũng như một số lượng nhỏ tài khoản người tiêu dùng cá nhân có liên quan.
"Storm-0558 hoạt động với mức độ kỹ thuật cao và an ninh hoạt động", công ty lưu ý. "Các tác nhân nhận thức sâu sắc về môi trường của mục tiêu, chính sách ghi nhật ký, yêu cầu xác thực, chính sách và thủ tục."
Chiến dịch được cho là đã bắt đầu vào tháng 5/2023, nhưng được phát hiện chỉ một tháng sau đó sau khi một cơ quan liên bang Hoa Kỳ, sau đó được tiết lộ là Bộ Ngoại giao, phát hiện ra hoạt động đáng ngờ trong nhật ký kiểm tra Microsoft 365 chưa được phân loại và báo cáo cho Microsoft.
Vi phạm được phát hiện bằng cách tận dụng tính năng ghi nhật ký nâng cao trong Microsoft Purview Audit, đặc biệt bằng cách sử dụng hành động kiểm tra hộp thư MailItemsAccessed thường có sẵn cho người đăng ký Premium.
Nhà sản xuất Windows sau đó thừa nhận rằng lỗi xác thực trong mã nguồn của họ đã cho phép Storm-0558 giả mạo mã thông báo Azure Active Directory (Azure AD) bằng cách sử dụng khóa ký của người tiêu dùng tài khoản Microsoft (MSA) và sau đó sử dụng chúng để xâm nhập vào hộp thư.
Những kẻ tấn công ước tính đã đánh cắp ít nhất 60.000 email chưa được phân loại từ các tài khoản Outlook thuộc về các quan chức Bộ Ngoại giao đóng quân ở Đông Á, Thái Bình Dương và châu Âu, Reuters đưa tin vào tháng 9/2023. Bắc Kinh đã bác bỏ các cáo buộc.
Nó cũng phải đối mặt với sự giám sát chặt chẽ vì giữ lại các khả năng ghi nhật ký cơ bản nhưng quan trọng cho các thực thể nằm trong gói E5 hoặc G5 đắt tiền hơn, khiến công ty phải thực hiện các thay đổi.
"Chúng tôi nhận ra tầm quan trọng sống còn của việc ghi nhật ký nâng cao trong việc cho phép các cơ quan liên bang phát hiện, ứng phó và ngăn chặn ngay cả những cuộc tấn công mạng tinh vi nhất từ các tác nhân có nguồn lực tốt, được nhà nước tài trợ", Candice Ling của Microsoft cho biết. "Vì lý do này, chúng tôi đã hợp tác trên toàn chính phủ liên bang để cung cấp quyền truy cập vào nhật ký kiểm toán nâng cao."