Microsoft renser millioner av sovende Azure-leietakere i massiv skysikkerhetsoverhaling

Microsoft har annonsert et omfattende sett med skysikkerhetsoppgraderinger som en del av Secure Future Initiative (SFI), inkludert fjerning av 6,3 millioner inaktive Azure-leiere og en fullstendig overhaling av hvordan identitetstokener lagres og administreres. Oppgraderingene kommer som direkte respons på et skadelig nasjonalstatsangrep som utnyttet svakheter i Microsofts identitetsinfrastruktur og utløste intens gransking fra myndighetene.

Maskinvarebasert nøkkelbeskyttelse for å forhindre fremtidig utnyttelse

Kjernen i initiativet er en strukturell endring av hvordan Microsoft håndterer Microsoft Account (MSA) og Entra ID-tokensigneringsnøkler. Disse nøklene, som er avgjørende for autentisering av brukeridentiteter på tvers av Microsofts skytjenester, har nå blitt flyttet til maskinvaresikkerhetsmoduler (HSM) eller Azure-konfidensielle virtuelle maskiner med automatisk nøkkelrotasjon. Dette trekket er ment å forhindre en gjentakelse av bruddet i 2021, der angripere fikk tilgang til en sensitiv forbrukersigneringsnøkkel fra en krasjdump funnet i en kompromittert ingeniørs bedriftskonto.

Charlie Bell, Microsofts sikkerhetssjef, sa at fem av de 28 SFI-målene er nesten fullførte, og 11 til har gjort betydelige fremskritt. Blant prestasjonene så langt, rapporterer Microsoft at mer enn 90 % av deres interne produktivitetskontoer har tatt i bruk phishing-resistent multifaktorautentisering, og 90 % av førsteparts identitetstokener er nå validert ved hjelp av et nylig herdet programvareutviklingssett. MSA-signeringstjenesten er allerede migrert til Azure-konfidensielle VM-er, og Entra ID-tjenesten er nå i ferd med å gjøre det samme.

Rensing av inaktive Azure-leietakere for å minimere angrepsoverflaten

I tillegg til å styrke sin nøkkeladministrasjonspraksis, gjennomførte Microsoft en massiv skyopprydding, og renset ut 6,3 millioner sovende Azure-leietakere for å krympe angrepsoverflaten og forbedre isolasjonen av produksjonssystemer. Disse ubrukte eller forlatte leietakerne kan utgjøre en sikkerhetsrisiko hvis de ikke blir administrert, noe som gjør fjerning av dem til et kritisk skritt for å forhindre snikende inntrenging.

Microsoft har også migrert 88 % av aktive skyressurser til Azure Resource Manager, noe som muliggjør mer konsistente og håndhevbare sikkerhetspolicyer. I et annet tiltak rettet mot å redusere identitetsrelaterte risikoer, har 4,4 millioner administrerte identiteter blitt segmentert for å autentisere kun fra forhåndsgodkjente nettverksplasseringer.

Et svar på kritikk og et bud for å gjenopprette tillit

Secure Future Initiative ble lansert i november 2023 etter en bølge av kritikk fra både amerikanske myndighetspersoner og nettsikkerhetsmiljøet. Selskapet møtte tilbakeslag ikke bare for sin håndtering av bruddet som involverte en kinesisk avansert persistent trussel-gruppe (APT), men også for forsinkelser og mangler ved oppdatering av sårbarheter, spesielt i skybaserte tjenester. Microsoft ble også beskyldt for sin tilnærming til tredjeparts sårbarhetsforskning og avsløring.

Se fremover: Vil disse endringene være nok?

Oppdateringene utgitt denne måneden antyder en fornyet innsats fra Microsoft for å gjenvinne tilliten gjennom åpenhet og et sterkere sikkerhetsgrunnlag. Ved å adressere arkitektoniske svakheter, herde identitetsinfrastrukturen og gjøre store skyhygieneforbedringer, har selskapet som mål å redusere eksponeringen for sofistikerte angrep og heve standard sikkerhetsstandarder.

Mens Microsoft fortsatt står overfor utfordringer – inkludert en økende bølge av Windows nulldagers sårbarheter og pågående kritikk av oppdateringsprosessen – representerer de nåværende endringene et betydelig skritt fremover. Hvorvidt disse reformene er nok til å gjenopprette tilliten til teknologigigantens skytjenester vil avhenge av deres langsiktige effektivitet og selskapets fortsatte forpliktelse til proaktiv cybersikkerhet.