wmtech logo

Se Ordena a las Agencias Federales de EE. UU. Buscar Signos de Brechas de Microsoft y Mitigar Riesgos

Luis Quiles
Luis Quiles
email
Ciber Ataque, Brecha de Información

La Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA, por sus siglas en inglés) emitió el jueves una directiva de emergencia (ED 24-02) instando a las agencias federales a buscar signos de compromiso y tomar medidas preventivas tras la reciente vulneración de los sistemas de Microsoft que llevó al robo de correspondencia por correo electrónico con la empresa.

El ataque, que salió a la luz a principios de este año, ha sido atribuido a un grupo estatal ruso conocido como Midnight Blizzard (también conocido como APT29 o Cozy Bear). El mes pasado, Microsoft reveló que el adversario logró acceder a algunos de sus repositorios de código fuente, pero señaló que no hay evidencia de una vulneración de los sistemas orientados al cliente.

La directiva de emergencia, que originalmente se emitió de forma privada a las agencias federales el 2 de abril, fue reportada por primera vez por CyberScoop dos días después.

«El actor de amenazas está utilizando información inicialmente exfiltrada de los sistemas de correo electrónico corporativos, incluidos los detalles de autenticación compartidos entre los clientes de Microsoft y Microsoft por correo electrónico, para obtener o intentar obtener acceso adicional a los sistemas de clientes de Microsoft», dijo CISA.

La agencia dijo que el robo de correspondencia por correo electrónico entre entidades gubernamentales y Microsoft plantea riesgos graves, instando a las partes interesadas a analizar el contenido de los correos electrónicos exfiltrados, restablecer las credenciales comprometidas y tomar medidas adicionales para garantizar que las herramientas de autenticación para cuentas privilegiadas de Microsoft Azure estén seguras.

Actualmente no está claro cuántas agencias federales han tenido sus intercambios de correo electrónico exfiltrados a raíz del incidente, aunque CISA dijo que todas han sido notificadas.

La agencia también insta a las entidades afectadas a realizar un análisis de impacto en la ciberseguridad para el 30 de abril de 2024 y proporcionar una actualización de estado para el 1 de mayo de 2024 a las 11:59 p.m. Se aconseja a otras organizaciones afectadas por la vulneración que se pongan en contacto con su equipo de cuenta de Microsoft respectivo para cualquier pregunta adicional o seguimiento.

server

«CISA instó a todas las organizaciones, independientemente del impacto directo, a aplicar medidas de seguridad rigurosas, incluidas contraseñas fuertes, autenticación multifactor (MFA) y prohibición de compartir información sensible no protegida a través de canales no seguros», dijo CISA.

Este desarrollo surge mientras CISA lanzó una nueva versión de su sistema de análisis de malware, llamado Malware Next-Gen, que permite a las organizaciones enviar muestras de malware (anónimamente o de otra manera) y otros artefactos sospechosos para su análisis.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.