Inside Microsoft’s security threat landscape (and how you can protect your company)



Microsoft systems have had 238 cybersecurity deficiencies reported since the beginning of 2022, which is 30% of all vulnerabilities discovered so far this year. Of those, 60% (nine) were due to deficiencies in Microsoft’s designed, operated and owned systems. Microsoft made headlines again in late 2021, when it warned customers that the Azure cloud platform had configuration errors in a component which, enabled by default, had exposed data for the past two years. Other contemporaries, such as Google, are reportedly overtaking the security space.


Microsoft Systemsは、2022年の初めから238のサイバーセキュリティの欠陥が報告されています。これは、今年これまでに発見されたすべての脆弱性の30%です。そのうち、60%(9)は、Microsoftの設計、運用、所有システムの欠陥によるものでした。Microsoftは2021年後半に再び見出しを作りました。顧客に、Azure Cloudプラットフォームには、デフォルトで過去2年間データを公開していたコンポーネントに構成エラーがあることを顧客に警告しました。Googleなどの他の同時代人は、セキュリティスペースを追い越していると伝えられています。


Throughout the past few years, Microsoft has faced a slew of negative news over a series of vulnerabilities and hacks. So, it’s no wonder that vulnerabilities in Microsoft products are an attractive attack vector. According to a report from the Cybersecurity and Infrastructure Security Agency (CISA), Microsoft systems has had 238 cybersecurity deficiencies reported since the beginning of 2022, which is 30% of all vulnerabilities discovered so far this year.  In 2021, major agencies like the National Security Agency (NSA), FBI, CISA and CIA detailed the 15 most common vulnerabilities and exposures (CVEs) exploited by hackers. Of those, 60% (nine) were due to deficiencies in Microsoft’s designed, operated and owned systems, including seven CVEs within Microsoft’s Exchange Server.

過去数年間、Microsoftは一連の脆弱性とハックについて多くの否定的なニュースに直面してきました。したがって、Microsoft製品の脆弱性が魅力的な攻撃ベクターであるのも不思議ではありません。Cybersecurity and Infrastructure Security Agency(CISA)のレポートによると、Microsoft Systemsは2022年の初めから238のサイバーセキュリティの欠陥が報告されています。これは、今年これまでに発見されたすべての脆弱性の30%です。2021年、国家安全保障局(NSA)、FBI、CISA、CIAなどの主要機関は、ハッカーが搾取した15の最も一般的な脆弱性と露出(CVE)を詳述しました。そのうち、60%(9)は、MicrosoftのExchange Server内の7つのCVEを含むMicrosoftの設計、運用、所有システムの欠陥によるものでした。

This is even more alarming when you consider that Microsoft holds a dominant share (85%) of U.S. government workplace procurement and IT systems, essentially putting the entire government at risk of a hack.  Microsoft made headlines again in late 2021, when it warned customers that the Azure cloud platform had configuration errors in a component which, enabled by default, had exposed data for the past two years. As a result, thousands of customers that rely on the Azure Cosmos DB — including household names like Exxon and Coca-Cola, were exposed to the possibility that an attacker could read, write or delete data without authorization.

これは、Microsoftが米国政府の職場調達とITシステムの支配的なシェア(85%)を保有しており、本質的に政府全体をハッキングの危険にさらしていると考えると、さらに驚くべきことです。Microsoftは2021年後半に再び見出しを作りました。顧客に、Azure Cloudプラットフォームには、デフォルトで過去2年間データを公開していたコンポーネントに構成エラーがあることを顧客に警告しました。その結果、Azure Cosmos DBに依存している何千人もの顧客(ExxonやCoca-Colaなど)を含む顧客は、攻撃者が許可なしにデータを読み書き、削除または削除できる可能性にさらされました。

Low-Code/No-Code Summit Threat actors exploited multiple yet-to-be-disclosed Microsoft flaws and zero-day bugs, allowing attacks to be executed remotely, according to claims made by security researchers at Vietnamese cybersecurity outfit GTSC, who first spotted and reported that attackers were chaining the pair of zero-days to deploy Chinese Chopper web shells on compromised servers for persistence and data theft.  Due to the constant hacks and vulnerabilities discovered within Microsoft’s product ecosystem, other contemporaries, such as Google, are now supposedly overtaking the security innovation space. Recently, at its Cloud Next ’22 event, Google announced a Rapid Vulnerability Detection service. The tool is a zero-configuration service in Security Command Center Premium that detects vulnerabilities like exposed admin interfaces, weak credentials and incomplete software installations.

低コード/ノーコードサミットの脅威俳優は、まだ分割されていない複数のマイクロソフトの欠陥とゼロデイのバグを利用し、最初に発見したベトナムサイバーセキュリティのGTSCのセキュリティ研究者による主張によると、攻撃をリモートで実行できるようにしました。また、攻撃者がゼロデイのペアをチェックして、侵害されたサーバーに中国のチョッパーWebシェルを展開して、永続性とデータ盗難のために展開していると報告しました。Microsoftの製品エコシステム内で発見された絶え間ないハッキングと脆弱性のため、Googleなどの他の同時代人は、おそらくセキュリティイノベーション分野を追い越していると思われます。最近、Cloud Next ’22イベントで、Googleは迅速な脆弱性検出サービスを発表しました。このツールは、露出した管理インターフェイス、弱い資格情報、不完全なソフトウェアインストールなどの脆弱性を検出するセキュリティコマンドセンタープレミアムのゼロコンフィグレーターサービスです。

As a household name and a tech giant, where do Microsoft’s cybersecurity practices lack? And what does the future of such threats look like?  Throughout the past 15 years, Microsoft has made progress in hardening the Windows kernel, the operating system’s (OS) core that hackers must effectively manage to control a machine. Introducing stringent new limits on loading system drivers that could operate in kernel mode was a cornerstone of that development.  In February 2019, software company SolarWinds was attacked by suspected nation-state hackers known as Nobelium. The group gained access to thousands of SolarWinds customers’ networks, systems and data, resulting in the largest hack ever recorded. Moreover, following a Reuters exclusive on December 17, 2020, it became apparent that particular Microsoft-specific vulnerabilities exacerbated the damage in the SolarWinds attack.  Andrew Grotto, former White House director of cyber policy, says that a part of such attacks lies in a legacy codebase problem.  “Microsoft products require much effort to configure the right way and, due to such configuration problems, the products are vulnerable to exploitation,” he said.  This was just the beginning, as in March 2021, a group of hackers collectively known as Hafnium were able to exploit weaknesses in Microsoft’s Exchange software, allowing Hafnium to take control of servers and gain access to sensitive corporate and governmental organization information.  The FBI needed to hack into hundreds of computer servers of U.S. companies to remove the Hafnium malware. Microsoft released a patch to fix 114 critical vulnerabilities in April 2021.

有名な名前とハイテクの巨人として、Microsoftのサイバーセキュリティの実践にはどこに欠けていますか?そして、そのような脅威の未来はどのように見えますか?過去15年間、Microsoftは、ハッカーがマシンを効果的に制御する必要があるオペレーティングシステム(OS)のコアであるWindowsカーネルの硬化を進めてきました。カーネルモードで動作できるローディングシステムドライバーに厳しい新しい制限を導入することは、その開発の基礎でした。 2019年2月、ソフトウェア会社SolarWindsは、Nobeliumとして知られる国民国家ハッカーの疑いに攻撃されました。このグループは、数千のSolarWindsの顧客のネットワーク、システム、データにアクセスし、これまでに記録された最大のハックになりました。さらに、2020年12月17日にロイター限定された後、特定のMicrosoft固有の脆弱性がSolarWinds攻撃の損害を悪化させたことが明らかになりました。サイバーポリシーの元ホワイトハウスディレクターであるアンドリューグロットは、そのような攻撃の一部はレガシーコードベースの問題にあると言います。 「Microsoft製品は、正しい方法を構成するために多くの努力が必要であり、そのような構成の問題により、製品は搾取に対して脆弱です」と彼は言いました。これはほんの始まりでした。2021年3月に、Hafniumとして共同で知られるハッカーのグループは、MicrosoftのExchangeソフトウェアの弱点を活用することができ、Hafniumがサーバーを制御し、敏感な企業および政府の組織情報にアクセスできるようにしました。 FBIは、Hafniumマルウェアを削除するために、米国企業の何百ものコンピューターサーバーにハッキングする必要がありました。 Microsoftは、2021年4月に114の重要な脆弱性を修正するパッチをリリースしました。

Similarly, in March 2022, Microsoft announced that it was breached by the criminal hacker group Lapsus$, explaining that the group compromised one of its accounts, which gave the group “limited access” to company data. However, the company denied that the group obtained data of any Microsoft customers.  The company would later acknowledge that the group stole parts of the source code associated with some of Microsoft’s products. Lapsus$ claimed to have gotten source code for the Bing search engine and Cortana voice assistant. (However, Microsoft claimed that it did not rely on the secrecy of its source code as a security measure.) Dan Schiappa, chief product officer at Arctic Wolf and ex-Microsoft security executive, explained that Microsoft’s code is often a mix of old and new, making it even more challenging for them to ensure there are no vulnerabilities.  “I think it will take the cybersecurity ecosystem to help protect Microsoft’s vast technology base. Microsoft will continue to make incremental changes to improve their security posture, but I do not believe they will do anything that will significantly reduce the risk,” he said. “As a result, having the proper security portfolio or service is the best way to ensure you have Microsoft security covered.” As a dominant enterprise vendor on the market, threat actors have been working around the clock to target and exploit products in the Microsoft ecosystem. Here are a few examples: Threat intelligence company, Cluster25, recently reported that APT28 (a.k.a. Fancy Bear), a Russian GRU (Main Intelligence Directorate of the Russian General Staff) threat organization, used a new strategy to deploy the Graphite malware as recently as September 9.

同様に、2022年3月に、Microsoftは犯罪者ハッカーグループLapsus $によって違反されたと発表し、グループがそのアカウントの1つを侵害し、グループが企業データに「アクセスを制限」したと説明しました。しかし、同社は、グループがMicrosoftの顧客のデータを取得したことを否定しました。同社は後に、グループがMicrosoftの製品の一部に関連付けられたソースコードの一部を盗んだことを認めました。 Lapsus $は、Bing Search EngineおよびCortana Voice Assistantのソースコードを取得したと主張しました。 (しかし、Microsoftは、セキュリティ対策としてのソースコードの秘密に依存していないと主張しました。)Arctic WolfおよびEx-Microsoft Security Executiveの最高製品責任者であるDan Schiappaは、Microsoftのコードはしばしば古いものであり、新しく、脆弱性がないことを保証することはさらに挑戦的です。 「マイクロソフトの膨大なテクノロジーベースを保護するのに役立つサイバーセキュリティエコシステムが必要だと思います。 Microsoftは、セキュリティの姿勢を改善するために引き続き漸進的な変更を加えますが、リスクを大幅に軽減することは何でもするとは思いません」と彼は言いました。 「その結果、適切なセキュリティポートフォリオまたはサービスを使用することが、Microsoft Securityを保証するための最良の方法です。」市場の支配的なエンタープライズベンダーとして、脅威アクターは、Microsoftエコシステムの製品をターゲットにして悪用するために、24時間体制で作業してきました。いくつかの例を紹介します。ThreatIntelligence CompanyのCluster25は、最近、ロシアのGRU(ロシアの一般スタッフの主なintelligence報部長)の脅威組織であるAPT28(別名ファンシーベア)が、最近のようにグラファイトマルウェアを展開するための新しい戦略を使用したと報告しました。 9月9日。

The threat actor lures targets with a PowerPoint (.PPT) file allegedly linked to the Organization for Economic Co-operation and Development (OECD), an intergovernmental entity working toward stimulating worldwide economic progress and trade. Inside the PPT file are two slides featuring instructions in English and French for using the Interpretation option in the Zoom video-conferencing app.  When the victim opens the document in presentation mode and hovers the mouse over the hyperlink, a malicious PowerShell script is launched, downloading a JPEG file from a Microsoft OneDrive account. The document also includes a hyperlink that triggers the execution of a malicious PowerShell script through the SyncAppvPublishingServer tool. As a result, the malware is able to use Microsoft Graph API and OneDrive on the victim’s computer for further command-and-control communications.

脅威アクターは、世界の経済的進歩と貿易を刺激するために取り組んでいる政府間団体である経済協力開発機関(OECD)にリンクされているとされるPowerPoint(.PPT)ファイルでターゲットを誘います。PPTファイルの内部には、ズームビデオ会議アプリで解釈オプションを使用するための英語とフランス語の指示を特徴とする2つのスライドがあります。被害者がプレゼンテーションモードでドキュメントを開き、ハイパーリンクの上にマウスを押し出すと、悪意のあるPowerShellスクリプトが起動し、Microsoft OneDriveアカウントからJPEGファイルをダウンロードします。このドキュメントには、Syncappvpublishingserverツールを介して悪意のあるPowerShellスクリプトの実行をトリガーするハイパーリンクも含まれています。その結果、マルウェアはMicrosoftグラフAPIを使用して、被害者のコンピューターでOneDriveを使用して、コマンドアンドコントロール通信をさらに使用することができます。

On top of that, vulnerable Microsoft SQL servers are also being targeted in a new wave of attacks with FARGO ransomware. MS-SQL servers are database management systems, holding data for internet services and apps, which attackers primarily target because disrupting them can cause severe business trouble. FARGO is one of the most prominent ransomware strains focusing on MS-SQL servers, along with GlobeImposter.

それに加えて、脆弱なMicrosoft SQLサーバーは、Fargoランサムウェアを使用した新しい攻撃の波でも標的にされています。MS-SQLサーバーはデータベース管理システムであり、インターネットサービスとアプリのデータを保持しており、攻撃者をターゲットにしているとターゲットをターゲットにしている可能性があるため、深刻なビジネストラブルを引き起こす可能性があります。Fargoは、GlobeImposterとともに、MS-SQLサーバーに焦点を当てた最も顕著なランサムウェア株の1つです。

The FARGO ransomware strain excludes particular software and folders from encryption to prevent the infected system from becoming completely useless. Victims are also blackmailed with the threat of publishing the stolen material publicly if victims did not pay the ransom.  It was later discovered that the vulnerabilities were due to the use of weak credentials and lack of updated security patching on the part of the victim servers, which echoes the earlier issues with Microsoft being difficult to configure.  Microsoft’s Windows operating system isn’t far behind in bottleneck issues. According to research by Lansweeper, only 2.6% of users have upgraded to Windows 11 one year after its initial public release. And 42% of PCs aren’t even eligible for automatic upgrade due to stringent system requirements from Microsoft. Which leaves enterprise IT managers struggling to upgrade or replace millions of machines before 2025, which is when Microsoft has said it will stop supporting Windows 10.

Fargoランサムウェア株は、感染システムが完全に役に立たなくなるのを防ぐために、特定のソフトウェアとフォルダーを暗号化から除外しています。犠牲者は、被害者が身代金を支払わなかった場合、盗まれた資料を公に公開するという脅威にも脅迫されています。後に、脆弱性は、クレデンシャルの弱い使用と被害者サーバーの側での更新されたセキュリティパッチの欠如によるものであることが発見されました。 MicrosoftのWindowsオペレーティングシステムは、Bottleneckの問題ではそれほど遅れていません。 Lansweeperの調査によると、最初の公開リリースから1年後にWindows 11にアップグレードしたのは2.6%のユーザーのみです。また、PCの42%は、Microsoftからの厳しいシステム要件により、自動アップグレードの対象ではありません。これにより、エンタープライズITマネージャーは、2025年以前に何百万ものマシンをアップグレードまたは交換するのに苦労しています。

According to Steve Benton, VP of threat research at Anomali, the exploitation of vulnerabilities as they become known is just a means to an end, a part of an attack chain with several components that must be successful.  Benton recommends that the approach, therefore, needs to be threefold: “Having an aggressive vulnerability and patch management strategy is the most important thing an organization can do to keep safe,” said Mike Dausin, director of security research and threat intelligence at Alert Logic. “At the same time, it is vital to listen to the signals your devices produce; many successful attacks go unnoticed simply because logs and signals from the affected devices go unnoticed. Collecting, processing and monitoring these signals is critical to catch modern threats.” Jerrod Piker, competitive intelligence analyst at Deep Instinct, said that as Microsoft software solutions continue to enjoy widespread global use across enterprises of all sizes, we will likely see new vulnerabilities discovered at an even more rapid pace than up to this point.  “If the recent vulnerabilities are any indication, these exploits will continue to grow in complexity and scale,” said Piker.  Piker said that while Microsoft offers an extensive suite of security solutions, there doesn’t appear to have been significant strides made in securing the software development life cycle itself.

Anomaliの脅威研究担当副社長であるSteve Bentonによると、脆弱性が知られるようになるにつれて脆弱性の搾取は、成功しなければならないいくつかのコンポーネントを備えた攻撃チェーンの一部である終わりのための手段です。したがって、ベントンは、このアプローチは3つの倍率であることを推奨しています。「積極的な脆弱性とパッチ管理戦略を持つことは、組織が安全を維持するためにできる最も重要なことです」 。 「同時に、デバイスが生成する信号を聞くことが重要です。多くの成功した攻撃は、影響を受けるデバイスからのログと信号が気付かれないという理由だけで気付かれません。これらの信号を収集、処理、監視することは、現代の脅威をキャッチするために重要です。」 Deep Instinctの競争力のあるインテリジェンスアナリストであるJerrod Pikerは、Microsoft Software Solutionsがあらゆる規模の企業全体で世界的に広範に使用されているため、この時点よりもさらに速いペースで発見された新しい脆弱性が発見される可能性が高いと述べました。 「最近の脆弱性が何らかの兆候である場合、これらのエクスプロイトは複雑さと規模で増加し続けるでしょう」とPiker氏は述べています。 Piker氏によると、Microsoftは広範なセキュリティソリューションスイートを提供していますが、ソフトウェア開発ライフサイクル自体を確保するために大きな進歩があったようだと述べました。

“Microsoft has seemingly always been more reactive with security efforts, instead of successfully building security into the software development process. This needs to change. Until a complete shift is made to tighten security during the development phase, chances are we will not see a marked improvement in the number of vulnerabilities discovered in Microsoft software solutions,” he said.   Likewise, Grotto believes that the security promises may only be fully achieved if basic security features become standard for all pricing tiers of Microsoft’s cloud services.  “Basic security features such as event logging and implementing multifactor authentication are a few IT features that should be considered standard. Unfortunately, such ground-level features still seem to be missing from Microsoft’s cloud ecosystem,” he said. “This is a major drawback for cloud-based ecosystems reaching their complete potential, from a security standpoint.”