Microsoft ha anunciado una expansión en sus capacidades de registro en la nube con el objetivo de ayudar a las organizaciones a investigar incidentes de ciberseguridad y obtener una mayor visibilidad después de enfrentar críticas tras un reciente ataque de espionaje dirigido a su infraestructura de correo electrónico. Esta medida es una respuesta directa a la frecuencia y evolución cada vez mayor de las amenazas cibernéticas respaldadas por estados nacionales. Se espera que esta expansión esté disponible para todos los clientes gubernamentales y comerciales a partir de septiembre de 2023.

Como parte de esta expansión, los usuarios recibirán acceso a registros detallados de acceso de correo electrónico y más de 30 tipos adicionales de datos de registro que anteriormente solo estaban disponibles a través de la suscripción de Microsoft Purview Audit (Premium). Además, Microsoft ha extendido el período de retención predeterminado para los clientes de Audit Standard de 90 días a 180 días.

La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA, por sus siglas en inglés) ha acogido con satisfacción esta medida y ha declarado que "tener acceso a datos clave de registro es importante para mitigar rápidamente las intrusiones cibernéticas" y que es "un paso significativo hacia el avance de los principios de seguridad por diseño"

Esta expansión se produce después de una serie de revelaciones sobre un actor de amenazas operando desde China, apodado Storm-0558, que comprometió a 25 organizaciones aprovechando un error de validación en el entorno de Microsoft Exchange. El Departamento de Estado de EE. UU., una de las entidades afectadas, pudo detectar la actividad maliciosa de los buzones en junio de 2023 gracias a los registros mejorados en Microsoft Purview Audit, específicamente utilizando la acción de auditoría de buzones llamada MailItemsAccessed.

Sin embargo, otras organizaciones afectadas afirmaron que no pudieron detectar que habían sido comprometidas porque no eran suscriptoras de las licencias E5/A5/G5, que brindan acceso elevado a diversos tipos de registros que serían cruciales para investigar el hackeo.

Microsoft continúa investigando estas intrusiones y hasta el momento la compañía no ha explicado cómo los hackers pudieron adquirir una clave de firma de Microsoft Account (MSA) inactiva para falsificar tokens de autenticación y obtener acceso ilícito a las cuentas de correo electrónico de los clientes a través de Outlook Web Access en Exchange Online (OWA) y Outlook.com.

El objetivo principal de las campañas de Storm-0558 es obtener acceso no autorizado a las cuentas de correo electrónico de los empleados de las organizaciones objetivo. Una vez que el actor tiene acceso a las credenciales de usuario deseadas, inicia sesión en la cuenta de correo electrónico comprometida con las credenciales de cuenta válidas y recopila información de la cuenta de correo electrónico a través del servicio web.

Microsoft está tomando medidas para abordar estas amenazas y ha anunciado que ampliará el acceso a los registros de seguridad en la nube de manera gratuita para sus clientes en todo el mundo. Además, los clientes podrán utilizar Microsoft Purview Audit para visualizar de manera centralizada más tipos de datos de registro en la nube generados en toda su empresa.