Microsoft anunció el lunes que ha trasladado el servicio de firma de la cuenta de Microsoft (MSA) a Azure Confidential Virtual Machines (VMS) y que también está en proceso de migrar el servicio de firma de ID de Entra también.
La divulgación se produce aproximadamente siete meses después de que el gigante de la tecnología dijo que completó actualizaciones de Microsoft Entra ID y MS para que las nubes públicas y del gobierno de los Estados Unidos generen, almacenen y giren automáticamente las claves de firma de token de acceso utilizando el servicio del Módulo de Seguridad de Hardware Azure Administrados (HSM).
«Cada una de estas mejoras ayuda a mitigar los vectores de ataque que sospechamos que el actor utilizado en el ataque 2023 Storm-0558 contra Microsoft», dijo Charlie Bell, vicepresidente ejecutivo de Microsoft Security, en una publicación compartida con las noticias de los hackers antes de la publicación.
Microsoft también señaló que el 90% de los tokens de identidad de Microsoft Entra ID para aplicaciones de Microsoft están validados por un Kit de desarrollo de software de identidad endurecido (SDK) y que el 92% de las cuentas de productividad de los empleados ahora están utilizando la autenticación multifactor de phishing resistente al phishing (MFA) para mitigar el riesgo de los cibernético avanzados.
Además de aislar los sistemas de producción y hacer cumplir una política de retención de dos años para registros de seguridad, la compañía también dijo que está protegiendo el 81% de las sucursales del código de producción que usan MFA a través de controles de prueba de presencia.
«Para reducir el riesgo de movimiento lateral, estamos pilotando un proyecto para mover los flujos de trabajo y los escenarios de atención al cliente a un inquilino dedicado», agregó. «Las líneas de base de seguridad se aplican en todos los tipos de inquilinos de Microsoft, y un nuevo sistema de aprovisionamiento de inquilinos registra automáticamente a los nuevos inquilinos en nuestro sistema de respuesta de emergencia de seguridad».
Los cambios son parte de su Iniciativa Secure Future (SFI), que la compañía caracterizó como el «proyecto de ingeniería de ciberseguridad más grande de la historia y el esfuerzo más extenso de su tipo en Microsoft».
El SFI ganó tracción el año pasado en respuesta a un informe de la Junta de Revisión de Seguridad Cibernética de los Estados Unidos (CSRB), que criticó al gigante tecnológico por una serie de errores evitables que llevaron a la incumplimiento de casi dos docenas de compañías en Europa y los EE. UU. Por un grupo de estado nación con sede en China llamado Storm-0558 en 2023.
Microsoft, en julio de 2023, reveló que un error de validación en su código fuente permitió que Azure Active Directory (Azure AD) o los tokens de ID de Entra sean forjados por Storm-0558 utilizando una clave de firma del consumidor de MSA para infiltrarse en varias organizaciones y obtener acceso por correo electrónico no autorizado para la su posterior exfiltración de datos de bordes.
A fines del año pasado, la compañía también lanzó una iniciativa de resiliencia de Windows para mejorar la seguridad y la confiabilidad y evitar causar interrupciones del sistema como lo que sucedió durante el infame incidente de actualización de crowdstrike en julio de 2024.
Esto incluye una característica llamada Quick Machine Recovery, que permite a los administradores ejecutar correcciones específicas en las PC de Windows, incluso en situaciones en las que las máquinas no pueden arrancar. Está integrado en el entorno de recuperación de Windows (Winre).
«A diferencia de las opciones de reparación tradicionales que dependen de la intervención del usuario, se activa automáticamente cuando el sistema detecta la falla», dijo Rudy Ooms de Patch My PC a fines del mes pasado.
«Todo el proceso de remediación de la nube es bastante sencillo: verifica si los indicadores/configuraciones como la nubadremediación, la autoremediación y opcionalmente se establecen modos sin cabeza. Si el entorno cumple con las condiciones (como una red disponible y un complemento requerido), Windows inicia la recuperación en silencio».