Microsoft izdao hitno upozorenje! Menjajte lozinke odmah, razlog je vrlo specifičan

Microsoft je izdao hitno upozorenje organizacijama da reaguju odmah i promene lozinke, nakon onoga što njihov Microsoft Defender Security Research Team opisuje kao jedan od najozbiljnijih kompromisa u cloud okruženju u poslednje vreme. U fokusu je kampanja koja se povezuje sa napadima nazvanim Shai-Hulud 2.0, a opisuje se kao agresivna eskalacija ranijih napada na lanac snabdevanja softverom.

Teme za vas

Prema Microsoftu, nova kampanja donosi više automatizacije, brže širenje i širi izbor meta. Posebno je osetljivo to što se zlonamerni kod može aktivirati u fazi pre instalacije kod kompromitovanih npm paketa, što znači da se dešava pre nego što uobičajene bezbednosne provere uopšte dođu na red.

Problem je dodatno opasan zato što se ukradene akreditive i tajne vrednosti, prema opisu kampanje, iznose i završavaju u javnim repozitorijumima pod kontrolom napadača, što otvara vrata novim upadima i širenju kompromitacije na druge sisteme.

Šta tačno traže napadači i zašto je ovo opasno i za velike timove

U ranijem upozorenju američke agencije CISA pominjao se samoreplikujući crv Shai-Hulud koji cilja API ključeve za cloud servise poput Amazon Web Services, Google Cloud Platform i Microsoft Azure. Sada Microsoft objavljuje nova uputstva za otkrivanje, istragu i odbranu od napada na lanac snabdevanja, u trenutku kada se u priču uvodi Shai-Hulud 2.0.

Bezbednosni istraživači koje izvor navodi ističu da je napad neuobičajeno agresivan jer aktivacija dolazi pre završetka instalacije, dok se tajne vrednosti i pristupi brzo iznose u repozitorijume napadača. U praksi, to znači da napadači mogu da dođu do velikog broja cloud i developerskih kredencijala u kratkom roku, posebno u okruženjima gde se oslanjate na automatizaciju i razvojne tokove.

Microsoft takođe naglašava da su ovakvi agentični i dugotrajni napadi posebno rizični zbog problema halucinacija i pogrešnih odluka kod AI sistema, ali ovde je suština drugačija: napadači koriste automatizaciju i brzinu kako bi kompromitacija stigla dalje pre nego što timovi shvate šta se dešava. Upozorenje je jasno da ovo nije scenario koji treba posmatrati kao izolovan incident, već kao kampanju koja može da se prelije kroz ceo razvojni lanac.

Šta Microsoft traži da uradite odmah

Preporuke kompanije Microsoft su direktne i bez uvijanja. Organizacijama se savetuje da hitno rotiraju i opozovu kompromitovane kredencijale, da provere Key Vault resurse i relevantne logove zbog znakova neovlašćenog pristupa, kao i da izoluju pogođene CI/CD agente ili radna okruženja. Naglasak je i na tome da se prioritet daju najrizičnijim putanjama napada kako bi se smanjila dalja izloženost, kao i da se uklone nepotrebne uloge i privilegije koje imaju identiteti vezani za CI/CD procese, uz posebno pažljivu proveru pristupa sefovima sa ključevima.

Poenta upozorenja je da ne čekate. Ako u vašem okruženju postoje cloud ključevi, tajne vrednosti, automatizovani deployment tokovi i repozitorijumi, ovo je tip kampanje koja se širi brzo i oslanja se na to da će reakcija kasniti. Microsoftov ton je jasan: reakcija mora biti trenutna, jer je ulog prevelik kada se kompromituju pristupi cloud infrastrukturi.

(Telegraf Biznis)