Microsoft verschiebt jedes Konto und die Entra-ID-Token-Signing-Schlüssel in Hardware-Sicherheitsmodule

Werbung, was es als "das größte Cybersecurity Engineering -Projekt in der Geschichte" bezeichnet.

Microsoft is making progress on a broad cybersecurity initiative that was announced earlier this year following a high-profile hack of government email accounts that was traced to a Chinese threat actor.

Microsoft macht Fortschritte bei einer breiten Cybersicherheitsinitiative, die Anfang dieses Jahres nach einem hochkarätigen Hack von staatlichen E-Mail-Konten angekündigt wurde, der auf einen chinesischen Bedrohungsakteur zurückzuführen war.

In a blog post summarizing the Secure Future Initiative that was launched in November, Microsoft security chief Charlie Bell said five of the program’s 28 objectives are “near completion” and that 11 others have made “significant progress.” Among these achievements, Bell highlighted the completion of a project to put all Microsoft Account and Entra ID token-signing keys into hardware security modules or Azure confidential virtual machines and the hardening of the company’s software development kit to validate first-party identity tokens.

In einem Blog -Beitrag, in dem die im November eingeführte sichere zukünftige Initiative zusammengefasst wurde, sagte Microsoft Security Chef Charlie Bell, fünf der 28 Ziele des Programms seien „nahezu vollständig“ und dass 11 andere „bedeutende Fortschritte“ erzielt haben. Unter diesen Errungenschaften hob Bell die Fertigstellung eines Projekts zur Eingabe aller Microsoft-Konto- und Entra-ID-Token-Signing-Schlüssel in Hardware-Sicherheitsmodule oder Azure Confidential Virtual Machines sowie die Härtung des Softwareentwicklungskits des Unternehmens zur Validierung von Identitäts-Token des Unternehmens ein.

“We’ve applied new defense-in-depth protections in response to our Red Team research and assessments, migrated the MSA signing service to Azure confidential VMs, and are migrating Entra ID signing service to the same,” Bell said.

"Wir haben neue Schutzmaßnahmen in den Tiefen als Reaktion auf unsere Forschung und Bewertungen des Roten Teams angewendet, den MSA-Unterzeichnungsdienst in Azure Confidential VMs migriert und migriert den Entra-ID-Signierdienst auf denselben", sagte Bell.

He noted that each of these improvements help mitigate the attack vectors that we suspect the actor used in a Chinese APT attack on Microsoft.

Er stellte fest, dass jede dieser Verbesserungen dazu beitragen, die Angriffsvektoren zu mildern, von denen wir vermuten, dass der Schauspieler in einem chinesischen Angriff auf Microsoft verwendet wird.

Microsoft has publicly blamed the incident on a crash dump stolen from a hacked engineer’s corporate account. The crash dump, which dated back to April 2021, contained a Microsoft account (MSA) consumer key that was used to forge tokens to break into OWA and Outlook.com accounts.

Microsoft hat den Vorfall öffentlich auf einem Crash -Dump verantwortlich gemacht, das vom Unternehmenskonto eines gehackten Ingenieurs gestohlen wurde. Der Crash -Dump, der bis April 2021 zurückreicht, enthielt einen Microsoft Account (MSA) -Konstallierschlüssel, mit dem Tokens zum Einbruch in OWA- und Outlook.com -Konten eingebrochen wurden.

On the architecture side, Bell reported the purging of 6.3 million dormant Azure tenants to protect cloud tenants and isolate production systems.

Auf der Architekturseite berichtete Bell über die Spülung von 6,3 Millionen ruhenden Azure -Mietern, um Wolkenmieter zu schützen und Produktionssysteme zu isolieren.

Microsoft also reported the migration of 88 percent of active resources into Azure Resource Manager for tighter policy enforcement and the segmenting of 4.4 million managed identities so they can authenticate only from approved network locations.

Microsoft meldete außerdem die Migration von 88 Prozent der aktiven Ressourcen in Azure Resource Manager für strengere Durchsetzung der Richtlinien und die Segmentierung von 4,4 Millionen verwalteten Identitäten, damit sie nur von zugelassenen Netzwerkstandorten authentifizieren können.

The Secure Future Initiative was publicly rolled out in November 2023 with a promise to deliver faster cloud patches, better management of identity signing keys and a commitment to ship software with a higher default security bar.

Die sichere zukünftige Initiative wurde im November 2023 öffentlich mit dem Versprechen, schnellere Cloud -Patches, ein besseres Management von Identitätssignierschlüssel und eine Verpflichtung für die Versand von Software mit einer höheren Sicherheitsleiste für die Identitätsunterzeichnung zu versprechen.

Microsoft has itself faced intense criticism for its own approach to third-party vulnerability research of its cloud products and continues to struggle with faulty and incomplete patches and a surge in Windows zero-day attacks.

Microsoft wurde selbst intensiv für seinen eigenen Ansatz zur Schwachstellenforschung seiner Cloud-Produkte von Drittanbietern konfrontiert und kämpft weiterhin mit fehlerhaften und unvollständigen Patches und einem Anstieg der Windows-Angriffe in den Windows-Dull-Days.