Microsoft déplace chaque compte et la clé de signature de jeton ID ENTRA dans les modules de sécurité matérielle

Vantant ce qu'il appelle «le plus grand projet d'ingénierie de cybersécurité de l'histoire»

Microsoft is making progress on a broad cybersecurity initiative that was announced earlier this year following a high-profile hack of government email accounts that was traced to a Chinese threat actor.

Microsoft fait des progrès dans une large initiative de cybersécurité qui a été annoncée plus tôt cette année à la suite d'un piratage de comptes de messagerie gouvernemental de haut niveau qui a été retracé à un acteur de menace chinois.

In a blog post summarizing the Secure Future Initiative that was launched in November, Microsoft security chief Charlie Bell said five of the program’s 28 objectives are “near completion” and that 11 others have made “significant progress.” Among these achievements, Bell highlighted the completion of a project to put all Microsoft Account and Entra ID token-signing keys into hardware security modules or Azure confidential virtual machines and the hardening of the company’s software development kit to validate first-party identity tokens.

Dans un article de blog résumant l'initiative Secure Future qui a été lancée en novembre, le chef de la sécurité de Microsoft, Charlie Bell, a déclaré que cinq des 28 objectifs du programme étaient «presque terminés» et que 11 autres ont fait des «progrès significatifs». Parmi ces réalisations, Bell a mis en évidence l'achèvement d'un projet pour mettre tous les clés de signalisation des jetons Microsoft et ID ENTRA dans les modules de sécurité matérielle ou les machines virtuelles confidentielles Azure et le durcissement du kit de développement logiciel de l'entreprise pour valider les jetons d'identité première.

“We’ve applied new defense-in-depth protections in response to our Red Team research and assessments, migrated the MSA signing service to Azure confidential VMs, and are migrating Entra ID signing service to the same,” Bell said.

"Nous avons appliqué de nouvelles protections en matière de défense en profondeur en réponse à nos recherches et évaluations de l'équipe rouge, migré le service de signature de MSA vers Azure Confidential VMS et migration le service de signature d'identification ENTRA vers le même", a déclaré Bell.

He noted that each of these improvements help mitigate the attack vectors that we suspect the actor used in a Chinese APT attack on Microsoft.

Il a noté que chacune de ces améliorations aide à atténuer les vecteurs d'attaque que nous soupçonnons l'acteur utilisé dans une attaque chinoise apt contre Microsoft.

Microsoft has publicly blamed the incident on a crash dump stolen from a hacked engineer’s corporate account. The crash dump, which dated back to April 2021, contained a Microsoft account (MSA) consumer key that was used to forge tokens to break into OWA and Outlook.com accounts.

Microsoft a publiquement blâmé l'incident sur un vidage de crash volé au compte d'entreprise d'un ingénieur piraté. Le vidage de crash, qui remonte à avril 2021, contenait une clé de consommation de compte Microsoft (MSA) qui a été utilisée pour forger des jetons pour pénétrer dans les comptes OWA et Outlook.com.

On the architecture side, Bell reported the purging of 6.3 million dormant Azure tenants to protect cloud tenants and isolate production systems.

Du côté de l'architecture, Bell a signalé la purge de 6,3 millions de locataires dormants Azure pour protéger les locataires cloud et isoler les systèmes de production.

Microsoft also reported the migration of 88 percent of active resources into Azure Resource Manager for tighter policy enforcement and the segmenting of 4.4 million managed identities so they can authenticate only from approved network locations.

Microsoft a également signalé la migration de 88% des ressources actives dans Azure Resource Manager pour l'application des politiques plus stricte et la segmentation de 4,4 millions d'identités gérées afin qu'elles ne puissent s'authentifier que des emplacements de réseau approuvés.

The Secure Future Initiative was publicly rolled out in November 2023 with a promise to deliver faster cloud patches, better management of identity signing keys and a commitment to ship software with a higher default security bar.

L'initiative Secure Future a été publiée publiquement en novembre 2023 avec une promesse de livrer des correctifs cloud plus rapides, une meilleure gestion des clés de signature d'identité et un engagement à expédier des logiciels avec une barre de sécurité par défaut plus élevée.

Microsoft has itself faced intense criticism for its own approach to third-party vulnerability research of its cloud products and continues to struggle with faulty and incomplete patches and a surge in Windows zero-day attacks.

Microsoft a lui-même fait face à des critiques intenses pour sa propre approche de la recherche de vulnérabilité tierce sur ses produits cloud et continue de lutter avec des correctifs défectueux et incomplètes et une augmentation des attaques de Windows Zero-Day.