De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security hebben vitale organisaties opgeroepen om hun Exchange Online-omgeving te monitoren. Aanleiding is een aanval waarbij aanvallers via een Microsoft account (MSA) consumer signing key valse authenticatietokens maakten, en zo toegang tot de e-mailaccounts van zo'n 25 organisaties kregen, alsmede accounts van eindgebruikers.

De aanval kwam aan het licht toen een Amerikaanse overheidsinstantie verdachte activiteit in hun Microsoft 365 cloudomgeving waarnam. De overheidsinstantie informeerde Microsoft en het CISA, waarna de aanval werd ontdekt. Volgens de FBI en het CISA kunnen organisaties hun "cyberpostuur" versterken en dergelijke aanvallen detecteren door de gedane aanbevelingen over logging op te volgen.

De Amerikaanse overheidsinstantie detecteerde de verdachte activiteit door van uitgebreide logging gebruik te maken, waarbij er met name naar "MailItemsAccessed" events werd gekeken. De FBI en het CISA stellen dat het mogelijk is om lastig te detecteren activiteiten van aanvallers via MailItemsAccessed events toch te detecteren. De twee diensten voegen toe dat ze niet bekend zijn met andere auditlogs of events waarmee de activiteit gedetecteerd had kunnen worden.

In een vandaag gepubliceerde advisory worden verschillende aanbevelingen gedaan voor logging bij Exchange Online-omgevingen. "Hoewel deze mitigaties niet kunnen voorkomen wanneer aanvallers misbruik maken van gecompromitteerde consumer keys, verminderen ze de impact van minder geraffineerde activiteit gericht tegen cloudomgevingen", aldus de diensten.