En sårbarhet i Microsofts e-postsystem skal ha satt russiske spioner i stand til å stjele sensitive data og tilgangsinformasjon fra USAs myndigheter, melder the Register.

Disse skal nå etter sigende være forsøkt brukt til å få tilgang til andre Microsoft-kunders systemer.

Opplysningene kommer frem i hastevedtaket som Cybersecurity and Infrastructure Security Agency («CISA») responderte med 2. april 2024.

Her beordres føderale byråer å gjennomgå og analysere innholdet i relevante e-poster, tilbakestille eventuell kompromittert informasjon, og ta ytterligere skritt for å sikre at autentiseringsverktøy for Microsoft Azure-kontoer er sikre.

CISA instruerte byråer om å rapportere status innen 8. april og gi en ytterligere statusoppdatering innen 1. mai. De må i tillegg gi ukentlige oppdateringer om hva de har gjort for å utbedre situasjonen, frem til ferdigstillelse. CISA har gitt etatene en rapporteringsmal og instrukser for dette formålet.