imágenes falsas
La Junta Federal de Revisión de Ciberseguridad publicó un informe sobre cómo los piratas informáticos chinos robaron cientos de miles de correos electrónicos de clientes de la nube, incluidas agencias federales, el verano pasado. El informe cita una “cadena de fallos de seguridad en Microsoft” y concluye que “la cultura de seguridad de Microsoft es inadecuada” y que debe adaptarse a una “nueva normalidad” dirigida a los proveedores de nube.
El informe, ordenado por el presidente Biden en respuesta a la violación generalizada, detalla las medidas que tomó Microsoft antes, durante y después de la violación, y encontró fallas significativas en cada caso. El informe afirma que Microsoft no sabe exactamente cómo entró Storm 0558, un “grupo de hackers que se cree que tiene vínculos con la República Popular China”, pero que la intrusión era “prevenible”.
“A través de esta investigación, la Junta identificó una serie de decisiones operativas y estratégicas en Microsoft que en conjunto apuntan a una cultura corporativa que ignora tanto las inversiones en seguridad de la empresa como la gestión rigurosa de riesgos”.
El informe afirma que Microsoft “cooperó plenamente con las deliberaciones del comité”. Un portavoz de Microsoft emitió un comunicado sobre el informe. “Apreciamos los esfuerzos de la CSRB para examinar el impacto de los actores amenazadores de estados-nación bien financiados que operan continuamente y sin una disuasión significativa”, dice el comunicado. “Los acontecimientos recientes demuestran la necesidad de adoptar una nueva cultura de ingeniería de seguridad en nuestras redes, como anunciamos con la Iniciativa Futuro Seguro”. Microsoft dijo que reforzaría sus sistemas e implementaría más sensores y registros para “detectar y derrotar a las fuerzas cibernéticas adversarias” y que “revisaría el informe final y haría recomendaciones adicionales”.
“Declaraciones públicas inexactas” y misterios sin resolver
Establecida hace dos años, la Junta de Revisión de Seguridad Cibernética (CSRB) está compuesta por agencias gubernamentales y partes interesadas de la industria, incluidos el Departamento de Seguridad Nacional, el Departamento de Justicia, el Departamento de Defensa, la NSA y el FBI. Microsoft proporciona servicios basados en la nube, como Exchange y Azure, a muchas agencias gubernamentales, incluidos los consulados.
Microsoft publicó anteriormente una versión de su historia sobre la infracción que evitaba específicamente las palabras “vulnerabilidad”, “explotación” y “día cero”. Una publicación de Microsoft de julio de 2023 cita una clave de firma inactiva obtenida por Storm-0558, que luego se usó para falsificar un token para el servicio en la nube de Azure AD que almacena la clave para los inicios de sesión utilizados. Esto fue “posible gracias a un error de validación en el código de Microsoft”, escribió Microsoft.
El Congreso y las agencias gubernamentales han exigido más divulgación por parte de Microsoft, y otros partidos, incluido el director ejecutivo de Tenable, han ofrecido evaluaciones más duras. En septiembre, la empresa cumplió con esa solicitud. Microsoft dijo que fue la cuenta del ingeniero la que fue pirateada y que los atacantes pudieron acceder a la estación de trabajo que de otro modo estaría bloqueada, a la clave de firma del consumidor y, lo que es más importante, al volcado de memoria, que fue trasladado a un entorno de depuración. Una “condición de carrera” provocó que fallara el mecanismo para eliminar las claves de firma y otros datos confidenciales de los volcados de memoria. Además, debido a un “error humano”, se utilizó una clave de firma vencida para falsificar tokens para la última oferta empresarial.
Para determinar el fracaso de Microsoft, la CSRB citó declaraciones públicas que retuvieron y ocultaron esta información. “Microsoft ha tomado la decisión de no corregir declaraciones públicas inexactas sobre este incidente de manera oportuna, incluida una declaración de la compañía de que Microsoft cree haber identificado la posible causa raíz de la intrusión”, dice el informe. “Puede incluirse, pero”. Aún no ha sido identificado.” Microsoft también señala que no actualizó su publicación de blog de septiembre de 2023 sobre la causa de la infracción hasta marzo de 2024. (En una publicación de blog actualizada, Microsoft dijo que “fue después de que el comité concluyó su revisión y el comité hizo preguntas repetidamente sobre los planes de Microsoft para emitir una corrección”).
Diagrama CSRB que detalla cómo se llevó a cabo la violación de Exchange 2023 de Microsoft.
CSRB
Fuente: https://arstechnica.com/information-technology/2024/04/microsoft-blamed-for-a-cascade-of-security-failures-in-exchange-breach-report/