La Junta de Revisión de Seguridad Cibernética condena las fallas de seguridad de Microsoft

Escuche este artículo. Esta voz fue generada por IA.

La Junta de Revisión de Seguridad Cibernética del Departamento de Seguridad Nacional de EE. UU. dijo en un informe publicado el martes que la cultura de seguridad de Microsoft es “inadecuada y requiere una revisión completa”.

La Junta de Revisión de Seguridad Cibernética (CSRB) inició una investigación tras un ciberataque de alto perfil anunciado por Microsoft en julio de 2023. En este ataque, un actor de amenazas estatal chino rastreado como Storm-0558 comprometió las cuentas de correo electrónico de 22 organizaciones, incluidas agencias federales. Los actores de amenazas utilizaron claves de firma de cuentas de Microsoft (MSA) robadas para falsificar tokens de autenticación y acceder a cuentas de correo electrónico mediante Outlook Web Access y Outlook.com en Exchange Online.

En un aviso de CISA publicado en ese momento, la agencia cibernética de EE. UU. dijo que una agencia del gobierno civil federal detectó actividad sospechosa en un entorno de Microsoft 365 en algún momento del último mes. Esta infracción se detectó porque la licencia 365 de la agencia incluía una funcionalidad mejorada de registro en la nube, que en ese momento solo estaba disponible en el nivel de suscripción más alto y costoso. Microsoft abordó este último problema en septiembre, haciendo que las funciones de registro premium estén más disponibles.

El informe de la CSRB, fechado el 20 de marzo y publicado el martes por la noche, estaba preparado para conocer más sobre el incidente y por qué ocurrió. La principal conclusión de la CSRB fue que “esta intrusión nunca debería haber ocurrido”.

“Storm-0558 tuvo éxito debido a una serie de fallas de seguridad de Microsoft, como se describe en este informe”, dijeron el presidente de la CSRB, Robert Silvers, y el vicepresidente, Dmitri Alperovitch, en el prólogo del informe. “Hoy, el Comité recomienda que Microsoft garantice que esta importante empresa en el centro del ecosistema tecnológico priorice la seguridad en beneficio de sus más de mil millones de clientes”.

Como parte de sus conclusiones, el comité determinó que “la cultura de seguridad de Microsoft es inadecuada y requiere una revisión completa”. La CSRB dijo que esto se debía a que Microsoft “no pudo detectar una violación ultrasecreta de la tecnología criptográfica” y, en cambio, confió en sus clientes, en este caso el Departamento de Estado de EE. UU., para informar la actividad de Storm-0558 a la compañía en la que afirma tener su sede. en

La CSRB también citó la falta de controles de seguridad de Microsoft que tienen otros proveedores de nube, el ataque del estado ruso que sufrió Microsoft en enero y la adopción generalizada y la importancia crítica de la línea de productos de Microsoft. En base a esto, también concluyeron sobre la responsabilidad de Microsoft.

Uno de los aspectos más importantes de los hallazgos de la CSRB es que Microsoft aún no sabe cómo o cuándo fueron robadas las claves de firma de MSA, según el informe. Además, la comisión criticó las declaraciones públicas de la empresa sobre el ataque y cómo se robaron las llaves por ser inexactas.

Microsoft afirmó en una publicación de blog de septiembre que la clave MSA se incluyó accidentalmente en un volcado de memoria de un sistema de firma de consumidores dentro de su red interna. La publicación del blog afirma que los atacantes Storm-0558 obtuvieron las credenciales de un ingeniero de Microsoft y utilizaron esa cuenta para acceder al entorno de depuración que contiene las claves. Sin embargo, la investigación de la CSRB encontró que “Microsoft no tiene pruebas ni registros que indiquen que las claves robadas estuvieran presentes o extraídas del volcado de memoria”. Sin embargo, la publicación del blog de Microsoft no se actualizó hasta el 12 de marzo.

“Microsoft ha tomado la decisión de no corregir declaraciones públicas inexactas sobre este incidente de manera oportuna, incluida la declaración de la compañía de que Microsoft cree haber identificado la causa raíz probable de la intrusión. Microsoft reconoció ante su junta directiva en noviembre de 2023 que su 6 de septiembre La publicación de blog de 2023 sobre la causa raíz era inexacta, pero la junta la revisó. “Para terminar, Microsoft no actualizó esa publicación hasta el 12 de marzo de 2024, después de repetidas preguntas de la junta sobre los planes de Microsoft de emitir una corrección”, dice el informe. estados.

Si bien algunos detalles del informe son nuevos, muchas de las críticas a las prácticas de seguridad de Microsoft no lo son. El año pasado, los expertos en seguridad de la información expresaron su descontento con las prácticas de seguridad de Microsoft en TechTarget Editorial. Los expertos criticaron a la empresa por su falta de transparencia, parches incompletos que fueron omitidos y prácticas de comunicación inestables con los investigadores de seguridad.

Y en enero, los ejecutivos criticaron a Microsoft por su respuesta a la violación de este año por parte de la organización estatal rusa Midnight Blizzard, también conocida como Cozy Bear y APT29. Los expertos en seguridad de la información respondieron en un blog de divulgación a la falta de autenticación multifactor en la cuenta del inquilino de prueba comprometida en el centro del ataque y a la aparente venta adicional de productos de seguridad por parte de Microsoft que llamó la atención.

El informe de la CSRB menciona claramente que Microsoft está dando prioridad a los negocios sobre la seguridad.

“A través de esta revisión, la Junta identificó una serie de decisiones operativas y estratégicas de Microsoft que colectivamente demuestran una cultura corporativa que no prioriza tanto las inversiones en seguridad corporativa como la gestión rigurosa de riesgos…” afirma el informe. “El liderazgo de Microsoft ha ordenado a los equipos internos de Microsoft que desprioricen el desarrollo de funciones en toda la infraestructura de nube y el conjunto de productos de la empresa hasta que se mejore significativamente la seguridad para evitar que se considere la competencia por los recursos”.

En una declaración compartida con TechTarget Editorial, un portavoz de Microsoft dijo que la compañía aprecia los esfuerzos de la CSRB y continuará adoptando una nueva cultura de ingeniería de acuerdo con la Iniciativa Futuro Seguro anunciada el otoño pasado. La declaración completa está a continuación:

“Apreciamos los esfuerzos de la CSRB para examinar el impacto de los actores de amenazas de estados-nación con buenos recursos que continúan operando sin una disuasión significativa, lo que demuestra la necesidad de una nueva cultura de ingeniería de seguridad en su red. Ninguna organización es inmune a los ataques cibernéticos. -adversarios con recursos, pero movilizamos a nuestros equipos de ingeniería para abordar problemas heredados. Identificamos y mitigamos la infraestructura, mejoramos los procesos y realizamos evaluaciones comparativas de seguridad. Nuestros ingenieros de seguridad continúan fortaleciendo todos los sistemas contra ataques para detectar y derrotar a las fuerzas cibernéticas adversas. sensores y registros más potentes para mejorar nuestras capacidades. También revisaremos el informe final para obtener recomendaciones adicionales”.

Alexander Culafi es redactor senior de noticias sobre seguridad de la información y presentador de podcasts en TechTarget Editorial.



Fuente: https://www.techtarget.com/searchsecurity/news/366577765/Cyber-Safety-Review-Board-slams-Microsoft-security-failures