La filtración de cuentas de correo electrónico pertenecientes a múltiples agencias gubernamentales de EE. UU. en 2023 fue “evitable y nunca debería haber ocurrido”, según un nuevo informe de la Junta Federal de Revisión de Ciberseguridad.
La violación del correo electrónico en la nube de Microsoft que afectó a varias agencias federales en 2023 fue “evitable y nunca debería haber ocurrido”, según un nuevo informe publicado por la Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB).
Un panel del Departamento de Seguridad Nacional dijo que determinó que “la cultura de seguridad de Microsoft es inadecuada y requiere una revisión completa”. Se trata de una cuestión urgente “dado el papel central de la empresa en el ecosistema tecnológico y el nivel de confianza que sus clientes depositan en ella para proteger sus datos y operaciones”.
[Related: CrowdStrike CEO George Kurtz: Microsoft’s ‘Failures’ Put Everyone At Risk]
La filtración de correo electrónico en la nube de Microsoft, descubierta por primera vez en junio de 2023, comprometió cuentas de correo electrónico en varias agencias gubernamentales de EE. UU. También se sabe que el ataque afectó los correos electrónicos de la Secretaria de Comercio, Gina Raimondo, otros funcionarios del Departamento de Comercio, el congresista Don Bacon y el embajador en China, Nicholas Burns.
El incidente se atribuyó a un actor de amenazas vinculado a China rastreado como Storm-0558 y ha sido investigado por la CSRB desde agosto del año pasado. La comisión no tiene poderes regulatorios y no es una agencia de aplicación de la ley.
“Cadena de errores”
El informe de 34 páginas de la CSRB examina, en palabras del autor, “una serie de errores evitables de Microsoft que permitieron que esta intrusión tuviera éxito”.
Las fallas de Microsoft incluyen “no detectar de forma independiente una violación en su tecnología de cifrado y, en cambio, confiar en las comunicaciones de los clientes para identificar las anomalías que observaron”. “No detectar un compromiso en las computadoras portátiles de los empleados de una empresa recientemente adquirida antes de permitirles conectarse a Microsoft”. red corporativa en 2021″ y “No corregir oportunamente declaraciones públicas inexactas sobre el incidente”.
En particular, la CSRB dijo que también evaluó “las prácticas de seguridad de otros proveedores de servicios en la nube que cuentan con controles de seguridad que Microsoft no tiene”.
CRN se ha puesto en contacto con Microsoft para solicitar comentarios.
Informes anteriores decían que la violación resultó en el robo de un total de 60.000 correos electrónicos de 10 cuentas del Departamento de Estado de EE. UU.
“Storm-0558 tuvo acceso a algunos de estos buzones de correo basados en la nube durante al menos seis semanas”, según el informe de la CSRB.
Se necesitan grandes cambios
La CSRB finalmente concluyó que Microsoft ya no hacía de la seguridad una prioridad máxima, como lo demostró el famoso memorando de Bill Gates de 2002 sobre “Computación confiable”, que fue citado extensamente en el informe de la CSRB.
La conclusión, según el informe, es que “Microsoft se ha desviado de este espíritu y debe restaurarlo inmediatamente como una máxima prioridad corporativa”. El informe señala que la CSRB está “consciente de los cambios recientes en el liderazgo de seguridad de Microsoft y de la Iniciativa Futuro Seguro anunciada en noviembre de 2023”.
Microsoft anunció en ese momento que introduciría una serie de cambios importantes en su proceso de ingeniería de software destinados a mejorar la seguridad de su plataforma ampliamente utilizada.
La CSRB señaló que la iniciativa, tal como está, es insuficiente para abordar los problemas de seguridad de la empresa. “La Junta cree que estas y otras iniciativas relacionadas con la seguridad deberían ser supervisadas directa y estrechamente por el CEO y la Junta Directiva de Microsoft, y que todos los altos directivos deberían implementar los cambios necesarios con la mayor urgencia. “Creemos que debemos asumir la responsabilidad de ello”. hacerlo”, afirma el informe.
Fuente: https://www.crn.com/news/security/2024/microsoft-s-inadequate-security-behind-cloud-email-breach-us-review-board