imágenes falsas
Los piratas informáticos del estado ruso explotaron una contraseña débil para comprometer la red corporativa de Microsoft y accedieron a correos electrónicos y documentos que pertenecían a altos ejecutivos y empleados que trabajaban en equipos legales y de seguridad, dijo Microsoft el viernes por la noche.
El ataque, que Microsoft atribuyó a un grupo de piratas informáticos respaldado por el Kremlin al que rastrea como Midnight Blizzard, es al menos la segunda vez en tantos años que las fallas en seguir una higiene de seguridad básica han resultado en una violación que tiene el potencial de dañar a los clientes. Un párrafo de la divulgación del viernes, presentada ante la Comisión de Bolsa y Valores, era alucinante:
A partir de finales de noviembre de 2023, el actor de amenazas utilizó un ataque de pulverización de contraseñas para comprometer una cuenta de inquilino de prueba heredada que no era de producción y hacerse un hueco, y luego utilizó los permisos de la cuenta para acceder a un porcentaje muy pequeño de cuentas de correo electrónico corporativas de Microsoft, incluidos los miembros de nuestro equipo de liderazgo senior y empleados en nuestras funciones legales, de ciberseguridad y de otro tipo, y exfiltró algunos correos electrónicos y documentos adjuntos. La investigación indica que inicialmente apuntaban a cuentas de correo electrónico en busca de información relacionada con Midnight Blizzard. Estamos en el proceso de notificar a los empleados cuyo correo electrónico fue accedido.
Microsoft no detectó la infracción hasta el 12 de enero, exactamente una semana antes de la divulgación del viernes. La descripción que hace Microsoft del incidente plantea la posibilidad de que los piratas informáticos rusos tuvieran acceso ininterrumpido a las cuentas durante hasta dos meses.
Una traducción de las 93 palabras citadas anteriormente: Un dispositivo dentro de la red de Microsoft estaba protegido por una contraseña débil sin emplear ningún tipo de autenticación de dos factores. El grupo adversario ruso pudo adivinarla acribillándola con contraseñas previamente comprometidas o de uso común hasta que finalmente dieron con la correcta. Luego, el actor de amenazas accedió a la cuenta.
Además, esta “cuenta de inquilino de prueba heredada que no es de producción” se configuró de alguna manera para que Midnight Blizzard pudiera pivotar y obtener acceso a algunas de las cuentas de empleados más importantes y confidenciales de la empresa.
Como escribió en Mastodon Steve Bellovin, profesor de informática y profesor afiliado de derecho en la Universidad de Columbia con décadas de experiencia en ciberseguridad:
Si bien Microsoft dijo que no tenía conocimiento de ninguna evidencia de que Midnight Blizzard hubiera obtenido acceso a entornos de clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial, algunos investigadores expresaron dudas, particularmente sobre si el servicio Microsoft 365 podría ser o haber sido susceptible a técnicas de ataque similares. Uno de los investigadores fue Kevin Beaumont, quien tuvo una larga carrera en ciberseguridad que incluyó un período de trabajo para Microsoft. En LinkedIn, escribió:
El personal de Microsoft usa Microsoft 365 para el correo electrónico. Las presentaciones ante la SEC y los blogs sin detalles del viernes por la noche son geniales… pero habrá que seguirlos con detalles reales. La era de Microsoft haciendo tiendas de campaña, palabras clave de incidentes, CELA haciendo cosas y fingiendo que MSTIC ve todo (los actores de amenazas también tienen Mac) ha terminado; necesitan hacer una transformación técnica y cultural radical para mantener la confianza.
CELA es la abreviatura de Asuntos Corporativos, Externos y Legales, un grupo dentro de Microsoft que ayuda a redactar divulgaciones. MSTIC significa Centro de inteligencia de amenazas de Microsoft.