Microsoft se enfrenta a la presión de un senador de EE. UU. por no evitar que los piratas informáticos patrocinados por el estado ingresen dos veces a los sistemas del gobierno de EE. UU.: durante el ataque a SolarWinds de 2020 y el ataque de correo electrónico basado en Outlook más reciente que se reveló este mes.
El senador Ron Wyden (D-Oregon) exige una investigación sobre Microsoft del Departamento de Justicia, la Comisión Federal de Comercio y la agencia de seguridad cibernética del país, CISA.
“Escribo para solicitar que sus agencias tomen medidas para responsabilizar a Microsoft por sus prácticas negligentes de ciberseguridad, que permitieron una exitosa campaña de espionaje chino contra el gobierno de los Estados Unidos”, escribió.(Se abre en una nueva ventana) el jueves.
Wyden dice que los piratas informáticos detrás del incidente de SolarWinds y la violación de Outlook obtuvieron acceso en parte debido a las malas prácticas de seguridad de Microsoft. Pero en lugar de admitir la culpa, el gigante del software supuestamente culpó a otros e instó a los clientes a seguir con los productos de Microsoft.
Por ejemplo, Wyden cita cómo los presuntos piratas informáticos chinos que irrumpieron en las cuentas de correo electrónico del gobierno de EE. UU. este mes lo hicieron utilizando tokens de autenticación falsificados para Exchange Online y Outlook.com. En su propia entrada de blog(Se abre en una nueva ventana)Microsoft reveló que los piratas informáticos adquirieron de alguna manera una «clave de firma del consumidor de la cuenta de Microsoft (MSA)», que también podría explotarse para falsificar los tokens de autenticación para las cuentas empresariales.
“Incluso con los detalles limitados que se han hecho públicos hasta ahora, Microsoft tiene una responsabilidad significativa por este nuevo incidente”, dice Wyden. “Primero, Microsoft no debería haber tenido una sola clave maestra que, cuando inevitablemente se la roban, podría usarse para falsificar el acceso a las comunicaciones privadas de diferentes clientes”.
El otro problema es que Microsoft olvidó almacenar tales claves de firma en una bóveda de hardware, conocida como módulo de seguridad de hardware, una práctica que Microsoft culpó a los clientes por no hacer durante la violación de SolarWinds, dice la carta de Wyden.
Luego, el senador criticó a la empresa por las claves de firma utilizadas en el hackeo de Outlook. De acuerdo a(Se abre en una nueva ventana) para el proveedor de seguridad en la nube Wiz, una clave era válida desde al menos 2016 antes de que fuera reemplazada en las últimas semanas. “Las pautas federales de seguridad cibernética, las mejores prácticas de la industria y las propias recomendaciones de Microsoft para los clientes dictan que las claves de cifrado se actualicen con más frecuencia, por la misma razón de que podrían verse comprometidas”, dice Wyden.
Recomendado por Nuestros Editores
Además, las auditorías internas y externas de Microsoft no detectaron la vulnerabilidad de firma de clave, lo que significa que es posible que los productos de la empresa contengan otros problemas. “Hacer responsable a Microsoft por su negligencia requerirá un esfuerzo de todo el gobierno”, agrega Wyden.
Microsoft no respondió de inmediato a una solicitud de comentarios. Mientras tanto, Wyden le está pidiendo al Fiscal General de los Estados Unidos, Merrick Garland, que investigue si Microsoft no cumplió con los estándares de seguridad cibernética requeridos mientras recibía fondos federales. Wyden también quiere que CISA investigue los recientes ataques a Outlook y el papel de Microsoft en ellos.
ACTUALIZAR: En respuesta a la carta de Wyden, Microsoft dijo: «Este incidente demuestra los desafíos en evolución de la ciberseguridad frente a los ataques sofisticados. Continuamos trabajando directamente con las agencias gubernamentales en este tema y mantenemos nuestro compromiso de continuar compartiendo información en el blog de Microsoft Threat Intelligence.(Se abre en una nueva ventana).»
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.