imágenes falsas
Un senador de EE. UU. está pidiendo al Departamento de Justicia que responsabilice a Microsoft por las «prácticas negligentes de ciberseguridad» que permitieron a los hackers de espionaje chinos robar cientos de miles de correos electrónicos de clientes de la nube, incluidos funcionarios de los Departamentos de Estado y Comercio de EE. UU.
“Hacer responsable a Microsoft por su negligencia requerirá un esfuerzo de todo el gobierno”, escribió Ron Wyden (D-Ore.) en una carta. Fue enviado el jueves a los jefes del Departamento de Justicia, la Agencia de Seguridad de Infraestructura y Ciberseguridad y la Comisión Federal de Comercio.
Inclinándose hacia atrás
Los comentarios de Wyden se hacen eco de los de otros críticos que dicen que Microsoft está ocultando detalles clave sobre un hackeo reciente. En las revelaciones relacionadas con el incidente hasta el momento, Microsoft se ha esforzado al máximo para evitar decir que su infraestructura, incluido Azure Active Directory, una parte supuestamente fortificada de las ofertas en la nube de Microsoft que las grandes organizaciones usan para administrar el inicio de sesión único y la autenticación multifactor, fue violada. Los críticos han dicho que los detalles que Microsoft ha revelado hasta ahora conducen a la conclusión ineludible de que se explotaron las vulnerabilidades en el código de Azure AD y otras ofertas en la nube para lograr el hackeo exitoso.
El fabricante de software y el proveedor de la nube indicaron que el compromiso se debió a la activación de debilidades en Azure AD o en su servicio de correo electrónico Exchange Online. El equipo de inteligencia de amenazas de Microsoft ha dicho que Storm-0558, un equipo de piratería con sede en China que realiza espionaje en nombre del gobierno de ese país, los explotó a partir del 15 de mayo. Microsoft expulsó a los atacantes el 16 de junio después de que un cliente informara a los investigadores de la empresa de la intrusión Para entonces, Storm-0558 había violado cuentas pertenecientes a 25 organizaciones.
Microsoft ha utilizado términos amorfos como «problema», «error» y «defecto» al intentar explicar cómo los piratas informáticos del estado-nación rastrearon las cuentas de correo electrónico de algunos de los clientes más importantes de la empresa. Una de esas debilidades permitió a los atacantes adquirir una clave de cifrado de cuenta de Microsoft vencida que se usa para iniciar sesión en las cuentas de Exchange de los consumidores. Hace trece días, la compañía dijo que aún no sabía cómo Storm-0558 adquirió la clave y aún no ha proporcionado ninguna actualización desde entonces.
Microsoft dijo que un «análisis en profundidad» encontró que los piratas informáticos pudieron usar la cuenta de Microsoft, abreviada como MSA, clave para falsificar tokens de inicio de sesión de Azure AD válidos. Si bien Microsoft tenía la intención de que las claves MSA firmaran solo tokens para cuentas de consumidores, los piratas informáticos lograron usarlas para firmar tokens para acceder a Azure AD. La falsificación, dijo Microsoft, “fue posible gracias a un error de validación en el código de Microsoft”.
Wyden pidió al fiscal general de EE. UU., Merrick B. Garland, a la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Jen Easterly, y a la presidenta de la Comisión Federal de Comercio, Lina Khan, que responsabilicen a Microsoft por la violación. Acusó a Microsoft de ocultar el papel que desempeñó en el ataque a la cadena de suministro de SolarWinds, que los piratas informáticos del Kremlin utilizaron para infectar a 18.000 clientes del fabricante de software de administración de redes de Austin, Texas. Un subconjunto de esos clientes, incluidas nueve agencias federales y 100 organizaciones, recibió ataques de seguimiento que violaron sus redes.
Comparó esas prácticas en el caso de SolarWinds con las que dijo que condujeron a la violación más reciente de los Departamentos de Comercio y Estado y los otros grandes clientes.
En la carta del jueves, Wyden escribió:
Incluso con los detalles limitados que se han hecho públicos hasta ahora, Microsoft tiene una gran responsabilidad por este nuevo incidente. Primero, Microsoft no debería haber tenido una sola clave maestra que, cuando inevitablemente se la roban, podría usarse para falsificar el acceso a las comunicaciones privadas de diferentes clientes. En segundo lugar, como señaló Microsoft después del incidente de SolarWinds, las claves de cifrado de alto valor deben almacenarse en un HSM, cuya única función es evitar el robo de claves de cifrado. Pero la admisión de Microsoft de que ahora han trasladado las claves de encriptación del consumidor a un «almacén de claves reforzado utilizado para nuestros sistemas empresariales» plantea serias dudas sobre si Microsoft siguió sus propios consejos de seguridad y almacenó dichas claves en un HSM. En tercer lugar, la clave de cifrado utilizada en este último hackeo fue creada por Microsoft en 2016 y expiró en 2021. Las pautas federales de ciberseguridad, las mejores prácticas de la industria y las propias recomendaciones de Microsoft para los clientes dictan que las claves de cifrado se actualicen con más frecuencia, por muy razón por la que podrían verse comprometidos. Y los tokens de autenticación firmados por una clave caducada nunca deberían haber sido aceptados como válidos. Finalmente, si bien los ingenieros de Microsoft nunca debieron haber implementado sistemas que violaran estos principios básicos de ciberseguridad, estas fallas obvias deberían haber sido detectadas por las auditorías de seguridad internas y externas de Microsoft. El hecho de que estas fallas no se detectaran plantea dudas sobre qué otros defectos graves de ciberseguridad también pasaron por alto estos auditores.
Los comentarios de Wyden se produjeron seis días después de que los investigadores de la firma de seguridad Wiz informaron que la clave MSA adquirida por los piratas informáticos les dio la capacidad de falsificar tokens para múltiples tipos de aplicaciones de Azure Active Directory. Incluyen todas las aplicaciones que admiten la autenticación de cuentas personales, como SharePoint, Teams, OneDrive y algunas aplicaciones personalizadas.
“El impacto total de este incidente es mucho mayor de lo que inicialmente entendimos”, escribieron los investigadores de Wiz. “Creemos que este evento tendrá implicaciones duraderas en nuestra confianza en la nube y los componentes centrales que la respaldan, sobre todo, la capa de identidad que es el tejido básico de todo lo que hacemos en la nube. Debemos aprender de ello y mejorar”.