Después de que Microsoft admitiera que su plataforma Azure había sido violada por el grupo de piratas informáticos chino Storm-0558, el presidente y director ejecutivo del gigante de seguridad de redes Tenable, Amit Yoran, recurrió a la plataforma social LinkedIn, propiedad de Microsoft, para expresar sus quejas contra las prácticas de seguridad de Microsoft.

Citando una carta enviada recientemente por el senador estadounidense Ron Wyden a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Departamento de Justicia (DoJ) y la Comisión Federal de Comercio (FTC), Yoran pide a Microsoft que responda por la «falta de transparencia». «y un» patrón repetido de prácticas negligentes de ciberseguridad, que ha permitido el espionaje chino contra el gobierno de los Estados Unidos «(a través de The Verge).

Microsoft enfrenta crecientes críticas a raíz del ataque del mes pasado a Azure. En una publicación en LinkedInAmit Yoran, director ejecutivo de la empresa de seguridad cibernética Tenable, dice que el historial de seguridad cibernética de Microsoft es «incluso peor de lo que piensa», y tiene un ejemplo para respaldarlo.

El 12 de julio, Microsoft reveló una brecha importante apuntando a su plataforma Azure, que rastreó hasta un grupo de piratería chino conocido como Storm-0558. El ataque afectó a alrededor de 25 organizaciones diferentes y resultó en el robo de correos electrónicos confidenciales de funcionarios del gobierno de EE. UU. La semana pasada, el Senador Ron Wyden (D-OR) envió una carta al Departamento de Justicia de EE. UU., pidiéndole que responsabilice a Microsoft por «prácticas negligentes de ciberseguridad».

Yoran tiene más que agregar a los argumentos del senador, escribiendo en su publicación que Microsoft ha demostrado un «patrón repetido de prácticas negligentes de ciberseguridad», lo que permite a los piratas informáticos chinos espiar al gobierno de EE. UU. También reveló el descubrimiento de Tenable de un falla adicional de ciberseguridad en Microsoft Azure y dice que la empresa tardó demasiado en solucionarlo.

Tenable descubrió inicialmente la falla en marzo y descubrió que podía dar a los malos acceso a los datos confidenciales de una empresa, incluido un banco. Yoran afirma que Microsoft tardó «más de 90 días en implementar una solución parcial» después de que Tenable notificó a la empresa y agregó que la solución solo se aplica a «nuevas aplicaciones cargadas en el servicio». Según Yoran, el banco y todas las demás organizaciones «que habían lanzado el servicio antes de la solución» aún se ven afectados por la falla, y es probable que desconozcan ese riesgo.

Yoran dice que Microsoft planea solucionar el problema a fines de septiembre, pero llama a la respuesta tardía «extremadamente irresponsable, si no descaradamente negligente». También señala los datos del Proyecto Cero de Google, que indican que los productos de Microsoft han representado el 42,5 por ciento de todas las vulnerabilidades de día cero descubiertas desde 2014.

“Lo que escuchas de Microsoft es ‘simplemente confía en nosotros’, pero lo que obtienes es muy poca transparencia y una cultura de ofuscación tóxica”, escribe Yoran. “¿Cómo puede un CISO, una junta directiva o un equipo ejecutivo creer que Microsoft hará lo correcto dados los patrones de hechos y los comportamientos actuales?”

El director senior de Microsoft, Jeff Jones, respondió a las críticas de Yoran en un comunicado enviado por correo electrónico a el borde:

Agradecemos la colaboración con la comunidad de seguridad para divulgar de manera responsable los problemas del producto. Seguimos un proceso extenso que implica una investigación exhaustiva, desarrollo de actualizaciones para todas las versiones de los productos afectados y pruebas de compatibilidad entre otros sistemas operativos y aplicaciones. En última instancia, desarrollar una actualización de seguridad es un delicado equilibrio entre la puntualidad y la calidad, al tiempo que garantiza la máxima protección del cliente con una mínima interrupción del mismo.

Un senador de EE. UU. está pidiendo al Departamento de Justicia que responsabilice a Microsoft por las «prácticas negligentes de ciberseguridad» que permitieron a los hackers de espionaje chinos robar cientos de miles de correos electrónicos de clientes de la nube, incluidos funcionarios de los Departamentos de Estado y Comercio de EE. UU.

“Hacer responsable a Microsoft por su negligencia requerirá un esfuerzo de todo el gobierno”, escribió Ron Wyden (D-Ore.) en una carta. Fue enviado el jueves a los jefes del Departamento de Justicia, la Agencia de Seguridad de Infraestructura y Ciberseguridad y la Comisión Federal de Comercio.

Inclinándose hacia atrás

Los comentarios de Wyden se hacen eco de los de otros críticos que dicen que Microsoft está ocultando detalles clave sobre un hackeo reciente. En las revelaciones relacionadas con el incidente hasta el momento, Microsoft se ha esforzado al máximo para evitar decir que su infraestructura, incluido Azure Active Directory, una parte supuestamente fortificada de las ofertas en la nube de Microsoft que las grandes organizaciones usan para administrar el inicio de sesión único y la autenticación multifactor, fue violada. Los críticos han dicho que los detalles que Microsoft ha revelado hasta ahora conducen a la conclusión ineludible de que se explotaron las vulnerabilidades en el código de Azure AD y otras ofertas en la nube para lograr el hackeo exitoso.

El fabricante de software y el proveedor de la nube indicaron que el compromiso se debió a la activación de debilidades en Azure AD o en su servicio de correo electrónico Exchange Online. El equipo de inteligencia de amenazas de Microsoft ha dicho que Storm-0558, un equipo de piratería con sede en China que realiza espionaje en nombre del gobierno de ese país, los explotó a partir del 15 de mayo. Microsoft expulsó a los atacantes el 16 de junio después de que un cliente informara a los investigadores de la empresa de la intrusión Para entonces, Storm-0558 había violado cuentas pertenecientes a 25 organizaciones.

Microsoft ha utilizado términos amorfos como «problema», «error» y «defecto» al intentar explicar cómo los piratas informáticos del estado-nación rastrearon las cuentas de correo electrónico de algunos de los clientes más importantes de la empresa. Una de esas debilidades permitió a los atacantes adquirir una clave de cifrado de cuenta de Microsoft vencida que se usa para iniciar sesión en las cuentas de Exchange de los consumidores. Hace trece días, la compañía dijo que aún no sabía cómo Storm-0558 adquirió la clave y aún no ha proporcionado ninguna actualización desde entonces.

Microsoft dijo que un «análisis en profundidad» encontró que los piratas informáticos pudieron usar la cuenta de Microsoft, abreviada como MSA, clave para falsificar tokens de inicio de sesión de Azure AD válidos. Si bien Microsoft tenía la intención de que las claves MSA firmaran solo tokens para cuentas de consumidores, los piratas informáticos lograron usarlas para firmar tokens para acceder a Azure AD. La falsificación, dijo Microsoft, “fue posible gracias a un error de validación en el código de Microsoft”.

Wyden pidió al fiscal general de EE. UU., Merrick B. Garland, a la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Jen Easterly, y a la presidenta de la Comisión Federal de Comercio, Lina Khan, que responsabilicen a Microsoft por la violación. Acusó a Microsoft de ocultar el papel que desempeñó en el ataque a la cadena de suministro de SolarWinds, que los piratas informáticos del Kremlin utilizaron para infectar a 18.000 clientes del fabricante de software de administración de redes de Austin, Texas. Un subconjunto de esos clientes, incluidas nueve agencias federales y 100 organizaciones, recibió ataques de seguimiento que violaron sus redes.

Comparó esas prácticas en el caso de SolarWinds con las que dijo que condujeron a la violación más reciente de los Departamentos de Comercio y Estado y los otros grandes clientes.

En la carta del jueves, Wyden escribió:

Incluso con los detalles limitados que se han hecho públicos hasta ahora, Microsoft tiene una gran responsabilidad por este nuevo incidente. Primero, Microsoft no debería haber tenido una sola clave maestra que, cuando inevitablemente se la roban, podría usarse para falsificar el acceso a las comunicaciones privadas de diferentes clientes. En segundo lugar, como señaló Microsoft después del incidente de SolarWinds, las claves de cifrado de alto valor deben almacenarse en un HSM, cuya única función es evitar el robo de claves de cifrado. Pero la admisión de Microsoft de que ahora han trasladado las claves de encriptación del consumidor a un «almacén de claves reforzado utilizado para nuestros sistemas empresariales» plantea serias dudas sobre si Microsoft siguió sus propios consejos de seguridad y almacenó dichas claves en un HSM. En tercer lugar, la clave de cifrado utilizada en este último hackeo fue creada por Microsoft en 2016 y expiró en 2021. Las pautas federales de ciberseguridad, las mejores prácticas de la industria y las propias recomendaciones de Microsoft para los clientes dictan que las claves de cifrado se actualicen con más frecuencia, por muy razón por la que podrían verse comprometidos. Y los tokens de autenticación firmados por una clave caducada nunca deberían haber sido aceptados como válidos. Finalmente, si bien los ingenieros de Microsoft nunca debieron haber implementado sistemas que violaran estos principios básicos de ciberseguridad, estas fallas obvias deberían haber sido detectadas por las auditorías de seguridad internas y externas de Microsoft. El hecho de que estas fallas no se detectaran plantea dudas sobre qué otros defectos graves de ciberseguridad también pasaron por alto estos auditores.

Los comentarios de Wyden se produjeron seis días después de que los investigadores de la firma de seguridad Wiz informaron que la clave MSA adquirida por los piratas informáticos les dio la capacidad de falsificar tokens para múltiples tipos de aplicaciones de Azure Active Directory. Incluyen todas las aplicaciones que admiten la autenticación de cuentas personales, como SharePoint, Teams, OneDrive y algunas aplicaciones personalizadas.

“El impacto total de este incidente es mucho mayor de lo que inicialmente entendimos”, escribieron los investigadores de Wiz. “Creemos que este evento tendrá implicaciones duraderas en nuestra confianza en la nube y los componentes centrales que la respaldan, sobre todo, la capa de identidad que es el tejido básico de todo lo que hacemos en la nube. Debemos aprender de ello y mejorar”.