En la primera quincena de julio, Microsoft revelado que el grupo de hackers chino Storm-0558 había obtenido acceso a correos electrónicos de unas 25 organizaciones, incluidas agencias del gobierno de Estados Unidos. Hoy, la empresa es explicando como eso sucedió gracias a una serie de errores internos y al mismo tiempo subraya claramente cuán seria es la responsabilidad de mantener una infraestructura de software masiva y en crecimiento en un mundo cada vez más inseguro digitalmente.
Según el resumen de la investigación de Microsoft, Storm-0558 pudo obtener acceso a correos electrónicos corporativos y gubernamentales al obtener una «clave de consumidor de cuenta de Microsoft», que les permitió crear tokens de acceso a las cuentas de sus objetivos.
Storm-0558 obtuvo la clave después de que una serie de eventos al estilo de una máquina de Rube Goldberg colocaran la clave en un lugar donde nunca debería haber estado. La compañía escribe que cuando el sistema hizo una instantánea de depuración de un proceso que había fallado, no eliminó, como debería haberlo hecho, el llamado «volcado de emergencia» de toda la información confidencial, dejando la clave.
Los sistemas de Microsoft aún deberían haber detectado el «material clave» en el volcado de memoria, pero aparentemente no lo hicieron. Entonces, cuando los ingenieros de la empresa encontraron el volcado, asumieron que no contenía datos confidenciales y los transfirieron, con la clave y todo, desde la “red de producción aislada” al entorno de depuración de la empresa.
Luego, otro sistema de seguridad (un escaneo de credenciales que también debería haber detectado la clave) no detectó que la clave estaba allí. La última puerta cayó cuando Storm-0558 logró comprometer la cuenta corporativa de un ingeniero de Microsoft, dando a los piratas informáticos acceso al mismo entorno de depuración que, para empezar, nunca debería haber tenido la clave.
Microsoft escribe que no tiene registros que muestren evidencia de que así es como se eliminó la clave de sus sistemas, pero dice que es «lo más probable». ruta que tomaron los hackers.
Hay un último truco: este fue un consumidor clave, pero permitió que los actores de amenazas ingresaran a las cuentas empresariales de Microsoft. Microsoft dice que comenzó a utilizar la publicación de metadatos clave comunes en 2018 en respuesta a la demanda de software de soporte que funcionara tanto en cuentas de consumidores como empresariales.
La compañía agregó ese soporte, pero no realizó las actualizaciones adecuadas a los sistemas utilizados para autenticar claves, es decir, determinar si son claves de consumo o empresariales. Los ingenieros del sistema de correo, asumiendo que se habían realizado las actualizaciones, no incorporaron autenticación adicional, dejando al sistema de correo ciego sobre qué tipo de clave se usaba.
En resumen, si esas bibliotecas se hubieran actualizado adecuadamente, incluso teniendo en cuenta todos los demás puntos de fallaEs posible que los piratas informáticos de Storm-0558 no hayan podido acceder a las cuentas de correo electrónico empresariales utilizadas por las corporaciones a las que apuntaban.
Microsoft dice que ha corregido todos los problemas anteriores, incluido el error que envió la clave de firma al volcado de memoria en primer lugar. La empresa añade en su publicación que está «reforzando continuamente los sistemas». Microsoft ha sido cada vez más criticado por sus prácticas de seguridad, que tanto el senador Ron Wyden (D-OR) como el director ejecutivo de Tenable, Amit Yoran, han calificado de «negligentes». acusando a Microsoft de ser demasiado lento reaccionar ante sus fallos de seguridad.