\n<\/aside>\n<\/p>\n
Un senador de EE. UU. est\u00e1 pidiendo al Departamento de Justicia que responsabilice a Microsoft por las \u00abpr\u00e1cticas negligentes de ciberseguridad\u00bb que permitieron a los hackers de espionaje chinos robar cientos de miles de correos electr\u00f3nicos de clientes de la nube, incluidos funcionarios de los Departamentos de Estado y Comercio de EE. UU.<\/p>\n
\u201cHacer responsable a Microsoft por su negligencia requerir\u00e1 un esfuerzo de todo el gobierno\u201d, escribi\u00f3 Ron Wyden (D-Ore.) en una carta. Fue enviado el jueves a los jefes del Departamento de Justicia, la Agencia de Seguridad de Infraestructura y Ciberseguridad y la Comisi\u00f3n Federal de Comercio.<\/p>\n
Inclin\u00e1ndose hacia atr\u00e1s<\/h2>\n Los comentarios de Wyden se hacen eco de los de otros cr\u00edticos que dicen que Microsoft est\u00e1 ocultando detalles clave sobre un hackeo reciente. En las revelaciones relacionadas con el incidente hasta el momento, Microsoft se ha esforzado al m\u00e1ximo para evitar decir que su infraestructura, incluido Azure Active Directory, una parte supuestamente fortificada de las ofertas en la nube de Microsoft que las grandes organizaciones usan para administrar el inicio de sesi\u00f3n \u00fanico y la autenticaci\u00f3n multifactor, fue violada. Los cr\u00edticos han dicho que los detalles que Microsoft ha revelado hasta ahora conducen a la conclusi\u00f3n ineludible de que se explotaron las vulnerabilidades en el c\u00f3digo de Azure AD y otras ofertas en la nube para lograr el hackeo exitoso.<\/p>\n
El fabricante de software y el proveedor de la nube indicaron que el compromiso se debi\u00f3 a la activaci\u00f3n de debilidades en Azure AD o en su servicio de correo electr\u00f3nico Exchange Online. El equipo de inteligencia de amenazas de Microsoft ha dicho que Storm-0558, un equipo de pirater\u00eda con sede en China que realiza espionaje en nombre del gobierno de ese pa\u00eds, los explot\u00f3 a partir del 15 de mayo. Microsoft expuls\u00f3 a los atacantes el 16 de junio despu\u00e9s de que un cliente informara a los investigadores de la empresa de la intrusi\u00f3n Para entonces, Storm-0558 hab\u00eda violado cuentas pertenecientes a 25 organizaciones.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nMicrosoft ha utilizado t\u00e9rminos amorfos como \u00abproblema\u00bb, \u00aberror\u00bb y \u00abdefecto\u00bb al intentar explicar c\u00f3mo los piratas inform\u00e1ticos del estado-naci\u00f3n rastrearon las cuentas de correo electr\u00f3nico de algunos de los clientes m\u00e1s importantes de la empresa. Una de esas debilidades permiti\u00f3 a los atacantes adquirir una clave de cifrado de cuenta de Microsoft vencida que se usa para iniciar sesi\u00f3n en las cuentas de Exchange de los consumidores. Hace trece d\u00edas, la compa\u00f1\u00eda dijo que a\u00fan no sab\u00eda c\u00f3mo Storm-0558 adquiri\u00f3 la clave y a\u00fan no ha proporcionado ninguna actualizaci\u00f3n desde entonces.<\/p>\n
Microsoft dijo que un \u00aban\u00e1lisis en profundidad\u00bb encontr\u00f3 que los piratas inform\u00e1ticos pudieron usar la cuenta de Microsoft, abreviada como MSA, clave para falsificar tokens de inicio de sesi\u00f3n de Azure AD v\u00e1lidos. Si bien Microsoft ten\u00eda la intenci\u00f3n de que las claves MSA firmaran solo tokens para cuentas de consumidores, los piratas inform\u00e1ticos lograron usarlas para firmar tokens para acceder a Azure AD. La falsificaci\u00f3n, dijo Microsoft, \u201cfue posible gracias a un error de validaci\u00f3n en el c\u00f3digo de Microsoft\u201d.<\/p>\n
Wyden pidi\u00f3 al fiscal general de EE. UU., Merrick B. Garland, a la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Jen Easterly, y a la presidenta de la Comisi\u00f3n Federal de Comercio, Lina Khan, que responsabilicen a Microsoft por la violaci\u00f3n. Acus\u00f3 a Microsoft de ocultar el papel que desempe\u00f1\u00f3 en el ataque a la cadena de suministro de SolarWinds, que los piratas inform\u00e1ticos del Kremlin utilizaron para infectar a 18.000 clientes del fabricante de software de administraci\u00f3n de redes de Austin, Texas. Un subconjunto de esos clientes, incluidas nueve agencias federales y 100 organizaciones, recibi\u00f3 ataques de seguimiento que violaron sus redes.<\/p>\n
Compar\u00f3 esas pr\u00e1cticas en el caso de SolarWinds con las que dijo que condujeron a la violaci\u00f3n m\u00e1s reciente de los Departamentos de Comercio y Estado y los otros grandes clientes.<\/p>\n
En la carta del jueves, Wyden escribi\u00f3:<\/p>\n
\nIncluso con los detalles limitados que se han hecho p\u00fablicos hasta ahora, Microsoft tiene una gran responsabilidad por este nuevo incidente. Primero, Microsoft no deber\u00eda haber tenido una sola clave maestra que, cuando inevitablemente se la roban, podr\u00eda usarse para falsificar el acceso a las comunicaciones privadas de diferentes clientes. En segundo lugar, como se\u00f1al\u00f3 Microsoft despu\u00e9s del incidente de SolarWinds, las claves de cifrado de alto valor deben almacenarse en un HSM, cuya \u00fanica funci\u00f3n es evitar el robo de claves de cifrado. Pero la admisi\u00f3n de Microsoft de que ahora han trasladado las claves de encriptaci\u00f3n del consumidor a un \u00abalmac\u00e9n de claves reforzado utilizado para nuestros sistemas empresariales\u00bb plantea serias dudas sobre si Microsoft sigui\u00f3 sus propios consejos de seguridad y almacen\u00f3 dichas claves en un HSM. En tercer lugar, la clave de cifrado utilizada en este \u00faltimo hackeo fue creada por Microsoft en 2016 y expir\u00f3 en 2021. Las pautas federales de ciberseguridad, las mejores pr\u00e1cticas de la industria y las propias recomendaciones de Microsoft para los clientes dictan que las claves de cifrado se actualicen con m\u00e1s frecuencia, por muy raz\u00f3n por la que podr\u00edan verse comprometidos. Y los tokens de autenticaci\u00f3n firmados por una clave caducada nunca deber\u00edan haber sido aceptados como v\u00e1lidos. Finalmente, si bien los ingenieros de Microsoft nunca debieron haber implementado sistemas que violaran estos principios b\u00e1sicos de ciberseguridad, estas fallas obvias deber\u00edan haber sido detectadas por las auditor\u00edas de seguridad internas y externas de Microsoft. El hecho de que estas fallas no se detectaran plantea dudas sobre qu\u00e9 otros defectos graves de ciberseguridad tambi\u00e9n pasaron por alto estos auditores.<\/p>\n<\/blockquote>\n
Los comentarios de Wyden se produjeron seis d\u00edas despu\u00e9s de que los investigadores de la firma de seguridad Wiz informaron que la clave MSA adquirida por los piratas inform\u00e1ticos les dio la capacidad de falsificar tokens para m\u00faltiples tipos de aplicaciones de Azure Active Directory. Incluyen todas las aplicaciones que admiten la autenticaci\u00f3n de cuentas personales, como SharePoint, Teams, OneDrive y algunas aplicaciones personalizadas.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\n\u201cEl impacto total de este incidente es mucho mayor de lo que inicialmente entendimos\u201d, escribieron los investigadores de Wiz. \u201cCreemos que este evento tendr\u00e1 implicaciones duraderas en nuestra confianza en la nube y los componentes centrales que la respaldan, sobre todo, la capa de identidad que es el tejido b\u00e1sico de todo lo que hacemos en la nube. Debemos aprender de ello y mejorar\u201d.<\/p>\n<\/p><\/div>\n
Source link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"im\u00e1genes falsas Un senador de EE. UU. est\u00e1 pidiendo al Departamento de Justicia que responsabilice a Microsoft por las \u00abpr\u00e1cticas negligentes de ciberseguridad\u00bb que permitieron a los hackers de espionaje…<\/p>\n","protected":false},"author":1,"featured_media":747737,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[6878,2349,8614,683,99880,110,4614,24190],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/748912"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=748912"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/748912\/revisions"}],"predecessor-version":[{"id":748913,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/748912\/revisions\/748913"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/747737"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=748912"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=748912"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=748912"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}