La Junta de Revisión de Seguridad Cibernética de EE. UU. (CSRB) ha criticado a Microsoft por una serie de fallos de seguridad que llevaron a la vulneración de casi dos docenas de empresas en Europa y Estados Unidos por parte de un grupo de estados-nación con sede en China llamado Storm-0558 el año pasado.
Los hallazgos, publicados por el Departamento de Seguridad Nacional (DHS) el martes, encontraron que la intrusión se podía prevenir y que tuvo éxito debido a una «cascada de errores evitables de Microsoft».
«Identificó una serie de decisiones operativas y estratégicas de Microsoft que colectivamente apuntaban a una cultura corporativa que despriorizaba las inversiones en seguridad empresarial y una gestión de riesgos rigurosa, en desacuerdo con la centralidad de la empresa en el ecosistema tecnológico y el nivel de confianza que los clientes depositan en la empresa para protegerse. sus datos y operaciones», dijo el DHS. dicho en una oracion.
La CSRB también arremetió contra el titán tecnológico por no detectar el compromiso por sí solo, sino que confió en que un cliente se comunicara con él para señalar la infracción. Además, culpó a Microsoft por no priorizar el desarrollo de una solución automatizada de rotación de claves y rediseñar su infraestructura heredada para satisfacer las necesidades del panorama de amenazas actual.
El incidente salió a la luz por primera vez en julio de 2023 cuando Microsoft reveló que Storm-0558 obtuvo acceso no autorizado a 22 organizaciones, así como a más de 500 cuentas de consumidores individuales relacionadas.
Microsoft posteriormente dicho un error de validación en su código fuente hizo posible que Storm-0558 falsificara tokens de Azure Active Directory (Azure AD) utilizando una clave de firma de consumidor de cuenta de Microsoft (MSA), permitiendo así que el adversario se infiltrara en los buzones de correo.
En septiembre de 2023, la empresa divulgado que Storm-0558 adquirió la clave de firma del consumidor para falsificar los tokens al comprometer la cuenta corporativa de un ingeniero que tenía acceso a un entorno de depuración que albergaba un volcado de memoria de su sistema de firma del consumidor que también contenía inadvertidamente la clave de firma.
Desde entonces, Microsoft reconoció en una actualización de marzo de 2024 que era inexacta y que aún no ha podido localizar un «volcado de memoria que contenga el material clave afectado». También dijo que su investigación sobre el hackeo sigue en curso.
«Nuestra principal hipótesis sigue siendo que los errores operativos provocaron que el material clave abandonara el entorno seguro de firma de tokens al que posteriormente se accedió en un entorno de depuración a través de una cuenta de ingeniería comprometida», anotado.
«Los acontecimientos recientes han demostrado la necesidad de adoptar una nueva cultura de ingeniería de seguridad en nuestras propias redes», afirmó un portavoz de Microsoft. citado como dijo a The Washington Post.
Se cree que hasta 60.000 correos electrónicos no clasificados de cuentas de Outlook fueron filtrados en el transcurso de la campaña que comenzó en mayo de 2023. China ha rechazado las acusaciones de que estuvo detrás del ataque.
A principios de febrero, Redmond expandido capacidades de registro gratuitas para todas las agencias federales de EE. UU. que utilizan Microsoft Purview Audit, independientemente del nivel de licencia, para ayudarlas a detectar, responder y prevenir ataques cibernéticos sofisticados.
«El actor amenazante responsable de esta descarada intrusión ha sido rastreado por la industria durante más de dos décadas y ha sido vinculado a 2009 Operación Aurora y los compromisos de RSA SecureID de 2011″, afirmó el vicepresidente interino de la CSRB, Dmitri Alperovitch.
«Este grupo de piratas informáticos afiliado a la República Popular China tiene la capacidad y la intención de comprometer los sistemas de identidad para acceder a datos confidenciales, incluidos correos electrónicos de personas de interés para el gobierno chino».
Para protegerse contra las amenazas de actores patrocinados por el estado, se ha recomendado a los proveedores de servicios en la nube:
- Implementar mecanismos de control modernos y prácticas de referencia.
- Adoptar un estándar mínimo para el registro de auditoría predeterminado en los servicios en la nube
- Incorporar estándares de identidad digital emergentes para proteger los servicios en la nube
- Adoptar prácticas de divulgación de incidentes y vulnerabilidades para maximizar la transparencia.
- Desarrollar mecanismos de notificación y apoyo a las víctimas más eficaces para impulsar los esfuerzos de intercambio de información.
«El gobierno de Estados Unidos debería actualizar el Programa Federal de Gestión de Autorización de Riesgos y los marcos de apoyo y establecer un proceso para realizar revisiones especiales discrecionales de las Ofertas de Servicios en la Nube autorizadas por el programa después de situaciones de impacto especialmente alto», dijo la CSRB.