Microsoft una vez más ha sido objeto de fuertes críticas por las prácticas de seguridad de Azure y sus otras ofertas en la nube, y el director ejecutivo de la empresa de seguridad Tenable dijo que Microsoft es «extremadamente irresponsable» y está sumido en una «cultura de ofuscación tóxica».
Los comentarios de Amit Yoran, presidente y director ejecutivo de Tenable, se producen seis días después de que el senador Ron Wyden (D-Ore.) criticara a Microsoft por lo que calificó de «prácticas negligentes de ciberseguridad» que permitieron a los piratas informáticos respaldados por el gobierno chino robar cientos de miles de correos electrónicos de clientes de la nube, incluidos funcionarios de los Departamentos de Estado y Comercio de EE. UU. Microsoft aún tiene que proporcionar detalles clave sobre la misteriosa brecha, que implicó que los piratas informáticos obtuvieran una clave de cifrado extraordinariamente poderosa que otorgaba acceso a una variedad de sus otros servicios en la nube. Desde entonces, la compañía se ha esforzado por ocultar el papel de su infraestructura en la violación masiva.
Las críticas se acumulan
El miércoles, Yoran recurrió a LinkedIn para castigar a Microsoft por no arreglar lo que la empresa dijo el lunes fue un problema «crítico» que brinda a los piratas informáticos acceso no autorizado a datos y aplicaciones administrados por Azure AD, una oferta en la nube de Microsoft para administrar la autenticación de usuarios dentro de grandes organizaciones. La divulgación del lunes decía que la empresa notificó a Microsoft sobre el problema en marzo y que Microsoft informó 16 semanas después que se había solucionado. Los investigadores de Tenable le dijeron a Microsoft que la solución estaba incompleta. Microsoft fijó la fecha para proporcionar una solución completa al 28 de septiembre.
“Para darle una idea de lo malo que es esto, nuestro equipo descubrió muy rápidamente los secretos de autenticación de un banco”, escribió Yoran. «Estaban tan preocupados por la seriedad y la ética del problema que notificamos de inmediato a Microsoft». Él continuó:
¿Microsoft solucionó rápidamente el problema que podría conducir efectivamente a la violación de las redes y servicios de múltiples clientes? Por supuesto que no. Tardaron más de 90 días en implementar una solución parcial, y solo para las nuevas aplicaciones cargadas en el servicio.
Un representante de Microsoft dijo que Microsoft no tenía un comentario inmediato en respuesta a la publicación de Yoran. En respuesta a la carta de Wyden la semana pasada, Microsoft restó importancia a las críticas y dijo: “Este incidente demuestra los desafíos en evolución de la ciberseguridad frente a los ataques sofisticados. Continuamos trabajando directamente con las agencias gubernamentales en este tema y mantenemos nuestro compromiso de continuar compartiendo información en el blog de Microsoft Threat Intelligence».
Tenable está discutiendo el problema solo en términos generales para evitar que los piratas informáticos maliciosos aprendan cómo explotarlo activamente en la naturaleza. En un correo electrónico, los funcionarios de la compañía dijeron: “Existe una vulnerabilidad que brinda acceso a la estructura de Azure, como mínimo. Una vez que se conocen los detalles de esta vulnerabilidad, la explotación es relativamente trivial. Es por esta razón que estamos ocultando todos los detalles técnicos”. Si bien la publicación de Yoran y la divulgación de Tenable evitan la palabra vulnerabilidad, el correo electrónico dice que el término es exacto.
La publicación llegó el mismo día en que la empresa de seguridad Sygnia revelado un conjunto de lo que llamó «vectores» que podrían aprovecharse luego de una violación exitosa de una cuenta de Azure AD Connect. Los vectores permiten a los atacantes interceptar credenciales a través de ataques man-in-the-middle o robar hashes criptos de contraseñas mediante la inyección de código malicioso en un proceso de sincronización de hash. La inyección de código también podría permitir a los atacantes obtener una presencia persistente dentro de la cuenta con una baja probabilidad de ser detectados.
“La configuración predeterminada expone a los clientes a los vectores descritos solo si se obtuvo acceso privilegiado al servidor AD Connect”, escribió en un correo electrónico Ilia Rabinovich, directora de tácticas contradictorias de Sygnia. «Por consiguiente, un actor de amenazas debe realizar pasos preliminares antes de continuar con el proceso de explotación de los vectores».
Tanto Tenable como Sygnia dijeron que las vulnerabilidades de seguridad o los vectores que revelaron no estaban relacionados con el reciente ataque a los clientes de la nube de Microsoft.
Fallas graves de ciberseguridad
En la carta de la semana pasada a los jefes del Departamento de Justicia, la Comisión Federal de Comercio y la Agencia de Seguridad de Infraestructura y Ciberseguridad, Wyden acusó a Microsoft de ocultar su papel en el ataque a la cadena de suministro de SolarWinds de 2020, que los piratas informáticos del Kremlin utilizaron para infectar a 18,000 clientes de la red. software de gestión Un subconjunto de esos clientes, incluidas nueve agencias federales y 100 organizaciones, recibió ataques de seguimiento que violaron sus redes. El senador culpó a Microsoft por la reciente violación masiva de los Departamentos de Estado y Comercio y los otros clientes de Azure. Las fallas específicas, dijo Wyden, incluían que Microsoft tuviera «una única clave maestra que, cuando era inevitablemente robada, podría usarse para falsificar el acceso a las comunicaciones privadas de diferentes clientes». También criticó a Microsoft por esperar cinco años para actualizar la clave de firma abusada en los ataques, diciendo que las mejores prácticas son rotar las claves con más frecuencia. También criticó a la empresa por permitir tokens de autenticación firmados por una clave caducada, como fue el caso del ataque.
“Si bien los ingenieros de Microsoft nunca debieron haber implementado sistemas que violaran principios de seguridad cibernética tan básicos, estas fallas obvias deberían haber sido detectadas por las auditorías de seguridad internas y externas de Microsoft”, escribió Wyden. «El hecho de que estas fallas no se detectaran plantea dudas sobre qué otros defectos graves de ciberseguridad también pasaron por alto estos auditores».
En la publicación del miércoles, Yoran expresó en gran medida las mismas críticas.
“Lo que escuchas de Microsoft es ‘simplemente confía en nosotros’, pero lo que obtienes es muy poca transparencia y una cultura de ofuscación tóxica”, escribió. “¿Cómo puede un CISO, una junta directiva o un equipo ejecutivo creer que Microsoft hará lo correcto dados los patrones de hechos y los comportamientos actuales? El historial de Microsoft nos pone a todos en riesgo. Y es aún peor de lo que pensábamos».
