Se ha culpado a Microsoft de la “cascada de fallas de seguridad” que permitieron a los actores de amenazas chinos acceder a los correos electrónicos de funcionarios del gobierno de EE. UU. en el verano de 2023, concluyó un informe independiente. El Departamento de Seguridad Nacional de EE. UU. (DHS) publicó el informe de la Junta de Revisión de Seguridad Cibernética (CSRB) sobre el incidente el 2 de abril de 2024, que encontró que la intrusión de Microsoft Online Exchange se podía prevenir y nunca debería haber ocurrido. La CSRB también emitió recomendaciones a Microsoft y a todos los proveedores de servicios en la nube (CSP) para garantizar que una intrusión de esta magnitud no vuelva a ocurrir. Cronología de la intrusión de Microsoft Online Exchange Microsoft reveló por primera vez el ataque de espionaje del actor de amenazas chino Storm-0558 en julio de 2023. Un informe posterior del gigante tecnológico en septiembre de 2023 proporcionó más detalles sobre cómo los atacantes obtuvieron acceso a las cuentas de correo electrónico de 25 organizaciones, incluidas Funcionarios del gobierno estadounidense. Esto incluía las cuentas de correo electrónico de la Secretaria de Comercio, Gina Raimondo, y del Embajador de Estados Unidos en la República Popular China, R. Nicholas Burns. Storm-0558 falsificó tokens de autenticación utilizando una clave de cifrado adquirida de Microsoft que, combinada con otra falla en el sistema de autenticación de Microsoft, les permitió obtener acceso completo a prácticamente cualquier cuenta de Exchange Online en cualquier parte del mundo. En agosto de 2023, el DHS anunció que investigaría las prácticas de seguridad de Microsoft en relación con el incidente. La CSRB obtuvo datos y realizó entrevistas con 20 organizaciones y expertos, incluidas empresas de ciberseguridad, empresas de tecnología, fuerzas del orden, investigadores de seguridad, académicos y varias organizaciones afectadas, para llegar a sus conclusiones. Múltiples fallas de seguridad en Microsoft Una cultura de seguridad inadecuada La CSRB encontró que la cultura de seguridad de Microsoft era inadecuada, basada en una variedad de fallas operativas y estratégicas antes y después del incidente. Esto incluyó numerosos errores evitables que permitieron que el ataque tuviera éxito y no corregir, de manera oportuna, declaraciones públicas incorrectas sobre cómo ocurrió el incidente. Storm-0558 obtuvo una clave criptográfica de Cuenta de Servicios de Microsoft (MSA) que se emitió en 2016, y el gigante tecnológico aún no puede demostrar cómo se accedió a ella. La Junta señaló que Microsoft detuvo su rotación manual e infrecuente de claves MSA de consumo en 2021 luego de una interrupción importante de la nube relacionada con el proceso de rotación manual. No logró crear un sistema de alerta automatizado para notificar a los equipos apropiados de Microsoft sobre la antigüedad de las claves de firma activas en el servicio MSA para consumidores. Esto permitió al actor de amenazas chino falsificar tokens de autenticación que le permitieron acceder a los sistemas de correo electrónico. Aunque este acceso debería haberse limitado a los sistemas de correo electrónico de los consumidores, una falla previamente desconocida permitió que los tokens accedieran a cuentas de correo electrónico empresariales, como las de los departamentos de Estado y Comercio de EE. UU. Esta falla fue causada por los esfuerzos de Microsoft para abordar las solicitudes de los clientes de un servicio de punto final OpenID Connect (OIDC) común que enumerara claves de firma activas para sistemas de identidad empresariales y de consumidores. Microsoft informó a la CSRB que Storm-0558 había comprometido su red corporativa a través de una cuenta de ingeniero en 2021, pero no ofreció evidencia específica de que esta intrusión estuviera relacionada con el compromiso de Exchange de 2023. Microsoft dijo en un blog de septiembre de 2023 que el grupo había obtenido la clave de un volcado de memoria al que tuvo acceso durante el compromiso de 2021. Sin embargo, esto fue solo una teoría, y Microsoft finalmente actualizó el blog en marzo de 2024 para confirmar que no ha determinado que así es como Storm-0558 obtuvo la clave. Brechas en la seguridad de fusiones y adquisiciones El informe también encontró que este compromiso de 2021 destacó brechas dentro del proceso de evaluación y remediación de compromisos de seguridad en fusiones y adquisiciones (M&A) de Microsoft. Esto se debe a que el ingeniero cuyas credenciales fueron comprometidas fue empleado anteriormente de Affirmed Networks, adquirida por Microsoft en abril de 2020. Después de la adquisición, Microsoft proporcionó credenciales corporativas al ingeniero adquirido que le permitieron el acceso a su entorno corporativo con el dispositivo comprometido. Otras fallas de seguridad notables de Microsoft destacadas en el informe fueron: La compañía no pudo detectar por sí sola el compromiso de sus joyas de la corona criptográfica, y solo inició una investigación después de que el Departamento de Estado se comunicó con la empresa sobre el hecho de que Microsoft no mantuvo prácticas de seguridad que ya existían en otros CSP. Estos incluyen la rotación regular automatizada de claves, el almacenamiento de claves en sistemas segmentados y aislados y la limitación del alcance de las claves. La divulgación de un incidente separado en enero de 2024, en el que el grupo patrocinado por el estado ruso Midnight Blizzard comprometió los sistemas de Microsoft, permitiendo el acceso a Cuentas de correo electrónico corporativas sensibles, repositorios de código fuente y sistemas internos Recomendaciones de seguridad para Microsoft y otros CSP La CSRB estableció una serie de recomendaciones que Microsoft y todos los demás CSP deben seguir para evitar que este tipo de intrusión vuelva a ocurrir. Estos incluyen: El CEO y los miembros de la junta deben centrarse directamente en la cultura de seguridad de la organización, con el liderazgo de Microsoft compartiendo un plan para realizar reformas fundamentales centradas en la seguridad en toda la empresa y su conjunto completo de productos. Considerar despriorizar el desarrollo de características en toda la infraestructura de nube de la empresa y conjunto de productos hasta que se hayan realizado mejoras sustanciales en la seguridad Asumir la responsabilidad de los resultados de seguridad de sus clientes, haciendo de la seguridad una prioridad empresarial Ofrecer el registro granular como un elemento central de las ofertas de la nube, en lugar de parte de un paquete pago para los servicios principales de los clientes Revisar y revisar capacidades de registro y análisis forense general en torno a los sistemas de identidad y otros sistemas que permiten el compromiso a nivel del entorno. Los CSP deben mantener suficientes análisis forenses para detectar la filtración de estos datos. Diseñar sistemas de identidad y credenciales digitales para reducir sustancialmente el riesgo de comprometer completamente el sistema. Estos incluyen mecanismos técnicos como tokens con estado, rotación frecuente automatizada de claves, claves por cliente, bibliotecas de autenticación comunes y almacenamiento seguro de claves. Permitir que CISA realice una revisión de validación anual de las prácticas de seguridad que se están implementando. Desarrollar procesos sólidos de evaluación de compromisos y remediación para las empresas que adquieren o fusionarse con los CSP debería trabajar con CISA para definir y adoptar un estándar mínimo para el registro de auditoría predeterminado en los servicios en la nube. El Secretario de Seguridad Nacional, Alejandro N. Mayorkas, comentó: “Los actores de los estados-nación continúan volviéndose más sofisticados en su capacidad para comprometer los sistemas de servicios en la nube. . Las asociaciones público-privadas como la CSRB son fundamentales en nuestros esfuerzos por mitigar la grave amenaza cibernética que plantean estos actores-estado-nación. “El Departamento de Seguridad Nacional agradece la revisión integral y el informe de la Junta sobre el incidente Storm-0558. La implementación de las recomendaciones de la Junta mejorará nuestra ciberseguridad en los años venideros”. El vicepresidente interino de la CSRB, Dmitri Alperovitch, señaló que el grupo Storm-0558 ha sido rastreado durante más de 20 años y ha sido vinculado a otros compromisos de suministro de nube de alto perfil en ese tiempo, como la Operación Aurora en 2009 y RSA SecureID en 2011. “Este grupo de piratas informáticos afiliado a la República Popular China tiene la capacidad y la intención de comprometer los sistemas de identidad para acceder a datos confidenciales, incluidos correos electrónicos de personas de interés para el gobierno chino. Los proveedores de servicios en la nube deben implementar urgentemente estas recomendaciones para proteger a sus clientes contra esta y otras amenazas persistentes y perniciosas de los actores estatales”, advirtió Alperovitch. Crédito de la imagen: Fotografía del IB/Shutterstock.com

Source link