Getty Images Los piratas informáticos del estado ruso explotaron una contraseña débil para comprometer la red corporativa de Microsoft y accedieron a correos electrónicos y documentos que pertenecían a altos ejecutivos y empleados que trabajaban en equipos legales y de seguridad, dijo Microsoft el viernes por la noche. El ataque, que Microsoft atribuyó a un grupo de piratas informáticos respaldado por el Kremlin al que rastrea como Midnight Blizzard, es al menos la segunda vez en tantos años que el incumplimiento de una higiene básica de seguridad ha resultado en una infracción que tiene el potencial de dañar a los clientes. Un párrafo de la divulgación del viernes, presentado ante la Comisión de Bolsa y Valores, fue asombroso: a partir de finales de noviembre de 2023, el actor de la amenaza utilizó un ataque de pulverización de contraseñas para comprometer una cuenta de inquilino de prueba heredada que no era de producción y afianzarse, y luego utilizó la permisos de cuenta para acceder a un porcentaje muy pequeño de cuentas de correo electrónico corporativas de Microsoft, incluidos miembros de nuestro equipo de liderazgo senior y empleados en nuestras funciones legales, de ciberseguridad y de otro tipo, y exfiltró algunos correos electrónicos y documentos adjuntos. La investigación indica que inicialmente apuntaban a cuentas de correo electrónico en busca de información relacionada con Midnight Blizzard. Estamos en el proceso de notificar a los empleados cuyo correo electrónico fue accedido. Microsoft no detectó la infracción hasta el 12 de enero, exactamente una semana antes de la divulgación del viernes. La cuenta de Microsoft plantea la posibilidad de que los piratas informáticos rusos tuvieran acceso ininterrumpido a las cuentas durante hasta dos meses. Una traducción de las 93 palabras citadas anteriormente: Un dispositivo dentro de la red de Microsoft estaba protegido por una contraseña débil sin emplear ningún tipo de autenticación de dos factores. El grupo adversario ruso pudo adivinarla acribillándola con contraseñas previamente comprometidas o de uso común hasta que finalmente dieron con la correcta. Luego, el actor de la amenaza accedió a la cuenta, lo que indica que no se utilizó 2FA o que de alguna manera se eludió la protección. Además, esta “cuenta de inquilino de prueba heredada que no es de producción” se configuró de alguna manera para que Midnight Blizzard pudiera pivotar y obtener acceso a algunas de las cuentas de empleados más importantes y confidenciales de la empresa. Como escribió en Mastodon Steve Bellovin, profesor de informática y profesor de derecho afiliado en la Universidad de Columbia con décadas de experiencia en ciberseguridad: Aquí hay muchas implicaciones fascinantes. Un ataque de pulverización de contraseña exitoso sugiere que no hay 2FA y que se usan contraseñas débiles o reutilizadas. El acceso a cuentas de correo electrónico que pertenecen a equipos de «liderazgo superior… ciberseguridad y asuntos legales» usando solo los permisos de una «cuenta de inquilino de prueba» sugiere que alguien le dio a esa cuenta de prueba privilegios increíbles. ¿Por qué? ¿Por qué no lo quitaron cuando terminó la prueba? También observo que Microsoft tardó unas siete semanas en detectar el ataque. Si bien Microsoft dijo que no tenía conocimiento de ninguna evidencia de que Midnight Blizzard hubiera obtenido acceso a entornos de clientes, sistemas de producción, código fuente o sistemas de inteligencia artificial, algunos investigadores expresaron dudas, particularmente sobre si el servicio Microsoft 365 podría ser o haber sido susceptible a técnicas de ataque similares. Uno de los investigadores fue Kevin Beaumont, quien tuvo una larga carrera en ciberseguridad que incluyó un período de trabajo para Microsoft. En LinkedIn, escribió: El personal de Microsoft usa Microsoft 365 para el correo electrónico. Las presentaciones ante la SEC y los blogs sin detalles del viernes por la noche son geniales… pero habrá que seguirlos con detalles reales. La era de Microsoft haciendo tiendas de campaña, palabras clave de incidentes, CELA haciendo cosas y fingiendo que MSTIC ve todo (los actores de amenazas también tienen Mac) ha terminado; necesitan hacer una transformación técnica y cultural radical para mantener la confianza. CELA es la abreviatura de Asuntos Corporativos, Externos y Legales, un grupo dentro de Microsoft que ayuda a redactar divulgaciones. MSTIC significa Centro de inteligencia de amenazas de Microsoft.

Source link