Un exprofesional de seguridad de Microsoft afirmó que el gigante tecnológico desestimó sus advertencias sobre una vulnerabilidad que luego se explotó en los ataques de SolarWinds. Andrew Harris trabajó en Microsoft durante seis años entre 2014 y 2020 como arquitecto de seguridad y gerente principal de productos. Según un En un informe de ProPublica, Harris detectó por primera vez la falla, denominada Golden SAML, en 2016 cuando investigaba una intrusión de seguridad que afectaba a los Servicios de federación de Active Directory (ADFS), una función de inicio de sesión único (SSO) de Microsot para aplicaciones ubicadas más allá de los límites organizacionales. Utilizada por millones de personas iniciar sesión en sus computadoras de trabajo, la falla de ADFS permitió a los atacantes disfrazarse de empleados legítimos y obtener acceso a información confidencial en el entorno sin ser detectados. Harris señaló que el vector de ataque SAML era único porque dejaba un rastro digital mínimo, lo que lo hace particularmente difícil de detectar y rastrear. Agregó que cualquiera que usara el software estaba potencialmente expuesto a la vulnerabilidad, independientemente de si usaba Microsoft u otro proveedor de nube, y estaba particularmente preocupado por posibles ataques al gobierno federal. Meses después de que Harris se fuera Microsoft en agosto de 2020 para el proveedor de seguridad cibernética CrowdStrike, se descubrió la violación de SolarWinds en la que actores de amenazas rusos infectaron la herramienta de monitoreo de red SolarWinds Orion con código malicioso. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre seguridad y delitos cibernéticos de IA, recientemente actualizado para 2024. El software Orion infectado fue descargado posteriormente por miles de organizaciones, incluidas aquellas del gobierno de EE. UU., lo que desencadenó un importante incidente en la cadena de suministro que, según estimaciones de Bitsight, generó $ 90 000 000 en pérdidas aseguradas. Los altos funcionarios de Microsoft dieron prioridad a minimizar las consecuencias comerciales durante la explosión de la computación en la nube. Después de plantear el problema a los supervisores, Harris fue remitido al Centro de Respuesta de Seguridad de Microsoft (MSRC), indicando que el MSRC se negó a solucionar el problema, argumentando que los atacantes necesitarían primero tener acceso a un servidor local y luego pasar al entorno de la nube. Harris dijo que llevó el problema al gerente senior de producto Mark Morowczynski y al director Alex Simons, pero después de aceptar que constituía un «gran problema», reveló que no estaban de acuerdo con él. sobre cómo la empresa debería solucionar el problema. Según Harris, las dos objeciones dadas por Morowczynski fueron que reconocer públicamente la vulnerabilidad alertaría a posibles atacantes que luego podrían explotarla aún más. La segunda razón que dio Morowczynski fue que alertar al público pondría en peligro La capacidad de Microsoft para capitalizar la inversión masiva en computación en la nube, incluido uno de los contratos de computación gubernamentales más grandes en la historia de EE. UU. Harris y otros ex empleados de Microsoft dijeron a ProPublica que el CEO Satya Nadella había dejado claro internamente que el hiperescalador necesitaba asegurarse de no fallar. «El acuerdo multimillonario para asegurar su futuro vendiendo servicios en la nube. Tim Mackey, jefe de riesgo de la cadena de suministro de software en Synopsys Software Integrity Group, dijo que el incidente subraya la fricción que surge con frecuencia entre la seguridad y los verticales comerciales dentro de una organización». Sin entrar en detalles, la naturaleza de este incidente y su cronograma resaltan la tensión que a menudo existe entre los equipos técnicos y sus pares comerciales”, explicó. “Para un equipo técnico, cualquier debilidad, particularmente dentro del código, que es un área de especialización para ese equipo, representa una prioridad a abordar. Si esa debilidad se vuelve explotable, entonces los equipos técnicos estarán aún más ansiosos por abordar el problema”. Mackey dijo que los intereses en conflicto de minimizar el impacto empresarial o mitigar los problemas de seguridad los ganan con demasiada frecuencia aquellos que buscan proteger los resultados de la organización. “El problema es que las nuevas funciones y las solicitudes de mejoras de los principales clientes a menudo tienen mayor valor comercial que las correcciones de errores, incluso si esos errores son errores de seguridad. Si bien a todos nos encantaría decir que todos los desarrolladores de software abordan primero los problemas de seguridad y luego las nuevas características, la realidad es que los esfuerzos de I+D se priorizan en función del impacto en el negocio”. en todo el mundo, ha desencadenado esfuerzos recientes de las agencias cibernéticas para abogar por una mayor transparencia en la industria. “Es el impacto de esta dinámica lo que está detrás de esfuerzos como los principios Secure by Design de CISA y los conceptos de ‘Transparencia radical’, que contribuyen a varios esfuerzos de garantía de software que promueven la transparencia en las prácticas de desarrollo e implementación como medio para reducir los riesgos comerciales asociados con el uso de software». Un portavoz de Microsoft le dijo a ITPro que «proteger a los clientes es nuestra máxima prioridad» y que su equipo de respuesta de seguridad brinda «todos los casos debida diligencia con una evaluación manual exhaustiva». «Nuestra evaluación de este problema recibió múltiples revisiones y estuvo alineada con el consenso de la industria», dijo el portavoz. «El lenguaje de marcado de afirmación de seguridad (SAML) es un estándar de la industria para la autenticación que respalda la mayoría de los métodos de autenticación. y servicios de identidad de múltiples proveedores en la actualidad. No existen vulnerabilidades inherentes a ese estándar y el soporte de SAML, en sí mismo, no es una vulnerabilidad para los servicios de identidad. «Muchos clientes utilizan SAML como protocolo de autenticación estándar de la industria para delegar la confianza entre sistemas. Al igual que otros en la industria, continuamos ofreciendo esa funcionalidad a nuestros clientes, al tiempo que enfatizamos la importancia de proteger los sistemas que son la raíz de esa confianza. «Priorizamos nuestro trabajo de respuesta de seguridad considerando posibles interrupciones para el cliente, explotabilidad y mitigaciones disponibles. Seguimos escuchando a la comunidad de investigación de seguridad y evolucionando nuestro enfoque para garantizar que cumplimos con las expectativas de los clientes y los protegemos de amenazas emergentes. Un ejemplo de esto son nuestros compromisos con la Iniciativa Futuro Seguro que lanzamos en noviembre para ayudar a prepararnos para una escala y gravedad cada vez mayores de los ataques cibernéticos como nuestra principal prioridad”.