Un nuevo informe de la Junta de Revisión de Seguridad Cibernética de EE. UU. ha descubierto que Microsoft podría haber evitado Los piratas informáticos chinos violaron los correos electrónicos del gobierno de EE. UU. a través de su software Microsoft Exchange Online el año pasado. El incidente, descrito como una “cascada de fallas de seguridad” en Microsoft, permitió a piratas informáticos patrocinados por el estado chino acceder a las bandejas de entrada de correo electrónico en línea de 22 organizaciones, lo que afectó a más de 500 personas, incluidos empleados del gobierno estadounidense que trabajan en seguridad nacional.
El Departamento de Seguridad Nacional de Estados Unidos (DHS) ha publicado un informe mordaz que encontró que el ataque era “prevenible” y que una serie de decisiones dentro de Microsoft contribuyeron a “una cultura corporativa que despriorizó las inversiones en seguridad empresarial y la gestión rigurosa de riesgos”.
Los piratas informáticos utilizaron una clave de consumidor de una cuenta de Microsoft (MSA) adquirida para falsificar tokens para acceder a Outlook en la web (OWA) y Outlook.com. El informe deja claro que Microsoft todavía no está seguro exactamente cómo se robó la clave, pero la teoría principal es que la clave fue parte de un volcado de emergencia. Microsoft publicó esa teoría en septiembre y recientemente actualizó su publicación de blog admitir “no hemos encontrado un volcado de emergencia que contenga el material clave afectado”.
Sin acceso a ese volcado de memoria, Microsoft no puede estar seguro de cómo se robó exactamente la clave. “Nuestra principal hipótesis sigue siendo que los errores operativos provocaron que el material clave abandonara el entorno seguro de firma de tokens al que posteriormente se accedió en un entorno de depuración a través de una cuenta de ingeniería comprometida”, dice Microsoft en su publicación de blog actualizada.
Microsoft reconoció ante la Junta de Revisión de Seguridad Cibernética en noviembre que su publicación de blog de septiembre era inexacta, pero sólo fue corregida meses después, el 12 de marzo, “después de las repetidas preguntas de la Junta sobre los planes de Microsoft de emitir una corrección”. Si bien Microsoft cooperó plenamente con la investigación de la junta, la conclusión es que la cultura de seguridad de Microsoft necesita una revisión.
“La Junta considera que esta intrusión se podía prevenir y nunca debería haber ocurrido”, dice la Junta de Revisión de Seguridad Cibernética. “La Junta también concluye que la cultura de seguridad de Microsoft era inadecuada y requiere una revisión, particularmente a la luz de la centralidad de la empresa en el ecosistema tecnológico y el nivel de confianza que los clientes depositan en la empresa para proteger sus datos y operaciones”.
Los hallazgos de la junta se producen la misma semana en que Microsoft lanzó su Copilot for Security, un chatbot impulsado por inteligencia artificial diseñado para profesionales de la ciberseguridad. Microsoft está cobrando a las empresas 4 dólares por hora de uso como parte de un modelo de consumo para acceder a esta última herramienta de inteligencia artificial, justo cuando la empresa lucha contra un ataque continuo de piratas informáticos patrocinados por el estado ruso.
Nobelium, el mismo grupo detrás del ataque a SolarWinds, logró espiar las bandejas de entrada de correo electrónico de algunos ejecutivos de Microsoft durante meses. Esa intrusión inicial también provocó el robo de parte del código fuente de Microsoft, y Microsoft admitió recientemente que el grupo accedió a los repositorios de código fuente y a los sistemas internos de la empresa.
Microsoft ahora está intentando revisar la seguridad de su software luego de la filtración de correos electrónicos del gobierno de EE. UU. el año pasado y ataques de ciberseguridad similares en los últimos años. La nueva Secure Future Initiative (SFI) de Microsoft está diseñada para revisar la forma en que diseña, construye, prueba y opera su software y servicios. Es el mayor cambio en los esfuerzos de seguridad de Microsoft desde que la compañía introdujo su Ciclo de Vida de Desarrollo de Seguridad (SDL) en 2004, después del devastador gusano Blaster que afectó a las máquinas con Windows XP sin conexión en 2003.