- Una revisión del ataque al servicio de correo electrónico alojado Exchange Online de Microsoft encontró que el incidente podría haberse evitado, además de la cultura de seguridad de la información laxa de Microsoft.
- Microsoft ha sido criticada por sus lentos esfuerzos para corregir el registro público.
- Microsoft no parece haber dado suficiente prioridad a la reconstrucción de su infraestructura heredada para enfrentar el panorama de amenazas actual.
Los ciberataques se pueden prevenir
Una revisión del ataque de junio de 2023 al servicio de correo electrónico alojado Exchange Online de Microsoft encontró que el incidente podría haberse evitado si no fuera por la cultura de seguridad de la información laxa de Microsoft y las precauciones de seguridad en la nube deficientes.
La revisión, realizada por la Junta de Revisión de Ciberseguridad (CSRB) de la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) del gobierno de EE. UU., pidió un "cambio cultural rápido" en Microsoft. Las recomendaciones de la Junta incluyen:
Los clientes de Microsoft se beneficiarán de que su CEO y su junta directiva se enfoquen directamente en la cultura de seguridad y desarrollen y compartan públicamente planes con plazos específicos para realizar cambios fundamentales centrados en la seguridad en todo el negocio y su conjunto de productos;
El CEO debe responsabilizar a los altos funcionarios por la implementación del programa;
El liderazgo de Microsoft debería considerar instruir a los equipos internos para que reduzcan la prioridad del desarrollo de características para la infraestructura en la nube y los conjuntos de productos hasta que se realicen mejoras sustanciales de seguridad para eliminar la competencia por los recursos;
Los riesgos de seguridad deben evaluarse y abordarse de manera completa y adecuada antes de implementar nuevas capacidades.
El lenguaje fuerte vino en respuesta al ataque, que atribuyó a una "letanía de errores evitables por parte de Microsoft".
Lea también: Microsoft y Epic reducen inversiones en juegos independientes
El lugar de la culpa por el ataque
El informe de la CSRB [PDF] culpó al ataque de las prácticas de rotación de claves utilizadas para proteger las Cuentas de Servicio de Microsoft (MSA), el sistema de gestión de identidad que impulsa los servicios en la nube del gigante del software para los consumidores.
MSA fue diseñado a principios de la década de 2000 sin ningún proceso automático de rotación o desactivación de claves de firma. Como resultado, Microsoft administraba manualmente las claves, pero dejó de hacerlo en 2021 después de que la práctica provocara importantes interrupciones en la nube.
Así que cuando Storm-0558 obtuvo una clave creada en 2016 (que debería haber sido desactivada), obtuvo la capacidad de acceder a la versión de Outlook Web Access proporcionada a los consumidores. Las cosas se intensificaron a partir de ahí, ya que una falla en el sistema de Microsoft significó que la clave MSA de 2016 podía crear tokens que permitían el acceso a cuentas de correo electrónico corporativas, no solo a servicios al consumidor administrados por la creación de MSA. Como resultado, Storm-0558 pudo crear tokens que le dieron acceso a clientes de Microsoft, como el Departamento de Estado de EE. UU.
La banda hizo precisamente eso, robando aproximadamente 60,000 correos electrónicos del departamento, junto con una lista de direcciones de correo electrónico de todos los empleados.
El informe señala que, si bien otros proveedores de nube son mejores en la rotación de claves y en la implementación de otros controles de seguridad, Microsoft no lo es. Como resultado, el informe critica a Microsoft por no poder detectar la fuga de sus claves.
Microsoft también ha sido criticada por sus lentos esfuerzos para corregir el registro público. Redmond afirmó que el ataque fue posible porque una clave de cifrado maestra estaba presente en un volcado de fallos que se trasladó a un entorno de depuración conectado a Internet. Pero Microsoft nunca ha probado esta teoría.
Desprecio por la gestión de riesgos de seguridad
Otro tema del informe es que Microsoft "no pone la gestión de riesgos de seguridad en un nivel acorde con la amenaza o la importancia crítica de la tecnología de Microsoft para sus más de 1,000 millones de clientes en todo el mundo".
Los investigadores consideraron a los pares de múltiples nubes de Microsoft y los encontraron más cautelosos que el gigante de Windows. "Microsoft no ha priorizado suficientemente la reconstrucción de su infraestructura heredada para enfrentar el panorama de amenazas actual", encontraron los autores.

