.
Getty Images
Um senador dos EUA está pedindo ao Departamento de Justiça que responsabilize a Microsoft por “práticas negligentes de segurança cibernética” que permitiram que hackers de espionagem chineses roubassem centenas de milhares de e-mails de clientes da nuvem, incluindo funcionários dos Departamentos de Estado e Comércio dos EUA.
“Responsabilizar a Microsoft por sua negligência exigirá um esforço de todo o governo”, escreveu Ron Wyden (D-Ore.) em uma carta. Ele foi enviado na quinta-feira aos chefes do Departamento de Justiça, da Agência de Segurança Cibernética e de Infraestrutura e da Comissão Federal de Comércio.
Curvando-se para trás
As observações de Wyden ecoam as de outros críticos que dizem que a Microsoft está retendo detalhes importantes sobre um hack recente. Nas divulgações envolvendo o incidente até agora, a Microsoft se esforçou para evitar dizer que sua infraestrutura – incluindo o Azure Active Directory, uma parte supostamente fortificada das ofertas de nuvem da Microsoft que grandes organizações usam para gerenciar o logon único e a autenticação multifator – foi violada. Os críticos disseram que os detalhes que a Microsoft divulgou até agora levam à conclusão inescapável de que as vulnerabilidades no código do Azure AD e outras ofertas de nuvem foram exploradas para realizar o hack bem-sucedido.
O fabricante de software e provedor de nuvem indicou que o comprometimento resultou do desencadeamento de pontos fracos no Azure AD ou em seu serviço de e-mail Exchange Online. A equipe de inteligência de ameaças da Microsoft disse que o Storm-0558, um grupo de hackers com sede na China que realiza espionagem em nome do governo daquele país, os explorou a partir de 15 de maio. a intrusão. Até então, Storm-0558 havia violado contas pertencentes a 25 organizações.
A Microsoft usou termos amorfos como “problema”, “erro” e “falha” ao tentar explicar como os hackers do estado-nação rastrearam as contas de e-mail de alguns dos maiores clientes da empresa. Uma dessas fraquezas permitiu que os invasores adquirissem uma chave de criptografia expirada da conta da Microsoft usada para fazer login dos consumidores nas contas do Exchange. Treze dias atrás, a empresa disse que ainda não sabia como Storm-0558 adquiriu a chave e ainda não forneceu nenhuma atualização desde então.
A Microsoft disse que uma “análise aprofundada” descobriu que os hackers foram capazes de usar a conta da Microsoft, abreviada como MSA, chave para forjar tokens de login válidos do Azure AD. Embora a Microsoft pretendesse que as chaves MSA assinassem apenas tokens para contas de consumidores, os hackers conseguiram usá-las para assinar tokens de acesso ao Azure AD. A falsificação, disse a Microsoft, “foi possível devido a um erro de validação no código da Microsoft”.
Wyden pediu ao procurador-geral dos EUA, Merrick B. Garland, à diretora da agência de segurança cibernética e de infraestrutura, Jen Easterly, e à presidente da Comissão Federal de Comércio, Lina Khan, que responsabilizem a Microsoft pela violação. Ele acusou a Microsoft de esconder o papel que desempenhou no ataque à cadeia de suprimentos da SolarWinds, que os hackers do Kremlin usaram para infectar 18.000 clientes da fabricante de software de gerenciamento de rede em Austin, Texas. Um subconjunto desses clientes, incluindo nove agências federais e 100 organizações, recebeu ataques subsequentes que violaram suas redes.
Ele comparou essas práticas no caso da SolarWinds àquelas que, segundo ele, levaram à violação mais recente dos Departamentos de Comércio e Estado e de outros grandes clientes.
Na carta de quinta-feira, Wyden escreveu:
Mesmo com os detalhes limitados que foram divulgados até agora, a Microsoft tem uma responsabilidade significativa por este novo incidente. Primeiro, a Microsoft não deveria ter uma única chave mestra que, quando inevitavelmente roubada, pudesse ser usada para forjar o acesso às comunicações privadas de diferentes clientes. Em segundo lugar, como a Microsoft apontou após o incidente da SolarWinds, as chaves de criptografia de alto valor devem ser armazenadas em um HSM, cuja única função é impedir o roubo de chaves de criptografia. Mas a admissão da Microsoft de que eles agora moveram as chaves de criptografia do consumidor para um “armazenamento de chaves reforçado usado para nossos sistemas corporativos” levanta sérias questões sobre se a Microsoft seguiu seu próprio conselho de segurança e armazenou essas chaves em um HSM. Em terceiro lugar, a chave de criptografia usada neste hack mais recente foi criada pela Microsoft em 2016 e expirou em 2021. As diretrizes federais de segurança cibernética, as melhores práticas do setor e as próprias recomendações da Microsoft aos clientes determinam que as chaves de criptografia sejam atualizadas com mais frequência, para o motivo pelo qual eles podem ficar comprometidos. E os tokens de autenticação assinados por uma chave expirada nunca deveriam ter sido aceitos como válidos. Por fim, embora os engenheiros da Microsoft nunca devessem ter implantado sistemas que violassem esses princípios básicos de segurança cibernética, essas falhas óbvias deveriam ter sido detectadas pelas auditorias de segurança internas e externas da Microsoft. O fato de essas falhas não terem sido detectadas levanta questões sobre quais outros defeitos graves de segurança cibernética esses auditores também deixaram passar.
As observações de Wyden vieram seis dias depois que pesquisadores da empresa de segurança Wiz relataram que a chave MSA adquirida pelos hackers deu a eles a capacidade de forjar tokens para vários tipos de aplicativos do Azure Active Directory. Eles incluem todos os aplicativos que oferecem suporte à autenticação de conta pessoal, como SharePoint, Teams, OneDrive e alguns aplicativos personalizados.
“O impacto total desse incidente é muito maior do que pensávamos inicialmente”, escreveram os pesquisadores do Wiz. “Acreditamos que este evento terá implicações duradouras em nossa confiança na nuvem e nos principais componentes que a suportam, acima de tudo, a camada de identidade que é a estrutura básica de tudo o que fazemos na nuvem. Devemos aprender com isso e melhorar.”
.
