.
A Microsoft mais uma vez foi criticada pelas práticas de segurança do Azure e suas outras ofertas de nuvem, com o CEO da empresa de segurança Tenable dizendo que a Microsoft é “grosseiramente irresponsável” e atolada em uma “cultura de ofuscação tóxica”.
Os comentários de Amit Yoran, presidente e CEO da Tenable, vêm seis dias depois que o senador Ron Wyden (D-Ore.) criticou a Microsoft pelo que ele disse serem “práticas negligentes de segurança cibernética” que permitiram que hackers apoiados pelo governo chinês roubassem centenas de milhares de e-mails de clientes de nuvem, incluindo funcionários dos Departamentos de Estado e Comércio dos EUA. A Microsoft ainda não forneceu detalhes importantes sobre a misteriosa violação, que envolveu os hackers obtendo uma chave de criptografia extraordinariamente poderosa que concede acesso a uma variedade de outros serviços em nuvem. A empresa tem se esforçado desde então para obscurecer o papel de sua infraestrutura na violação em massa.
Os críticos se acumulam
Na quarta-feira, Yoran foi ao LinkedIn para castigar a Microsoft por não corrigir o que a empresa disse na segunda-feira ser um problema “crítico” que dá aos hackers acesso não autorizado a dados e aplicativos gerenciados pelo Azure AD, uma oferta de nuvem da Microsoft para gerenciar a autenticação do usuário em grandes organizações. A divulgação de segunda-feira disse que a empresa notificou a Microsoft sobre o problema em março e que a Microsoft informou 16 semanas depois que havia sido corrigida. Os pesquisadores da Tenable disseram à Microsoft que a correção estava incompleta. A Microsoft definiu a data para fornecer uma correção completa para 28 de setembro.
“Para se ter uma ideia de como isso é ruim, nossa equipe descobriu muito rapidamente os segredos de autenticação de um banco”, escreveu Yoran. “Eles estavam tão preocupados com a seriedade e a ética do problema que imediatamente notificamos a Microsoft.” Ele continuou:
A Microsoft corrigiu rapidamente o problema que poderia levar efetivamente à violação das redes e serviços de vários clientes? Claro que não. Eles levaram mais de 90 dias para implementar uma correção parcial – e apenas para novos aplicativos carregados no serviço.
Um representante da Microsoft disse que a Microsoft não fez um comentário imediato em resposta à postagem de Yoran. Respondendo à carta de Wyden na semana passada, a Microsoft ignorou as críticas, dizendo: “Este incidente demonstra os desafios crescentes da segurança cibernética diante de ataques sofisticados. Continuamos a trabalhar diretamente com agências governamentais nesta questão e mantemos nosso compromisso de continuar compartilhando informações no blog Microsoft Threat Intelligence.”
A Tenable está discutindo o problema apenas em termos gerais para impedir que hackers mal-intencionados aprendam como explorá-lo ativamente na natureza. Em um e-mail, os funcionários da empresa disseram: “Existe uma vulnerabilidade que fornece acesso à malha do Azure, no mínimo. Uma vez conhecidos os detalhes dessa vulnerabilidade, a exploração é relativamente trivial. É por esta razão que estamos retendo todos os detalhes técnicos.” Embora a postagem de Yoran e a divulgação da Tenable evitem a palavra vulnerabilidade, o e-mail dizia que o termo é preciso.
A postagem veio no mesmo dia em que a empresa de segurança Sygnia divulgou um conjunto do que chamou de “vetores” que poderiam ser aproveitados após uma violação bem-sucedida de uma conta do Azure AD Connect. Os vetores permitem que os invasores interceptem credenciais por meio de ataques man-in-the-middle ou roubem hashes criptográficos de senhas injetando código malicioso em um processo de sincronização de hash. A injeção de código também pode permitir que invasores obtenham uma presença persistente dentro da conta com baixa probabilidade de serem detectados.
“A configuração padrão expõe os clientes aos vetores descritos apenas se o acesso privilegiado for obtido ao servidor AD Connect”, escreveu Ilia Rabinovich, diretor de táticas adversárias da Sygnia, em um e-mail. “Portanto, um ator de ameaça precisa realizar etapas preliminares antes de prosseguir com o processo de exploração dos vetores.”
Defeitos graves de segurança cibernética
Na carta da semana passada aos chefes do Departamento de Justiça, da Federal Trade Commission e da Cybersecurity and Infrastructure Security Agency, Wyden acusou a Microsoft de esconder seu papel no ataque à cadeia de suprimentos da SolarWinds em 2020, que os hackers do Kremlin usaram para infectar 18.000 clientes da rede. softwares de gerenciamento. Um subconjunto desses clientes, incluindo nove agências federais e 100 organizações, recebeu ataques subsequentes que violaram suas redes. O senador passou a culpar a Microsoft pela recente violação em massa dos Departamentos de Estado e Comércio e de outros clientes do Azure. Falhas específicas, disse Wyden, incluíam a Microsoft ter “uma única chave mestra que, quando inevitavelmente roubada, poderia ser usada para forjar o acesso às comunicações privadas de diferentes clientes”. Ele também culpou a Microsoft por esperar cinco anos para atualizar a chave de assinatura abusada nos ataques, dizendo que as melhores práticas são alternar as chaves com mais frequência. Ele também criticou a empresa por permitir tokens de autenticação assinados por uma chave expirada, como foi o caso do ataque.
“Embora os engenheiros da Microsoft nunca devessem ter implantado sistemas que violassem tais princípios básicos de segurança cibernética, essas falhas óbvias deveriam ter sido detectadas pelas auditorias de segurança internas e externas da Microsoft”, escreveu Wyden. “O fato de essas falhas não terem sido detectadas levanta questões sobre quais outros defeitos graves de segurança cibernética esses auditores também deixaram passar.”
No post de quarta-feira, Yoran expressou basicamente as mesmas críticas.
“O que você ouve da Microsoft é ‘apenas confie em nós’, mas o que você recebe é muito pouca transparência e uma cultura de ofuscação tóxica”, escreveu ele. “Como um CISO, conselho de administração ou equipe executiva pode acreditar que a Microsoft fará a coisa certa, dados os padrões de fatos e os comportamentos atuais? O histórico da Microsoft coloca todos nós em risco. E é ainda pior do que pensávamos.”
.
