Microsoft: Microsoft falhou em reforçar as defesas que poderiam ter limitado o hack do SolarWinds

Microsoft O fracasso da Corp em corrigir problemas conhecidos com seu software em nuvem facilitou o enorme SolarWinds hack que comprometeu pelo menos nove agências do governo federal, de acordo com especialistas em segurança e o gabinete do senador dos EUA Ron Wyden.

Uma vulnerabilidade revelada publicamente por pesquisadores em 2017 permite que os hackers falsifiquem a identidade de funcionários autorizados para obter acesso aos serviços em nuvem dos clientes. A técnica foi uma das muitas usadas no hack do SolarWinds.

Wyden, que criticou empresas de tecnologia por questões de segurança e privacidade como membro do Comitê de Inteligência do Senado, criticou a Microsoft por não fazer mais para evitar identidades falsificadas ou alertar os clientes sobre isso.

“O governo federal gasta bilhões em software da Microsoft”, disse Wyden à Reuters antes de uma audiência da SolarWinds na sexta-feira na Câmara dos Representantes.

“Deve-se ter cuidado ao gastar mais antes de descobrir por que a empresa não avisou o governo sobre a técnica de hacking que os russos usaram, que a Microsoft conhecia desde pelo menos 2017”, disse ele.

O presidente da Microsoft, Brad Smith, testemunhará na sexta-feira perante o comitê da Câmara que investiga os hacks do SolarWinds.

Autoridades americanas culparam a Rússia pela enorme operação de inteligência que penetrou a SolarWinds, que fabrica software para gerenciar redes, assim como a Microsoft e outros, para roubar dados de vários governos e cerca de 100 empresas. A Rússia nega responsabilidade.

A Microsoft contestou as conclusões de Wyden, dizendo à Reuters que o design de seus serviços de identidade não era o culpado.

Em resposta às perguntas por escrito de Wyden em 10 de fevereiro, um lobista da Microsoft disse que o truque de identidade, conhecido como Golden SAML, “nunca foi usado em um ataque real” e “não foi priorizado pela comunidade de inteligência como um risco, nem foi é sinalizado por agências civis. ”

Mas em um comunicado público após o hack da SolarWinds, em 17 de dezembro, a Agência de Segurança Nacional pediu um monitoramento mais próximo dos serviços de identidade, observando: “Esta técnica de falsificação de SAML é conhecida e usada por ciberatores desde pelo menos 2017.”

Em resposta a perguntas adicionais da Wyden esta semana, a Microsoft reconheceu que seus programas não foram configurados para detectar o roubo de ferramentas de identidade para conceder acesso à nuvem.

Trey Herr, diretor da Cyber ​​Statecraft Initiative no Atlantic Council, disse que a falha mostrou que os riscos à segurança da nuvem deveriam ser uma prioridade mais alta.

O abuso sofisticado de identidades dos hackers “expõe uma fraqueza preocupante em como os gigantes da computação em nuvem investem em segurança, talvez não conseguindo mitigar adequadamente o risco de falhas de alto impacto e baixa probabilidade nos sistemas que estão na raiz de seu modelo de segurança”, disse Herr.

Em depoimento no Congresso na terça-feira, Smith, da Microsoft, disse que apenas cerca de 15% das vítimas da campanha Solar Winds foram feridas via Golden SAML. Mesmo nesses casos, os hackers já deveriam ter obtido acesso aos sistemas antes de implantar o método.

Mas a equipe de Wyden disse que uma dessas vítimas foi o Tesouro dos EUA, que perdeu e-mails de dezenas de funcionários.