La extensa campaña de piratería, considerada una grave amenaza para la seguridad nacional de Estados Unidos, se conoció como SolarWinds, por la empresa cuya actualización de software fue sembrada por agentes de inteligencia rusos con malware para penetrar en redes gubernamentales y privadas sensibles.

(AP)-Sin embargo, fue Microsoft cuyo código los espías cibernéticos abusaron persistentemente en la segunda etapa de la campaña, revisando correos electrónicos y otros archivos de objetivos tan valiosos como el entonces jefe de Seguridad Nacional en funciones, Chad Wolf, y saltando sin ser detectados entre las redes de víctimas.

Esto ha puesto a la tercera empresa más valiosa del mundo en un aprieto. Debido a que sus productos son un monocultivo de facto en el gobierno y la industria, con más del 85% de participación de mercado, los legisladores federales insisten en que Microsoft actualice rápidamente la seguridad a lo que dicen que debería haber proporcionado en primer lugar, y sin desplumar a los contribuyentes.

Buscando calmar las preocupaciones, Microsoft ofreció la semana pasada a todas las agencias federales un año de características de seguridad “avanzadas” sin cargo adicional. Pero también busca desviar la culpa, diciendo que son los clientes los que no siempre hacen de la seguridad una prioridad.

Los riesgos en las relaciones exteriores de Microsoft también se aliviaron cuando la administración Biden impuso sanciones el jueves a media docena de empresas de TI rusas que, según dijo, apoyan la piratería del Kremlin. La más destacada fue Positive Technologies, que se encontraba entre las más de 80 empresas a las que Microsoft ha proporcionado acceso temprano a datos sobre vulnerabilidades detectadas en sus productos. Tras el anuncio de las sanciones, Microsoft dijo que Positive Tech ya no estaba en el programa y eliminó su nombre de una lista de participantes en su sitio web.

Los piratas informáticos de SolarWinds aprovecharon al máximo lo que George Kurtz, director ejecutivo de la principal empresa de ciberseguridad CrowdStrike, llamó «debilidades sistemáticas» en elementos clave del código de Microsoft para extraer al menos nueve agencias gubernamentales de EE. UU., Entre ellas los departamentos de Justicia y Tesoro, y más. de 100 empresas privadas y think tanks, incluidos proveedores de software y telecomunicaciones.

El abuso de los piratas informáticos de SolarWinds de la identidad y la arquitectura de acceso de Microsoft, que valida las identidades de los usuarios y les otorga acceso a correo electrónico, documentos y otros datos, causó el daño más dramático, dijo el grupo de expertos no partidista Atlantic Council en un informe. Eso distingue al hack como «un golpe de inteligencia generalizado». En casi todos los casos de travesuras posteriores a la intrusión, los intrusos «se movían silenciosamente a través de los productos de Microsoft» aspirando correos electrónicos y archivos de docenas de organizaciones «.

Gracias en parte a la carta blanca que las redes de víctimas otorgaron al software de administración de red Solarwinds infectado en forma de privilegios administrativos, los intrusos podían moverse lateralmente a través de ellos, incluso saltar entre organizaciones. Lo usaron para colarse en la empresa de ciberseguridad Malwarebytes y para apuntar a los clientes de Mimecast, una empresa de seguridad de correo electrónico.

El «sello distintivo» de la campaña fue la capacidad de los intrusos para hacerse pasar por usuarios legítimos y crear credenciales falsificadas que les permitieran capturar datos almacenados de forma remota por Microsoft Office, dijo el director interino de la Agencia de Seguridad e Infraestructura de Ciberseguridad, Brandon Wales, en una audiencia en el Congreso a mediados de marzo. . «Todo fue porque comprometieron los sistemas que administran la confianza y la identidad en las redes», dijo.

El presidente de Microsoft, Brad Smith, dijo en una audiencia del Congreso en febrero que solo el 15% de las víctimas se vieron comprometidas a través de una vulnerabilidad de autenticación identificada por primera vez en 2017 , lo que permite a los intrusos hacerse pasar por usuarios autorizados acuñando el equivalente aproximado de pasaportes falsificados.

Los funcionarios de Microsoft enfatizan que la actualización de SolarWinds no siempre fue el punto de entrada; Los intrusos a veces se aprovecharon de vulnerabilidades como contraseñas débiles y la falta de autenticación multifactor de las víctimas. Pero los críticos dicen que la empresa se tomó la seguridad demasiado a la ligera. El senador Ron Wyden, demócrata de Oregón, golpeó verbalmente a Microsoft por no proporcionar a las agencias federales un nivel de «registro de eventos» que, si no hubiera detectado el pirateo de SolarWinds en curso, al menos habría proporcionado a los respondedores un registro de dónde los intrusos fueron y lo que vieron y sacaron.

«Microsoft elige la configuración predeterminada en el software que vende, y aunque la empresa conocía durante años la técnica de piratería utilizada contra las agencias gubernamentales de EE. UU., La empresa no estableció la configuración de registro predeterminada para capturar la información necesaria para detectar piratería en curso», Wyden dicho. No fue el único legislador federal que se quejó.

Cuando Microsoft anunció el miércoles un año de registro de seguridad gratuito para las agencias federales, por lo que normalmente cobra una prima, Wyden no se apaciguó.

«Este movimiento está muy por debajo de lo que se necesita para compensar las fallas recientes de Microsoft», dijo en un comunicado. «El gobierno todavía no tendrá acceso a importantes funciones de seguridad sin entregar aún más dinero a la misma empresa que creó este sumidero de ciberseguridad».

El representante Jim Langevin, DR.I., había presionado a Smith en febrero sobre la venta adicional de registros de seguridad, comparándolo con la fabricación de opciones de cinturones de seguridad y bolsas de aire en los automóviles cuando deberían ser estándar. Elogió a Microsoft por el respiro de un año, pero dijo que se debe entablar una conversación a largo plazo sobre que «no es un centro de ganancias». Dijo «esto nos compra un año».

Sin embargo, incluso el nivel más alto de registro no evita los robos. Solo facilita su detección.

Y recuerde, señalan muchos profesionales de la seguridad, Microsoft se vio comprometido por los intrusos de SolarWinds, que obtuvieron acceso a parte de su código fuente: sus joyas de la corona. El conjunto completo de productos de seguridad de Microsoft, y algunos de los profesionales de ciberdefensa más capacitados de la industria, no habían logrado detectar el fantasma en la red. FireEye, la empresa de ciberseguridad que detectó por primera vez la campaña de piratería a mediados de diciembre, lo alertó sobre su propia infracción.

Los intrusos en el ataque no relacionado de los servidores de correo electrónico de Microsoft Exchange revelado en marzo, atribuidos a espías chinos, utilizaron métodos de infección completamente diferentes. Pero obtuvieron acceso inmediato de alto nivel al correo electrónico de los usuarios y otra información.

En toda la industria, las inversiones de Microsoft en seguridad son ampliamente reconocidas. A menudo, es el primero en identificar las principales amenazas de ciberseguridad, su visibilidad en las redes es muy grande. Pero muchos argumentan que, como proveedor principal de soluciones de seguridad para sus productos, debe ser más consciente de cuánto debería beneficiarse de la defensa.

“El quid de esto es que Microsoft te está vendiendo la enfermedad y la cura”, dijo Marc Maiffret, un veterano de la seguridad cibernética que construyó una carrera encontrando vulnerabilidades en los productos de Microsoft y tiene una nueva puesta en marcha llamada BinMave.

El mes pasado, Reuters informó que un pago de 150 millones de dólares a Microsoft por una «plataforma segura en la nube» se incluyó en un borrador para gastar los 650 millones de dólares asignados a la Agencia de Seguridad de Infraestructura y Ciberseguridad en la ley de ayuda pandémica de 1,9 billones de dólares del mes pasado.

Un portavoz de Microsoft no dijo cuánto dinero recibiría, si es que recibiría alguno, y remitió la pregunta a la agencia de ciberseguridad. Un portavoz de la agencia, Scott McConnell, tampoco lo dijo. Langevin dijo que no cree que se haya tomado una decisión final.

En el año presupuestario que finalizó en septiembre, el gobierno federal gastó más de 500 millones de dólares en software y servicios de Microsoft.

Muchos expertos en seguridad creen que el modelo de inicio de sesión único de Microsoft, que enfatiza la conveniencia del usuario sobre la seguridad, está listo para ser rediseñado para reflejar un mundo donde los piratas informáticos respaldados por el estado ahora rutinariamente pisotean las redes estadounidenses.

Alex Weinert, director de seguridad de identidad de Microsoft, dijo que ofrece varias formas para que los clientes limiten estrictamente el acceso de los usuarios a lo que necesitan para hacer su trabajo. Pero lograr que los clientes se unan puede ser difícil porque a menudo significa abandonar tres décadas de hábito de TI e interrumpir el negocio. Los clientes tienden a configurar demasiadas cuentas con los amplios privilegios administrativos globales que permitieron los abusos de la campaña SolarWinds, dijo. «No es la única forma en que pueden hacerlo, eso es seguro».

En 2014-2015, las laxas restricciones de acceso ayudaron a los espías chinos a robar datos personales confidenciales de más de 21 millones de empleados federales actuales, anteriores y potenciales de la Oficina de Gestión de Personal.

Curtis Dukes era el jefe de aseguramiento de la información de la Agencia de Seguridad Nacional en ese momento.

La OPM compartió datos entre múltiples agencias usando la arquitectura de autenticación de Microsoft, otorgando acceso a más usuarios de los que debería tener de manera segura, dijo Dukes, ahora director gerente del Centro para la Seguridad de Internet sin fines de lucro.