Los Ataques a Servicios de Microsoft Pudieron Ser Evitados Según el CSRB

El pasado 20 de marzo se emitió el reporte realizado por “Cyber Safety Review Board” con respecto al ataque sufrido a una variedad empresas en los Estados Unidos y Reino Unido a través de los buzones de correo pertenecientes a (Microsoft) Exchange Online en 2023.

Según el reporte, el ataque culminó con el acceso a los buzones de personajes claves por al menos seis semanas y se estima que se descargaron alrededor de 60,000 correos electrónicos. El ataque se cree que fue realizado por “Storm-0558” una entidad que se cree tiene vínculos con la República Popular de China.

Según el reporte algunas de las entidades afectadas por la intrusión de estos buzones almacenados en la nube de Microsoft son el departamento de estado (USA), el departamento de comercio (USA), la casa de representantes (USA) y algunos de los individuos que se mencionan afectados son la secretaria de comercio Gina Raimondo, el congresista Don Bacon, el embajador americano de la Republica Popular de China R. Nicholas Burns, el subsecretario de Estados Unidos para asuntos de Asia Oriental y el Pacifico entre otros individuos de 22 organizaciones adicionales.

El 16 Junio de 2023, el departamento de estado contactó a Microsoft para informar de anomalías en buzones de correo electrónico observadas en los registros de MailItemsAccessed (el departamento de estado cuenta con una licencia G5 que brinda acceso a registros generados por Microsoft a través de PureView Audit), estas anomalías las había detectado un día anterior.

_{Mensaje de notificación a las victimas. Imágen extraída del reporte emitido por la CSBR.}

Para el 26 de junio Microsoft sabía que tenía 3 problemas: alguien estaba generando tokens a partir de llaves firmadas con un Microsoft Service Account (MSA); Estas llaves eran de 2016 por lo que debieron de dejar de funcionar en Marzo de 2021; alguien estaba utilizando estas llaves para ingresar a buzones de correo empresariales.

"La Junta concluye que esta intrusión nunca debería haber ocurrido. Storm-0558 pudo tener éxito gracias a una cascada de fallas de seguridad en Microsoft, como se describe en este informe."  - Presidente del Cyber Safety Review Board

El 27 de junio Microsoft informó que había identificado el método de operación de Storm-0558 y rápidamente realizó una maniobra para invalidar las llaves. Posterior a este movimiento, se identificó que Storm-0558 inició una campaña de phishing sobre las victimas con la finalidad de ganar acceso a las cuentas por otro método.

Aunque Microsoft no pudo determinar cuando o como se obtuvo acceso a esas llaves por parte de Storm-0558, se cree que se obtuvieron el 2021 aprovechándose de los procedimientos generados debido a la brecha tecnológica de 20 años, desde la creación del proceso de identidades de las cuentas MSA y los actuales servicios de identidades en la nube (aka Microsoft Entra).

• Cultura de seguridad. Se determinó que la cultura de la seguridad es inadecuada entre las que se destacan la cascada de errores que dieron pie a que el ataque fuera exitoso, la falta de efectividad para detectar e identificar sus propias llaves criptográficas comprometidas, la decisión manual de detener la rotación de las llaves antes mencionadas, entre otras.
• Prácticas de Ciberseguridad entre Proveedores de Servicios en Nube. Se identificaron muchas mejoras de seguridad que mejorarían en gran medida la operación en la nube. Entre las mejoras se describen: rotación automatizada de las llaves; almacenar las llaves en sistemas aislados y segmentados; uso de validación de token con estado, limitar el rango de uso de las llaves entre otros. 
• Prácticas de Ciberseguridad entre Proveedores de Servicios en Nube. Se identificaron muchas mejoras de seguridad que mejorarían en gran medida la operación en la nube. Entre las mejoras se describen: rotación automatizada de las llaves; almacenar las llaves en sistemas aislados y segmentados; uso de validación de token con estado, limitar el rango de uso de las llaves entre otros. 
• Estándares en Identidades Digitales y Guía. Se identificó que varios proveedores de servicios en nube no cuentan con estándares que respalden las actividades de seguridad contra las amenazas y actores modernos. Se recomienda el uso de, por ejemplo 'open authorization' (OAuth) 2, 'Demostrating Proof-of-Possession' y 'OpenID Shared Signal and Events' entre otras recomendaciones.
• Transparencia en los Proveedores de Servicios de Nube. Se recomienda a los proveedores de servicios de nube ser mas transparentes en las incidencias y vulnerabilidades esto ayudará a los propios clientes a tomar decisiones sobre su tolerancia en riesgo y las decisiones de inversión, entre otras recomendaciones. 
• Proceso de Notificación a las Victimas.  En esta situación particular, debido al nivel de confidencialidad entre las victimas (personal con alto perfil) no le fue posible compartir a Microsoft el nombre de las posibles victimas con sus empleados, por lo que se recomienda mejorar el proceso para este tipo de situaciones entre el gobierno de los Estados Unidos y los proveedores de servicios en la nube. 

Actores:
Cyber Safety Review Board. La Junta cumple una función deliberativa para revisar y evaluar incidentes cibernéticos importantes y hacer recomendaciones concretas que impulsarían mejoras dentro de los sectores público y privado.

Storm-0558. Microsoft describió a Storm-0558 como “un actor de amenazas con sede en China con actividades y métodos consistentes con objetivos de espionaje”.

Microsoft. Microsoft Corporation es una corporación multinacional y una empresa de tecnología estadounidense con sede en Redmond, Washington.

Quieres escribir en este blog, escribenos a r00t3d@rootednations.com