De Amerikaanse Cyber Safety Review Board (CSRB) heeft Microsoft bekritiseerd vanwege een reeks veiligheidsfouten die vorig jaar hebben geleid tot de inbreuk op bijna twintig bedrijven in Europa en de VS door een in China gevestigde natiestaatgroep genaamd Storm-0558.
Uit de bevindingen, dinsdag vrijgegeven door het Department of Homeland Security (DHS), bleek dat de inbraak te voorkomen was en dat deze succesvol werd dankzij een “cascade van vermijdbare fouten van Microsoft”.
“Het identificeerde een reeks operationele en strategische beslissingen van Microsoft die gezamenlijk wezen op een bedrijfscultuur die de prioriteit gaf aan bedrijfsbeveiligingsinvesteringen en rigoureus risicobeheer, in strijd met de centrale rol van het bedrijf in het technologie-ecosysteem en het niveau van vertrouwen dat klanten in het bedrijf stellen om te beschermen. hun gegevens en operaties”, aldus het DHS in een verklaring.
De CSRB hekelde de techgigant ook omdat hij er niet in was geslaagd het compromis zelf op te sporen, maar in plaats daarvan vertrouwde op een klant die contact opnam om de inbreuk te signaleren. Het verweet Microsoft verder dat het geen prioriteit had gegeven aan de ontwikkeling van een geautomatiseerde oplossing voor sleutelroulatie en het opnieuw ontwerpen van de bestaande infrastructuur om aan de behoeften van het huidige bedreigingslandschap te voldoen.
Het incident kwam voor het eerst aan het licht in juli 2023 toen Microsoft onthulde dat Storm-0558 ongeautoriseerde toegang kreeg tot 22 organisaties en tot meer dan 500 gerelateerde individuele consumentenaccounts.
Microsoft zei vervolgens dat een validatiefout in de broncode het mogelijk maakte dat Azure Active Directory-tokens (Azure AD) door Storm-0558 konden worden vervalst met behulp van een Microsoft-account (MSA)-consumentenondertekeningssleutel, waardoor de tegenstander de mailboxen kon infiltreren.
In september 2023 maakte het bedrijf bekend dat Storm-0558 de ondertekeningssleutel voor consumenten had verworven om de tokens te vervalsen door het bedrijfsaccount van een ingenieur in gevaar te brengen die toegang had tot een foutopsporingsomgeving die een crashdump van zijn ondertekeningssysteem voor consumenten hostte en die ook onbedoeld de ondertekeningssleutel bevatte.
Microsoft heeft sindsdien in een update van maart 2024 erkend dat deze onnauwkeurig was en dat het nog steeds geen “crashdump met het getroffen sleutelmateriaal” heeft kunnen lokaliseren. Het bedrijf zei ook dat het onderzoek naar de hack nog steeds gaande is.
“Onze leidende hypothese blijft dat operationele fouten ertoe hebben geleid dat sleutelmateriaal de veilige token-ondertekeningsomgeving heeft verlaten, waar vervolgens toegang tot werd verkregen in een foutopsporingsomgeving via een gecompromitteerd technisch account”, aldus het rapport.
“Recente gebeurtenissen hebben de noodzaak aangetoond om een nieuwe cultuur van technische beveiliging in onze eigen netwerken te adopteren”, zei een Microsoft-woordvoerder tegen The Washington Post.
Er wordt aangenomen dat maar liefst 60.000 niet-geclassificeerde e-mails van Outlook-accounts zijn geëxfiltreerd in de loop van de campagne die in mei 2023 begon. China heeft de beschuldigingen afgewezen dat het achter de aanval zat.
Eerder deze februari breidde Redmond de gratis logmogelijkheden uit naar alle Amerikaanse federale instanties die Microsoft Purview Audit gebruiken, ongeacht het licentieniveau, om hen te helpen geavanceerde cyberaanvallen te detecteren, erop te reageren en te voorkomen.
“De dreigingsactoren die verantwoordelijk zijn voor deze brutale inbraak wordt al meer dan twintig jaar door de industrie gevolgd en in verband gebracht met Operatie Aurora uit 2009 en RSA SecureID-compromissen uit 2011”, aldus CSRB waarnemend vicevoorzitter Dmitri Alperovitch.
“Deze aan de Volksrepubliek China gelieerde groep hackers heeft het vermogen en de intentie om identiteitssystemen in gevaar te brengen om toegang te krijgen tot gevoelige gegevens, waaronder e-mails van personen die van belang zijn voor de Chinese overheid.”
Om zich te beschermen tegen dreigingen van door de staat gesponsorde actoren, wordt aan aanbieders van clouddiensten aangeraden om:
- Implementeer moderne controlemechanismen en basispraktijken
- Hanteer een minimumstandaard voor standaard auditlogboekregistratie in cloudservices
- Integreer opkomende digitale identiteitsstandaarden om cloudservices te beveiligen
- Pas praktijken voor het openbaar maken van incidenten en kwetsbaarheden toe om de transparantie te maximaliseren
- Ontwikkel effectievere mechanismen voor het melden en ondersteunen van slachtoffers om inspanningen voor het delen van informatie te stimuleren
“De regering van de Verenigde Staten zou het Federal Risk Authorization Management Program en de ondersteunende raamwerken moeten bijwerken en een proces moeten opzetten voor het uitvoeren van discretionaire speciale beoordelingen van de geautoriseerde Cloud Service-aanbiedingen van het programma na bijzonder ingrijpende situaties”, aldus de CSRB.
