Críticas contundentes à Microsoft por segurança “gravemente irresponsável”
A Microsoft tem sido criticada pela sua falta de segurança no Azure e outras ofertas na nuvem, sendo acusada de ser “irresponsável” e de ter uma “cultura de obstrução tóxica”. A crítica veio do CEO da empresa de segurança Tenable.
A Microsoft está a enfrentar duras críticas mais uma vez pelas suas práticas de segurança no Azure e em outros serviços de nuvem. O CEO da empresa de segurança Tenable, Amit Yoran, afirmou que a Microsoft é “extremamente irresponsável” e está envolvida em uma “cultura de obstrução tóxica”.
As críticas de Yoran surgem seis dias após o senador Ron Wyden (D-Ore.) ter acusado a Microsoft de práticas de segurança negligentes que permitiram que hackers apoiados pelo governo chinês roubassem centenas de milhares de e-mails de clientes de nuvem, incluindo autoridades dos Departamentos de Estado e Comércio dos EUA. Até o momento, a Microsoft não forneceu detalhes importantes sobre o misterioso ataque, no qual os hackers obtiveram uma chave de criptografia extremamente poderosa que concedia acesso a vários outros serviços de nuvem da empresa. Desde então, a empresa tem se esforçado para obscurecer o papel de sua infraestrutura no ataque em massa.
Críticas acumulam-se
Na quarta-feira, Yoran usou o LinkedIn para criticar a Microsoft por não corrigir o que a empresa afirmou ser um “problema crítico” que dá a hackers acesso não autorizado a dados e aplicações geridas pelo Azure AD, um serviço de nuvem da Microsoft para gestão de autenticação de utilizadores em grandes organizações. A divulgação de segunda-feira afirmou que a empresa notificou a Microsoft do problema em março e que a Microsoft informou, 16 semanas depois, que o problema havia sido corrigido. No entanto, pesquisadores da Tenable informaram à Microsoft que a correção estava incompleta. A data prevista para fornecer uma correção completa é 28 de setembro.
“Para ter uma ideia de quão grave isso é, nossa equipa descobriu rapidamente segredos de autenticação de um banco”, escreveu Yoran. “Estávamos tão preocupados com a gravidade e a ética do problema que notificamos imediatamente a Microsoft.” Ele continuou: “A Microsoft corrigiu rapidamente o problema que poderia levar à violação de várias redes e serviços de clientes? Claro que não. Eles levaram mais de 90 dias para implementar uma correção parcial, e apenas para novas aplicações carregados no serviço.”
Um representante da Microsoft disse que a empresa não tinha um comentário imediato em resposta à postagem de Yoran. Em resposta à carta de Wyden na semana passada, a Microsoft ignorou as críticas, afirmando: “Esse incidente demonstra os desafios em constante evolução da segurança cibernética diante de ataques sofisticados. Continuamos trabalhando diretamente com agências governamentais sobre esse assunto e mantemos nosso compromisso de continuar a partilhar informações no blog de Inteligência de Ameaças da Microsoft.”
A Tenable está a discutir o problema apenas de forma geral para evitar que hackers maliciosos aprendam como explorá-lo ativamente. Em um e-mail, representantes da empresa disseram: “Existe uma vulnerabilidade que fornece acesso à estrutura do Azure, pelo menos. Uma vez que os detalhes dessa vulnerabilidade sejam conhecidos, a exploração é relativamente trivial. Por esse motivo, estamos retendo todos os detalhes técnicos.” Embora o post de Yoran e a divulgação da Tenable evitem o termo “vulnerabilidade”, o e-mail afirma que o termo é preciso.
O post foi feito no mesmo dia em que a empresa de segurança Sygnia divulgou um conjunto de “vetores” que podem ser aproveitados após uma invasão bem-sucedida de uma conta do Azure AD Connect. Os vetores permitem que os invasores interceptem credenciais por meio de ataques de homem do meio ou roubem hashes criptográficos de senhas injetando código malicioso em um processo de sincronização de hashes. A injeção de código também pode permitir que os invasores tenham uma presença persistente na conta com baixa probabilidade de ser detectada.
“Todas as configurações padrão expõem os clientes aos vetores descritos apenas se o acesso privilegiado for obtido ao servidor AD Connect”, escreveu Ilia Rabinovich, diretor de táticas adversárias da Sygnia, em um e-mail. “Portanto, um ator de ameaça precisa realizar etapas preliminares antes de prosseguir com o processo de exploração dos vetores.”
Tanto a Tenable quanto a Sygnia afirmam que as vulnerabilidades ou vetores de segurança que divulgaram não estão relacionados ao recente ataque aos clientes de nuvem da Microsoft.
Falhas graves em segurança cibernética
Na carta da semana passada aos chefes do Departamento de Justiça, Comissão Federal de Comércio e Agência de Segurança Cibernética e Infraestrutura, Wyden acusou a Microsoft de esconder o seu papel no ataque à cadeia de fornecimentos SolarWinds em 2020, usado por hackers russos para infectar 18.000 clientes do software de gestão de rede. Um subconjunto desses clientes, incluindo nove agências federais e 100 organizações, sofreu ataques subsequentes que comprometeram as suas redes.
O senador também culpou a Microsoft pelo recente ataque em massa aos Departamentos de Estado e Comércio e a outros clientes do Azure. Entre as falhas específicas apontadas por Wyden, estão a Microsoft ter “uma única chave mestra que, quando inevitavelmente roubada, poderia ser usada para acessar as comunicações privadas de diferentes clientes” e a empresa ter esperado cinco anos para atualizar a chave de assinatura abusada nos ataques, enquanto as melhores práticas recomendam a rotação de chaves com mais frequência. Ele também criticou a empresa por permitir tokens de autenticação assinados por uma chave expirada, como foi o caso no ataque.
“Embora os engenheiros da Microsoft nunca devessem ter implantado sistemas que violassem princípios básicos de segurança cibernética, essas falhas óbvias deveriam ter sido identificadas pelas auditorias de segurança interna e externa da Microsoft”, escreveu Wyden. “O fato de essas falhas não terem sido detectadas levanta questões sobre quais outras falhas graves de segurança cibernética esses auditores também não detectaram.”
No seu post de quarta-feira, Yoran expressou críticas semelhantes.
“O que ouvimos da Microsoft é ‘apenas confie em nós’, mas o que recebe de volta é muito pouca transparência e uma cultura de obstrução tóxica”, escreveu ele. “Como um CISO, conselho de administração ou equipe executiva pode acreditar que a Microsoft fará a coisa certa diante dos fatos e comportamentos atuais? O histórico da Microsoft coloca-nos a todos em risco. E é ainda pior do que pensávamos.”
Em resumo, a Microsoft está enfrentar críticas pesadas pelas suas práticas de segurança duvidosas nos seus serviços de nuvem, com especialistas e senadores alegando irresponsabilidade e falta de transparência. Essas críticas levantam preocupações sobre a confiança na empresa e destacam a necessidade de melhores práticas de segurança cibernética.
Para ficar por dentro de todas as notícias sobre tecnologia, não deixe de seguir o AndroidGeek.
Leiam as últimas notícias do mundo da tecnologia no Google News , Facebook e Twitter e também no nosso Grupo de Telegram
 Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado! |
