Сенатор США обвинил Microsoft в халатном отношении к кибербезопасности - «Новости»

  • 10:30, 31-июл-2023
  • Заработок / Новости / Преимущества стилей / Отступы и поля / Линии и рамки / Изображения / Добавления стилей
  • Петр
  • 0

Сенатор от штата Орегон Рон Уайден(Ron Wyden) заявил, чтобы правительство США должно возложить на Microsoft ответственность за «небрежное отношение к кибербезопасности», в результате которого китайская кибершпионскя хак-группа сумела взломать американские власти.


Свою резкую критику в адрес Micosoft Уайден облек в письмо, направленное генеральному прокурору США Меррику Гарланду, а также главам Агентства по кибербезопасности и защите инфраструктуры США (CISA) и Федеральной торговой комиссии (FTC).


В письме Уайден заявляет, что софтверный гигант «несет значительную ответственность» за недавний масштабный взлом, который начался с кражи у компании криптографического ключа MSA (Microsoft account consumer signing key).


«Поскольку хакеры похитили ключ шифрования MSA, они смогли создать поддельные токены аутентификации, чтобы выдать себя за пользователей и получить доступ к клиентским учетным записям, размещенным на серверах Microsoft, даже если учетная запись пользователя была защищена многофакторной аутентификацией и надежным паролем. Из-за очередной ошибки Micosoft была украдена правительственная электронная почта», — подчеркивает сенатор.


Напомню, что речь идет о краже ключа MSA и атаке на Exchange Online и Azure Active Directory (AD), от которой пострадали более 25 десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы.


В середине июля стало известно, что еще в мае злоумышленникам из китайской хак-группы Storm-0558 удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений пока не были раскрыты. Известно лишь, что в числе пострадавших числятся Госдеп США и Министерство торговли страны.


Как объясняли в Microsoft, для этой атаки злоумышленники использовали токены аутентификации, подделанные с помощью криптографического ключа MSA, который используется для подписания токенов. Благодаря 0-day проблеме, связанной с валидацией в GetAccessTokenForResourceAPI, хакеры смогли подделать чужие подписанные токены Azure Active Directory (Azure AD или AAD) и выдать себя за своих жертв.


Хуже того, теперь ИБ-специалисты утверждают, что утечка криптографического ключа может иметь даже более серьезные последствия и оказывать влияние на все приложения Azure AD, работающие с Microsoft OpenID v2.0.


При этом в Microsoft до сих пор не сообщили, как именно такой важный ключ MSA вообще оказался в руках хакеров.


По словам сенатора Уайдена, Microsoft никогда не признавала, что ее продукты сыграли определенную роль в ходе компрометации SolarWinds, вместо этого обвиняя госорганы и клиентов, а также используя ситуацию для продвижения Azure AD.


Также сенатор отмечает, что теперь Microsoft публично хвастается тем, что кибербезопасность приносит компании порядка 20 млрд долларов дохода в год, и призывает правительство приложить все усилия, что привлечь Microsoft к ответственности за халатное отношение к кибербезопасности.


Уайден убежден, что CISA должно получить поручить Наблюдательному совету по кибербезопасности (CSRB) расследовать недавний инцидент и выяснить, использовала ли Microsoft HSM (Hardware security module) для хранения украденного ключа шифрования, что является прямой рекомендацией АНБ.


Сенатор от штата Орегон Рон Уайден(Ron Wyden) заявил, чтобы правительство США должно возложить на Microsoft ответственность за «небрежное отношение к кибербезопасности», в результате которого китайская кибершпионскя хак-группа сумела взломать американские власти. Свою резкую критику в адрес Micosoft Уайден облек в письмо, направленное генеральному прокурору США Меррику Гарланду, а также главам Агентства по кибербезопасности и защите инфраструктуры США (CISA) и Федеральной торговой комиссии (FTC). В письме Уайден заявляет, что софтверный гигант «несет значительную ответственность» за недавний масштабный взлом, который начался с кражи у компании криптографического ключа MSA (Microsoft account consumer signing key). «Поскольку хакеры похитили ключ шифрования MSA, они смогли создать поддельные токены аутентификации, чтобы выдать себя за пользователей и получить доступ к клиентским учетным записям, размещенным на серверах Microsoft, даже если учетная запись пользователя была защищена многофакторной аутентификацией и надежным паролем. Из-за очередной ошибки Micosoft была украдена правительственная электронная почта», — подчеркивает сенатор. Напомню, что речь идет о краже ключа MSA и атаке на Exchange Online и Azure Active Directory (AD), от которой пострадали более 25 десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы. В середине июля стало известно, что еще в мае злоумышленникам из китайской хак-группы Storm-0558 удалось получить доступ к учетным записям Outlook, принадлежащим примерно 25 организациям, а также к некоторым учетным записям пользователей, которые, вероятно, были связаны с этими организациями. Названия пострадавших организаций и госучреждений пока не были раскрыты. Известно лишь, что в числе пострадавших числятся Госдеп США и Министерство торговли страны. Как объясняли в Microsoft, для этой атаки злоумышленники использовали токены аутентификации, подделанные с помощью криптографического ключа MSA, который используется для подписания токенов. Благодаря 0-day проблеме, связанной с валидацией в GetAccessTokenForResourceAPI, хакеры смогли подделать чужие подписанные токены Azure Active Directory (Azure AD или AAD) и выдать себя за своих жертв. Хуже того, теперь ИБ-специалисты утверждают, что утечка криптографического ключа может иметь даже более серьезные последствия и оказывать влияние на все приложения Azure AD, работающие с Microsoft OpenID v2.0. При этом в Microsoft до сих пор не сообщили, как именно такой важный ключ MSA вообще оказался в руках хакеров. По словам сенатора Уайдена, Microsoft никогда не признавала, что ее продукты сыграли определенную роль в ходе компрометации SolarWinds, вместо этого обвиняя госорганы и клиентов, а также используя ситуацию для продвижения Azure AD. Также сенатор отмечает, что теперь Microsoft публично хвастается тем, что кибербезопасность приносит компании порядка 20 млрд долларов дохода в год, и призывает правительство приложить все усилия, что привлечь Microsoft к ответственности за халатное отношение к кибербезопасности. Уайден убежден, что CISA должно получить поручить Наблюдательному совету по кибербезопасности (CSRB) расследовать недавний инцидент и выяснить, использовала ли Microsoft HSM (Hardware security module) для хранения украденного ключа шифрования, что является прямой рекомендацией АНБ.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!