THE WASHINGTON POST – Hackers chinos accedieron al correo electrónico del gobierno de Estados Unidos a través de la nube de Microsoft / Chinese hackers accessed the U.S. government’s email through the Microsoft cloud
Por Ellen Nakashima , Joseph Menn y Shane Harris – Washington descubrió el problema de seguridad, que afectó a los sistemas no clasificados durante junio de 2023
Los ciberespías chinos rompieron una brecha fundamental en la nube de Microsoft, lo que les permitió realizar un ataque dirigido a cuentas de correo electrónico estadounidenses no clasificadas, una vulnerabilidad preocupante que, según los funcionarios, fue descubierta por el gobierno de los Estados Unidos en junio.
“Los funcionarios contactaron de inmediato a Microsoft para encontrar la fuente y la vulnerabilidad en su servicio en la nube”, dijo el portavoz del Consejo de Seguridad Nacional, Adam Hodges, en un comunicado a The Washington Post. “Seguimos manteniendo a los proveedores de adquisiciones del gobierno de los EEUU en un alto umbral de seguridad”.
La cantidad de cuentas de correo electrónico de EEUU que se cree que se vieron afectadas hasta ahora es limitada, y el ataque parecía estar dirigido, aunque una investigación del FBI está en curso, dijo una persona familiarizada con el asunto que habló bajo condición de anonimato debido a la delicadeza del asunto. El Pentágono, la comunidad de inteligencia y las cuentas de correo electrónico militares no parecieron verse afectadas, dijo la persona.
Microsoft reveló el martes por la noche que había mitigado un ataque de “un actor de amenazas con sede en China” que se dirige principalmente a las agencias gubernamentales en Europa Occidental y se enfoca en el espionaje y el robo de datos.
El gigante tecnológico con sede en Redmond, Washington, dijo que inició una investigación después de recibir una notificación a mediados de junio. La investigación reveló que los piratas informáticos, a quienes Microsoft llama Storm-0558, obtuvieron acceso a cuentas de correo electrónico que afectan a unas 25 organizaciones, incluidas agencias gubernamentales.
Hicieron esto mediante el uso de tokens de autenticación falsificados para acceder al correo electrónico del usuario utilizando una clave de firma de consumidor de cuenta de Microsoft adquirida, según un blog escrito por Charlie Bell, vicepresidente ejecutivo de seguridad de Microsoft.
Microsoft completó su mitigación del ataque para todos los clientes, agregó Bell en el blog. Los funcionarios estadounidenses también dicen que creen que el incidente ha sido contenido. “Sin embargo, hay algunas preguntas difíciles que tienen que responder”, dijo la persona familiarizada con el asunto.
Esta no es la primera vez que se descubre que Microsoft, el proveedor de software más grande del mundo, tiene vulnerabilidades significativas en sus productos y servicios.
En 2020, los piratas informáticos rusos violaron las cuentas de correo electrónico del gobierno de EEUU al explotar el software creado por una empresa de Texas llamada SolarWinds. Esos piratas luego explotaron las debilidades en el sistema de Microsoft para autenticar a los usuarios, utilizando tokens que les darían indebidamente el mismo acceso que un administrador.
Poco después de que se descubrieran las infracciones de SolarWinds, Microsoft descubrió que sus servidores de correo electrónico también estaban sujetos a una explotación generalizada, luego de que los piratas informáticos chinos descubrieran una falla separada.
“Este (último) ataque usó una clave robada que el diseño de Microsoft no pudo validar adecuadamente”, dijo Jason Kikta, director de seguridad de la información de Automox y exjefe de asociaciones del sector privado en el Comando Cibernético de EEUU. “La incapacidad de realizar una validación adecuada para la autenticación es un hábito, no una anomalía”.
Para subrayar aún más los continuos problemas de seguridad de Microsoft, la compañía confirmó el martes que su procedimiento de validación había sido manipulado para firmar digitalmente docenas de piezas de software. Y en un tercer incidente, advirtió que los actores rusos a los que culpa por espionaje y delitos financieros estaban explotando una vulnerabilidad previamente desconocida en su programa Office.
Microsoft sugirió soluciones alternativas que podrían aplicarse y promocionó su software de seguridad Defender para prevenir los ataques, pero dijo que aún no tenía un parche para la falla real.
Después del hackeo de SolarWinds, el presidente de Microsoft, Brad Smith, testificó ante el Senado que su código no había sido vulnerable, sino que culpó a los clientes por errores de configuración comunes y controles deficientes, incluidos casos “en los que las llaves de la caja fuerte y el automóvil quedaron a la vista”. .”
Los funcionarios de Seguridad Nacional se quejaron de que las herramientas de seguridad básicas, como la capacidad de revisar registros, solo estaban disponibles en niveles de servicio más costosos.
El gobierno de EEUU ha fortalecido las reglas de seguridad cibernética para los proveedores cuyo software y hardware utiliza. Los funcionarios del gobierno quieren saber si no se siguieron las reglas o si es necesario ajustarlas.
(c) The Washington Post
Chinese hackers accessed the U.S. government’s email through the Microsoft cloud
by Ellen Nakashima , Joseph Menn and Shane Harris – Washington discovered the security problem, which affected unclassified systems during June 2023
Chinese cyberspies broke a fundamental breach in the Microsoft cloud, which allowed them to carry out an attack aimed at unclassified American email accounts, a worrying vulnerability that, according to officials, was discovered by the United States government in June.
“Officials immediately contacted Microsoft to find the source and vulnerability in their cloud service,” National Security Council spokesman Adam Hodges said in a statement to The Washington Post. “We continue to keep U.S. government procurement suppliers at a high security threshold.”
The number of US email accounts believed to have been affected so far is limited, and the attack seemed to be targeted, although an FBI investigation is ongoing, said a person familiar with the matter who spoke on condition of anonymity due to the delicacy of the matter. The Pentagon, the intelligence community and military email accounts did not seem to be affected, the person said.
Microsoft revealed on Tuesday night that it had mitigated an attack by “a threat actor based in China” that is mainly aimed at government agencies in Western Europe and focuses on espionage and data theft.
The technology giant based in Redmond, Washington, said it initiated an investigation after receiving a notification in mid-June. The investigation revealed that hackers, whom Microsoft calls Storm-0558, gained access to email accounts that affect about 25 organizations, including government agencies.
They did this by using counterfeit authentication tokens to access the user’s email using a Microsoft account consumer signature key acquired, according to a blog written by Charlie Bell, Microsoft’s executive vice president of security.
Microsoft completed its mitigation of the attack for all customers, Bell added on the blog. U.S. officials also say they believe the incident has been contained. “However, there are some difficult questions that they have to answer,” said the person familiar with the matter.
This is not the first time it has been discovered that Microsoft, the world’s largest software provider, has significant vulnerabilities in its products and services.
In 2020, Russian hackers violated the U.S. government’s email accounts by exploiting software created by a Texas company called SolarWinds. Those pirates then exploited the weaknesses in Microsoft’s system to authenticate users, using tokens that would improperly give them the same access as an administrator.
Shortly after the SolarWinds violations were discovered, Microsoft discovered that its email servers were also subject to widespread exploitation, after Chinese hackers discovered a separate fault.
“This (last) attack used a stolen key that Microsoft’s design could not properly validate,” said Jason Kikta, director of information security at Automox and former head of private sector associations in the US Cyber Command. “The inability to perform proper validation for authentication is a habit, not an anomaly.”
A screen that shows recent cyberattacks in China, at a conference on internet security, in Beijing. (Photo AP /Mark Schiefelbein)
To further underline Microsoft’s ongoing security problems, the company confirmed on Tuesday that its validation procedure had been manipulated to digitally sign dozens of pieces of software. And in a third incident, he warned that the Russian actors he blames for espionage and financial crimes were exploiting a previously unknown vulnerability in his Office program.
Microsoft suggested alternative solutions that could be applied and promoted its Defender security software to prevent attacks, but said it did not yet have a patch for the real failure.
After the SolarWinds hack, Microsoft President Brad Smith testified before the Senate that his code had not been vulnerable, but blamed customers for common configuration errors and poor controls, including cases “in which the keys to the safe and the car were visible.”
National Security officials complained that basic security tools, such as the ability to review records, were only available at more expensive service levels.
The U.S. government has strengthened cybersecurity rules for suppliers whose software and hardware it uses. Government officials want to know if the rules were not followed or if they need to be adjusted.
(c) The Washington Post
Debe estar conectado para enviar un comentario.