La U.S. Cyber Safety Board ha puntato il dito contro Microsoft per una serie di errori che hanno portato alla violazione della sicurezza di quasi due dozzine di aziende da parte del gruppo nazionale cinese Storm-0558. Questi incidenti sollevano preoccupazioni sulla cultura aziendale di Microsoft riguardo agli investimenti in sicurezza e la gestione dei rischi.
La U.S. Cyber Safety Review Board (CSRB) ha espresso forti critiche nei confronti di Microsoft per una serie di lacune nella sicurezza che hanno portato alla violazione di quasi due dozzine di aziende in Europa e negli Stati Uniti da parte del gruppo nazionale cinese Storm-0558 l’anno scorso. Secondo il rapporto rilasciato dal Department of Homeland Security (DHS), queste violazioni sarebbero state prevenibili e sono state rese possibili a causa di una “catena di errori evitabili da parte di Microsoft”.
Errori evitabili e cultura aziendale
La CSRB ha evidenziato una serie di decisioni operative e strategiche prese da Microsoft che, collettivamente, indicano una cultura aziendale che ha dato poca priorità agli investimenti in sicurezza e alla rigorosa gestione dei rischi. Questo approccio sembra essere in contrasto con il ruolo centrale dell’azienda nell’ecosistema tecnologico e il livello di fiducia che i clienti ripongono in Microsoft per la protezione dei loro dati e operazioni.
Falle nella sicurezza e risposta inadeguata
La CSRB ha inoltre criticato Microsoft per non aver rilevato autonomamente la compromissione, affidandosi invece a un cliente che ha segnalato la violazione. Inoltre, l’azienda è stata accusata di non aver dato priorità allo sviluppo di una soluzione di rotazione automatica delle chiavi e di non aver ristrutturato la sua infrastruttura legacy per rispondere alle esigenze del panorama delle minacce attuali.
Dettagli dell’incidente
L’incidente è stato rivelato per la prima volta nel luglio 2023, quando Microsoft ha annunciato che Storm-0558 aveva ottenuto l’accesso non autorizzato a 22 organizzazioni e a più di 500 account individuali. Microsoft ha in seguito ammesso che un errore di validazione nel suo codice sorgente ha permesso a Storm-0558 di falsificare token di Azure Active Directory (Azure AD) utilizzando una chiave di firma consumer di un account Microsoft (MSA), permettendo così al nemico di infiltrarsi nelle caselle di posta.
Conseguenze e raccomandazioni
L’attacco ha evidenziato la necessità di adottare una nuova cultura di sicurezza ingegneristica nelle reti di Microsoft e di sviluppare meccanismi di notifica e supporto alle vittime più efficaci per favorire la condivisione delle informazioni. La CSRB ha anche raccomandato ai provider di servizi cloud di implementare meccanismi di controllo moderni, adottare standard minimi per la registrazione degli audit nei servizi cloud e adottare standard di identità digitale emergenti per la sicurezza dei servizi cloud.
