Una nueva investigación publicada el pasado viernes por Wiz Inc. revela que el reciente incidente de hackeo chino , en el que se vieron comprometidas numerosas cuentas de correo electrónico del gobierno de Estados Unidos, podría ser un problema más grave de lo que se estimó inicialmente. El incidente podría tener las mismas repercusiones perjudiciales y de gran alcance que las brechas en la cadena de suministro de SolarWinds del año pasado.
A principios de la semana pasada, Microsoft ofreció detalles adicionales sobre el ataque, ahora denominado Storm-0558, en una entrada de su blog. El gigante tecnológico profundizó en las causas y rastreó las actividades del atacante en su red y servicios en la nube Azure.
Los informes originales de la brecha se centraron en una serie de claves de cifrado sustraídas asociadas a los servicios de correo electrónico en línea Exchange de Microsoft. Sin embargo, la última actualización de Microsoft no ofrece un panorama completo del incidente.
Wiz, por su parte, informa de que la clave comprometida no se limitaba a unos pocos servicios, sino que tenía un amplio alcance. La clave podía dar acceso a una serie de servicios que utilizan Azure Active Directory (AAD) para la autenticación con la opción “iniciar sesión con Microsoft”.
Wiz señala: “Las claves de firma de los proveedores de identidad son probablemente los secretos más poderosos del mundo moderno”. Los investigadores descubrieron que la clave comprometida podía manipular los tokens OpenID utilizados para iniciar sesión en las aplicaciones de AAD.
Wiz aconseja a sus clientes que identifiquen todas las aplicaciones posiblemente afectadas buscando claves falsificadas, actualizando las instancias del SDK de Azure y asegurándose de que no utilizan versiones en caché de los certificados OpenID de Microsoft. Además, Wiz ofrece otras sugerencias operativas para ayudar a las organizaciones a hacer frente a cualquier riesgo potencial.
Microsoft, sin embargo, ha rebatido el informe de Wiz, afirmando que sus afirmaciones carecen de pruebas. Esta respuesta es intrigante, teniendo en cuenta la gran cantidad de datos telemétricos presentados en el informe de Wiz.
En un desarrollo potencialmente positivo en medio de la brecha de seguridad, Microsoft anunció la semana pasada un cambio en su estrategia de precios de registro de Azure. A partir de ahora incluirán el acceso a una colección más amplia de datos de registro en sus niveles gratuitos, una herramienta de visualización llamada Microsoft Purview Audit. A partir de septiembre, el nivel premium, que incluye más de 30 tipos de datos diferentes y está disponible en periodos históricos más largos, estará disponible de forma gratuita.
Ilustración: captura, sitio de Wiz
