Af Eskil Sørensen, 17/06/24
Præsidenten for Microsoft har erkendt, at Microsoft havde fejl i sikkerheden, da kinesiske statshackere i det såkaldte Storm-0558-angreb fik adgang til e-mails fra amerikanske embedsmænd i sommeren 2023.
Det skriver Infosecurity Magazine på baggrund af en vidneudtalelse til medlemmer af den amerikanske kongres’ komité for home security den 13. juni 2024. Her indrømmede præsidenten for Microsoft, Brad Smith, at Microsoft påtager sig ansvaret for alle de spørgsmål, der er citeret i en rapport fra Cyber Safety Review Board (CSRB) "uden tvivl eller tøven."
CSRB-rapporten blev offentliggjort i april 2024 og her beskyldes Microsoft for en "kaskade af sikkerhedsfejl", der gjorde det muligt for den kinesiske trusselsaktør Storm-0558 at få adgang til e-mail-konti for 25 organisationer, herunder amerikanske embedsmænd.
Raffineret metode
Målet var at udføre spionage, og det skete vha. forfalskede autentificeringstokens, som anvendte en erhvervet Microsoft-krypteringsnøgle. Denne – i kombination med en anden fejl i Microsofts autentificeringssystem – gjorde det muligt at få fuld adgang til stort set enhver Exchange Online-konto hvor som helst i verden, fremgår det.
CSRB-undersøgelsen konstaterede også, at der var en utilstrækkelig sikkerhedskultur hos Microsoft, og der blev bl.a. også identificeret huller i virksomhedens sikkerhedsvurdering ifm. med fusioner og opkøb.
Krisehåndteringsstrategi: Læg dig fladt ned
I sin åbningserklæring til kongreskomiteen anerkendte Smith Microsofts "unikke og kritiske cybersikkerhedsrolle", ikke kun over for sine kunder, men for USA og allierede nationer.
"Denne rolle afspejler den brede vifte af produkter og tjenester, Microsoft leverer til enkeltpersoner og organisationer, herunder cloud-tjenester, der opererer gennem datacentre i 32 lande rundt om i verden. Det afspejler også det brede cybersikkerhedsarbejde, vi udfører hver dag, inklusive for og i tæt samarbejde med USA og adskillige allierede regeringer,” sagde Smith.
Han sagde også, at Microsoft undskylder og udtrykte sin ”dybeste beklagelse” over for dem, der blev ramt af Storm-0558-angrebet. Endvidere fremgår det, at Microsoft vil bruge CSRB-rapporten, hvoraf 16 anbefalinger er rettet direkte mod Microsoft, som grundlag for at styrke sin cybersikkerhedsbeskyttelse. Rapporten indeholder bredt set 25 cybersikkerhedsanbefalinger til Microsoft og alle andre cloud-tjenesteudbydere, der kan imødegå at samme type indtrængen sker igen.
Organisatoriske ændringer
Af Infosecurity Magazine fremgår det, at Microsoft er godt i gang med at støvsuge markedet for sikkerhedsfolk. Således er der kommet 1600 flere sikkerhedsingeniører til i dette regnskabsår, og der er planer om yderligere 800 nye sikkerhedsstillinger i det næste. Det skal understøtte forandringer i kulturen. Derudover har Microsoft oprettet et CISO's kontor med vice-CISO'er på seniorniveau mhp. at udvide tilsynet med de forskellige ingeniørteams og for at vurdere og sikre, at sikkerhed er "indbygget i" beslutningerne og de understøttende processer.
Smith fremhævede også Microsofts Secure Future Initiative (SFI) i sit vidneudsagn, som blev lanceret i november 2023. Dette initiativ er designet til at udvikle den måde, Microsoft designer, tester og driver sine produkter og tjenester på med hensyntagen til sikkerheden.
Links:
https://www.infosecurity-magazine.com/news/microsoft-failings-china/