Microsoft afirma que los hackers robaron una clave criptográfica, quizá de su propia red, que les permitió falsificar las identidades de los usuarios, entre los que están cuentas del Gobierno de EE UU.
Para la mayoría de los profesionales de las tecnologías de la información, el paso a la nube fue una bendición. En lugar de tener que proteger tus archivos por tu cuenta, dejas que lo hagan los expertos en seguridad de Google o de Microsoft. Pero cuando una única clave robada permite a los hackers acceder a los datos en la nube de decenas de organizaciones, esa solución comienza a parecer mucho más arriesgada.
A última hora de la tarde del martes, Microsoft reveló que un grupo de hackers con sede en China, apodado Storm-0558, había hecho exactamente eso. Esta organización, centrada en el espionaje contra gobiernos de Europa Occidental, había ingresado a los sistemas de email de Outlook alojados en la nube correspondientes a 25 organizaciones, incluyendo múltiples agencias gubernamentales.
El fallo de seguridad en la nube de Microsoft
Según CNN, entre esos objetivos se encuentran agencias del gobierno de Estados Unidos, incluido el Departamento de Estado, aunque las autoridades de ese país todavía están trabajando para determinar el alcance total y las consecuencias de las filtraciones. Un comunicado de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE UU señala que durante la intrusión, que fue detectada a mediados de junio por una dependencia gubernamental de esa nación, se robaron datos de correos electrónicos no clasificados “de un reducido número de cuentas”.
China lleva décadas hackeando sin descanso las redes de Occidente. Pero este último ataque utiliza un truco único. Microsoft asegura que los hackers robaron una clave criptográfica que les permitía generar sus propios tokens de autenticación, cadenas de información destinadas a comprobar la identidad de un usuario, lo que les dio vía libre para intervenir docenas de cuentas de clientes de la compañía.
“Confiamos en los pasaportes, hasta que alguien roba una máquina de impresión de pasaportes”, comenta Jake Williams, un exhacker de la Agencia de Seguridad Nacional que ahora enseña en el Instituto de Seguridad de Redes Aplicada de Boston. “Para una organización tan grande como Microsoft, con tantos clientes afectados o que pudieron verse perjudicados por esto, es algo sin precedentes”.
En los sistemas en la nube con base en la web, los navegadores de los usuarios se conectan a un servidor remoto y, cuando introducen credenciales, como un nombre y una contraseña, reciben un fragmento de información de ese servidor, conocido como token. Este funciona como una especie de documento de identidad temporal que permite a los usuarios entrar y salir a su antojo de un entorno en la nube sin tener que volver a ingresar sus credenciales más que ocasionalmente. Para garantizar que el token no sea falsificado, se firma de forma criptográfica con una cadena única de datos conocida como certificado, o clave, que posee el servicio en la nube; es como un sello infalsificable de autenticidad.
Microsoft, en la entrada de blog en la que revela las filtraciones de Outlook en China, describe una especie de fallo del sistema de autenticación que ocurrió en dos fases. En primer lugar, los hackers consiguieron robar una clave que la compañía utiliza para firmar los tokens de los usuarios de sus servicios en la nube. En segundo, aprovecharon un error en el sistema de validación de tokens de Microsoft, lo que les permitió firmar tokens de nivel de consumidor con la clave robada, y luego emplearlos para acceder a sistemas de clase empresarial. Todo esto ocurrió a pesar del intento de la empresa de verificar las firmas de diferentes claves para esos distintos grados de token.
Para la mayoría de los profesionales de las tecnologías de la información, el paso a la nube fue una bendición. En lugar de tener que proteger tus archivos por tu cuenta, dejas que lo hagan los expertos en seguridad de Google o de Microsoft. Pero cuando una única clave robada permite a los hackers acceder a los datos en la nube de decenas de organizaciones, esa solución comienza a parecer mucho más arriesgada.
A última hora de la tarde del martes, Microsoft reveló que un grupo de hackers con sede en China, apodado Storm-0558, había hecho exactamente eso. Esta organización, centrada en el espionaje contra gobiernos de Europa Occidental, había ingresado a los sistemas de email de Outlook alojados en la nube correspondientes a 25 organizaciones, incluyendo múltiples agencias gubernamentales.
El fallo de seguridad en la nube de Microsoft
Según CNN, entre esos objetivos se encuentran agencias del gobierno de Estados Unidos, incluido el Departamento de Estado, aunque las autoridades de ese país todavía están trabajando para determinar el alcance total y las consecuencias de las filtraciones. Un comunicado de la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE UU señala que durante la intrusión, que fue detectada a mediados de junio por una dependencia gubernamental de esa nación, se robaron datos de correos electrónicos no clasificados “de un reducido número de cuentas”.
China lleva décadas hackeando sin descanso las redes de Occidente. Pero este último ataque utiliza un truco único. Microsoft asegura que los hackers robaron una clave criptográfica que les permitía generar sus propios tokens de autenticación, cadenas de información destinadas a comprobar la identidad de un usuario, lo que les dio vía libre para intervenir docenas de cuentas de clientes de la compañía.
“Confiamos en los pasaportes, hasta que alguien roba una máquina de impresión de pasaportes”, comenta Jake Williams, un exhacker de la Agencia de Seguridad Nacional que ahora enseña en el Instituto de Seguridad de Redes Aplicada de Boston. “Para una organización tan grande como Microsoft, con tantos clientes afectados o que pudieron verse perjudicados por esto, es algo sin precedentes”.
En los sistemas en la nube con base en la web, los navegadores de los usuarios se conectan a un servidor remoto y, cuando introducen credenciales, como un nombre y una contraseña, reciben un fragmento de información de ese servidor, conocido como token. Este funciona como una especie de documento de identidad temporal que permite a los usuarios entrar y salir a su antojo de un entorno en la nube sin tener que volver a ingresar sus credenciales más que ocasionalmente. Para garantizar que el token no sea falsificado, se firma de forma criptográfica con una cadena única de datos conocida como certificado, o clave, que posee el servicio en la nube; es como un sello infalsificable de autenticidad.
Microsoft, en la entrada de blog en la que revela las filtraciones de Outlook en China, describe una especie de fallo del sistema de autenticación que ocurrió en dos fases. En primer lugar, los hackers consiguieron robar una clave que la compañía utiliza para firmar los tokens de los usuarios de sus servicios en la nube. En segundo, aprovecharon un error en el sistema de validación de tokens de Microsoft, lo que les permitió firmar tokens de nivel de consumidor con la clave robada, y luego emplearlos para acceder a sistemas de clase empresarial. Todo esto ocurrió a pesar del intento de la empresa de verificar las firmas de diferentes claves para esos distintos grados de token.
Microsoft afirma que ya bloqueó todos los tokens firmados con la clave robada y la sustituyó por una nueva, lo que impide a los hackers entrar en los sistemas de las víctimas. La empresa añade que también continúa trabajando en la mejora de la seguridad de sus ‘sistemas de administración de claves’ desde que se produjo el robo.
¿Es realmente seguro guardar archivos en la nube?
Aún se desconoce cómo pudo robarse una clave tan delicada, que permite un acceso tan amplio. WIRED se puso en contacto con Microsoft, pero la compañía declinó hacer más comentarios.
A falta de otros detalles por parte de la multinacional, una teoría sobre cómo se cometió el robo es que, en realidad, la clave para firmar los tokens no fue sustraída a Microsoft, según Tal Skverer, director de investigación de la firma de seguridad Astrix, que a principios de este año detectó un problema relacionado con los tokens en la nube de Google. En las configuraciones más antiguas de Outlook, el servicio se aloja y gestiona en un servidor propiedad del cliente, en vez de hacerlo en la nube de Microsoft. Esto pudo facilitar que los hackers robaran la clave de una de estas configuraciones ‘locales’ en la red del cliente.
Entonces, sugiere Skverer, los hackers quizá aprovecharon el error que permitía a la clave firmar los tokens de empresa para acceder a una instancia (un servidor o una máquina virtual alojada en la infraestructura) en la nube de Outlook compartida por las 25 organizaciones afectadas por el ataque. “Mi mejor suposición es que empezaron desde un único servidor que pertenecía a una de estas organizaciones”, indica Skverer, “y dieron el salto a la nube explotando este error de validación, y después lograron entrar en más cuentas que comparten la misma instancia de Outlook en la nube”.
Pero esa teoría no explica por qué un servidor local de un servicio de Microsoft dentro de una red empresarial utilizaría una clave que la propia compañía describe como destinada a firmar tokens de cuentas de consumidores. Tampoco explica por qué tantas organizaciones, incluidas agencias gubernamentales de Estados Unidos, comparten una instancia de Outlook en la nube.
Otra teoría, mucho más preocupante, es que la clave para firmar tokens utilizada por los hackers fue robada de la propia red de Microsoft, obtenida al engañar a la empresa para que emitiera una nueva clave a los hackers, o incluso reproducida de alguna manera aprovechando errores en el proceso criptográfico que la creó. En combinación con el fallo de validación de tokens descrito por Microsoft, esto puede significar que pudo utilizarse para firmar tokens para cualquier cuenta en la nube de Outlook, de consumidor o corporativa, una clave básica para una gran franja, o incluso toda, la nube de Microsoft.
Robert ‘RSnake’ Hansen, conocido investigador de seguridad web, considera que la frase del post de Microsoft sobre la mejora de la seguridad de los ‘sistemas de administración de claves’ sugiere que la ‘autoridad de certificación’ de Microsoft, su propio sistema de generación de claves para la firma criptográfica de tokens, fue hackeada de algún modo por los espías chinos. “Es muy probable que haya habido un fallo en la infraestructura o en la configuración de la autoridad de certificación de Microsoft que provocó que se comprometiera un certificado existente o que se creara uno nuevo”, destaca Hansen.
Si los hackers robaron efectivamente una clave de firma que pudiera utilizarse para falsificar tokens en cuentas de consumidores, y debido al problema de validación de Microsoft, también en cuentas de empresas, el número de víctimas sería mucho mayor a las 25 organizaciones de las que Microsoft informó públicamente, advierte Williams.
Para identificar a las víctimas empresariales, Microsoft puede comprobar cuáles de sus tokens han sido firmados con una clave de consumo. Pero esa clave también se pudo haber utilizado para generar tokens de consumo, lo que resultaría mucho más difícil de detectar, ya que tal vez estos se firmaron con la clave esperada. “Desde el punto de vista del consumidor, ¿cómo lo sabes?”, pregunta Williams. “Microsoft no lo ha comentado y creo que deberíamos esperar mucha más transparencia al respecto”.
La última revelación sobre el espionaje chino a Microsoft no es la primera vez que los hackers patrocinados por el Gobierno sacan ventaja de los tokens para penetrar en objetivos o difundir su acceso. Los hackers rusos que llevaron a cabo el ataque a la cadena de suministro de Solar Winds también robaron tokens de Microsoft Outlook de las máquinas de las víctimas, que posteriormente utilizaron en otros puntos de la red para mantener y ampliar su alcance en sistemas confidenciales.
Para los administradores de tecnologías de la información, estos incidentes, y en particular este último, sugieren algunas de las desventajas reales de migrar a la nube. Microsoft, y la mayor parte del sector de ciberseguridad, llevan años recomendando la transferencia a sistemas alojados en la nube para que la seguridad quede en manos de las gigantes tecnológicas y no de las compañías más pequeñas. Pero los sistemas centralizados presentan sus propias vulnerabilidades, con consecuencias potencialmente enormes.
“Estás entregando las llaves del reino a Microsoft”, sostiene Williams. “Si tu organización no se siente cómoda con eso ahora, ya no te quedan buenas opciones”.
Fuente: Wired
