Власти США: «Культура безопасности Microsoft неадекватна и требует капитального ремонта»

Совет по оценке кибербезопасности США опубликовал разгромный отчет об оплошностях и ошибках Microsoft, из-за которых в 2023 г. стал возможен взлом электронной почты американских чиновников и кража десятков тысяч их писем.

Безопасности Microsoft требуется ремонт

Взлом облачной электронной почты Microsoft, от которого пострадали несколько американских федеральных агентств в 2023 г., «можно было предотвратить и никогда не должен был произойти», цитирует издание CRN опубликованный отчет Совета по оценке кибербезопасности США (CSRB).

Совет Министерства внутренней безопасности США заявил, что «культура безопасности Microsoft неадекватна и требует капитального ремонта» — это неотложная проблема «в свете центральной роли компании в технологической экосистеме и уровня доверия, которое клиенты оказывают к компании для защиты своих данные и операции».

Что случилось с почтой чиновников

Речь в отчете CSRB шла о взломе электронной почты Microsoft Cloud, который привел к компрометации учетных записей, принадлежащих нескольким правительственным учреждениям США.

Известно, что атака затронула электронную почту министра торговли Джины Раймондо (Gina Raimondo) и других чиновников Министерства торговли, а также члена палаты представителей США Дона Бэкона (Don Bacon) и посла США в Китае Николаса Бернса (Nicholas Burns). В общей сложности 60 тыс. электронных писем было украдено из 10 учетных записей Госдепартамента США.

Из-за оплошностей Microsoft хакерами было украдено 60 тыс. электронных писем чиновников Госдепа США

CNews сообщил в сентябре 2023 г., что Microsoft и Агентство по кибербезопасности и защите инфраструктуры США (CISA) обвиняли в июле 2023 г. в этой атаке власти КНР, отмечая присущий им высочайший уровень знаний и навыков в сфере информационной безопасности.

Позже внутреннее расследование Microsoft выявило недостатки системы, из-за которых группировке Storm-0558, удалось извлечь и похитить криптографический ключ MSA (Microsoft account consumer signing key) из аварийного дампа памяти Windows (снимка содержимого рабочей памяти ОС). Доступ к дампу злоумышленники получили посредством корпоративной учетной записи, украденной у одного из инженеров Microsoft, который имел доступ к отладочному окружению.

В 34-страничном отчете CSRB, о котором пишет CRN, перечисляется целый каскад ошибок Microsoft, которых можно было избежать, и которые позволили этому вторжению увенчаться успехом. Например, неспособность обнаружить взлом ноутбука сотрудника, прежде чем разрешить ему подключиться к корпоративной сети Microsoft. 

Ошибкой  Microsoft CSRB назвал также ее «решение не исправлять своевременно свои неточные публичные заявления об этом инциденте».

Безопасность — не приоритет

CSRB заявил, что оценил «методы безопасности других поставщиков облачных услуг, которые поддерживали меры безопасности, которых не было у Microsoft». 

Компания больше не делает безопасность главным приоритетом, как это изложено в знаменитой записке Билла Гейтса (Bill Gates) 2002 г. «Надежные вычисления», которая подробно цитируется в отчете CSRB: «Microsoft отошла от этого идеала и должна немедленно восстановить его как главный корпоративный приоритет».

В апреле 2024 г. сотрудникам и членам Палаты представителей Конгресса США запретили использовать в работе умного ассистента Copilot от Microsoft в связи с возможными рисками утечки информации, как писал CNews.