La brecha de seguridad fue descubierta por la firma de ciberseguridad SOCRadar, que encontró que los datos sensibles estaban accesibles en un servidor de almacenamiento en la nube de Microsoft sin protección de contraseña.
Múltiples empleados de Microsoft han expuesto credenciales de inicio de sesión sensibles a la infraestructura interna en GitHub, de la que es dueña, potencialmente ofreciendo a los atacantes una entrada a los sistemas internos de Microsoft, según la firma de investigación de ciberseguridad que encontró las credenciales expuestas.
Aunque Microsoft aseguró los archivos expuestos, este incidente se suma a una serie de errores de seguridad anteriores de la empresa, erosionando la confianza de los clientes.
La firma de seguridad SOCRadar ayuda a las organizaciones a encontrar debilidades de seguridad y fueron los que descubrieron un servidor de almacenamiento abierto y público alojado en el servicio en la nube de Azure de Microsoft que almacena información interna sobre el motor de búsqueda Bing de Microsoft.
Los investigadores seguridad Can Yoleri, Murat Özfidan y Egemen Koçhisarlı notificaron a Microsoft de la brecha de seguridad el 6 de febrero, y Microsoft aseguró los archivos expuestos el 5 de marzo.
El servidor de almacenamiento de Azure albergaba código, scripts y archivos de configuración que contenían contraseñas, claves y credenciales utilizadas por los empleados de Microsoft para acceder a otras bases de datos y sistemas internos. Sin embargo, el servidor de almacenamiento no estaba protegido con una contraseña y podía ser accedido por cualquier persona.
«Aunque las credenciales no deberían haber sido expuestas, eran temporales, accesibles solo desde redes internas y desactivadas después de las pruebas. Agradecemos a nuestros socios por informar responsablemente este problema» Jeff Jones de Microsoft en un comunicado a TechCrunch
Jones no dijo cuánto tiempo estuvo expuesto el servidor en la nube a internet ni si alguien más además de SOCRadar había descubierto los datos expuestos dentro.
Este es el último error de seguridad de Microsoft, mientras la empresa intenta reconstruir la confianza con sus clientes después de una serie de incidentes de seguridad en la nube en los últimos años. En una brecha de seguridad similar el año pasado, Microsoft también fue criticado después de que la empresa admitiera que no sabía cómo los piratas informáticos respaldados por China robaron una clave de firma de correo electrónico interna que les permitía acceso amplio a los buzones de correo alojados por Microsoft de altos funcionarios del gobierno de EE.UU, debido a una «cascada de fallos de seguridad en Microsoft».
«Seguimos viendo que las filtraciones accidentales de código fuente y credenciales son parte de la superficie de ataque de una empresa, y cada vez es más difícil identificarlas de manera oportuna y precisa. Este es un problema muy desafiante para la mayoría de las empresas» dijo Mossab Hussein, director de seguridad de SpiderSilk, a Motherboard en un chat.
Por otro lado, Hussein, firma de ciberseguridad SpiderSilk y Motherboard, descubrieron anteriormente una lista expuesta de canales de Slack pertenecientes a Electronic Arts, la información personal de clientes de WeWork cargada por desarrolladores, y el hecho de que el gigante de la educación Elsevier expuso las contraseñas de los usuarios.
Hussein de SpiderSkill proporcionó a Motherboard siete ejemplos de inicios de sesión de Microsoft expuestos. Todos estos fueron credenciales para servidores de Azure, el servicio informático en la nube de Microsoft, similar a Amazon Web Services (AWS). Todas las credenciales expuestas estaban asociadas con un ID de inquilino oficial de Microsoft, un identificador único vinculado a un conjunto particular de usuarios de Azure. Uno de los usuarios de GitHub también enumeró a Microsoft en su perfil.
Tres de las siete credenciales de inicio de sesión aún estaban activas cuando Spider Silk las descubrió, y una parecía haber sido cargada hace apenas unos días en el momento de la escritura. Las otras cuatro credenciales ya no estaban activas pero resaltaban el riesgo de que los trabajadores cargaran accidentalmente claves para sistemas internos.
Uno de los perfiles de GitHub con credenciales expuestas y activas hace referencia al repositorio de código de Azure DevOps. Destacando el riesgo que tales credenciales pueden representar, en un hack aparentemente no relacionado en marzo, los atacantes obtuvieron acceso a una cuenta de Azure DevOps. Luego, publicaron gran cantidad de código fuente de Microsoft, incluidos los de Bing y el asistente Cortana de Microsoft.
Aunque se hicieron públicas inadvertidamente, no se han visto evidencias de que se haya accedido a datos sensibles o que las credenciales se hayan utilizado incorrectamente. Y Microsoft parece que ha resuelto dicha brecha de seguridad que expuso archivos y credenciales internos de la empresa a internet de manera abierta.
Más información:
- https://techcrunch.com/2024/04/09/microsoft-employees-exposed-internal-passwords-security-lapse/?guccounter=1
- https://www.vice.com/en/article/m7gb43/microsoft-employees-exposed-login-credentials-azure-github
- https://techcrunch.com/2024/03/08/microsoft-ongoing-cyberattack-russia-apt-29/
- https://www.vice.com/en/article/3a8av8/researchers-found-a-list-of-electronic-arts-ea-slack-channels
- https://www.vice.com/en/article/bjwqxz/wework-developers-exposed-contracts-and-customer-data-on-github
- https://www.vice.com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating
Deja una respuesta