Perché l'hack di Microsoft è più problematico di quanto si pensi
A maggio, un gruppo di hacker chiamato Storm-0558 ha avuto accesso alle e-mail e ad altri dati delle autorità statunitensi. Per molto tempo non ci si è accorti di quello che stava succedendo e si sottovalutava la sua vastità. A quanto pare, ciò è dovuto anche a Microsoft.
A metà luglio è stato reso noto che un sospetto gruppo di hacker cinesi chiamato Storm-0558 ha lanciato un attacco informatico e ottenuto così accesso alla posta elettronica di 25 diversi account di e-mail governative statunitensi. Tuttavia, la corrispondenza elettronica non è stata accessibile agli aggressori soltanto una volta, ma per ben circa un mese. Il periodo di inizio dell'hack, a maggio, è stato particolarmente critico. Il Segretario di Stato americano Tony Blinken ha incontrato in Cina funzionari del governo cinese per negoziare importanti accordi commerciali.
Come si è verificato l'hack?
Si ritiene che l'origine dell'hack di Storm-0558 sia una vulnerabilità di Outlook Web Access (OWA) e Outlook.com di Microsoft. Il gruppo di hacker è riuscito a falsificare un token di autenticazione per l'accesso, il quale gli ha permesso di impersonare utenti di Azure Active Directory (AAD). In questo modo hanno superato il processo di convalida e ottenuto l'accesso ai conti e-mail. Ma non dovrebbe nemmeno funzionare così. Secondo la descrizione del servizio di Microsoft, questa modalità di autenticazione sarebbe prevista solo per gli account privati, ma non per quelli aziendali in AAD. Microsoft non può (o non vuole) spiegare come ciò sia stato possibile.
Fonte: Immagine: Shutterstock
Anche la «Cybersecurity & Infrastructure Security Agency» (CISA) non si allarma inizialmente. Si pensava che il contenuto delle e-mail in questione fosse innocuo. Microsoft ha anche ipotizzato un tentativo di spionaggio, ma non di sabotaggio. Tuttavia, quest'ipotesi non ha retto.
Perché nessuno se n'è accorto?
Ora, però, questa vicenda porta alla luce questioni e problemi più grandi che non riguardano solo l'hack. La prima domanda da porsi è perché la gravità dell'hack sia emersa così tardi, ovvero diverse settimane dopo gli attacchi.
Gli accessi non autorizzati sono stati scoperti solo dopo uno studio approfondito dei protocolli di log dettagliati da parte di un'autorità statunitense. Per visualizzare questi protocolli, è necessario un abbonamento denominato «Microsoft Purview Audit (Premium)». Si tratta di uno strumento che registra in modo dettagliato tutto ciò che accade in un sistema. Il costo è extra e non è incluso nel pacchetto standard di Microsoft. Un cliente che non vuole (o non può permettersi) questo strumento, non verrebbe a conoscenza di determinati questioni. In breve: la scoperta sarebbe rimasta nascosta ai clienti senza questo abbonamento aggiuntivo.
Oltre agli esperti, anche i politici hanno espresso critiche. Non senza motivo: il governo statunitense sta per intraprendere una strategia di cybersecurity basata sul cloud. Questo è quanto emerge da un comunicato stampa del CISA. Con incidenti come questi, i piani vengono silurati. Come Microsoft ha ora annunciato, Purview Audit (Premium) sarà incluso gratuitamente nella soluzione di sicurezza in futuro.
Chiave rubata e copiata
Come è stato scoperto, l'incidente potrebbe avere conseguenze molto più ampie di quanto inizialmente ipotizzato. La società di sicurezza Wiz sostiene di essere riuscita a identificare la chiave Microsoft con cui gli hacker sono riusciti a spiare le e-mail, grazie a delle chiavi di firme valide, disponibili pubblicamente.
Fonte: Immagine: Wiz
La chiave rubata non era un token copiato, ma una chiave di firma OpenID per l'AAD. Si può pensare che sia una sorta di chiave principale del sistema cloud di Microsoft.
Wiz spiega che, secondo le loro scoperte, gli aggressori non solo hanno avuto un potenziale accesso a «Exchange Online», ospitato da Microsoft, ma anche a tutte le aree del cloud di Microsoft. Quindi a Office, Teams, Sharepoint e Outlook. Ma a quanto pare non è tutto. Perché, come spiega Wiz, la chiave rubata potrebbe firmare qualsiasi token di accesso OpenID. Questo a sua volta significherebbe che, in teoria, gli hacker potrebbero accedere a qualsiasi applicazione cloud la cui convalida dell'identità è basata su Azure Active Directory, indipendentemente dall'azienda. Anche gli account che offrono il «Login con Microsoft» ne sarebbero colpiti, come GitHub ad esempio.
Microsoft ha ora bloccato la chiave. Quindi non dovrebbero essere possibili ulteriori accessi. Tuttavia, non si può escludere che negli account precedentemente compromessi sia stata inserita una backdoor, in modo che questa chiave non sia più necessaria.
Valutazione personale
La situazione descritta da Wiz non è (ancora) stata confermata da Microsoft. Anche se non ho tanti dubbi sulla valutazione di Wiz. Se queste possibilità siano state effettivamente sfruttate dagli hacker, e in che misura, resta per il momento incerto. In primo luogo, si dovrebbe procedere a una revisione di tutti gli account Microsoft, compresi quelli basati su AAD. Ma come funzionerebbe? Comunque sia, si tratta di un fiasco di proporzioni epiche per Microsoft. Inoltre, questa strategia di non comunicazione o di comunicazione quasi nulla non è assolutamente trasparente e, a mio avviso, fuori luogo. È successo quel che è successo, ora bisogna trarne le conseguenze. Altrimenti, la fiducia in Microsoft ne risentirà più di quanto non lo stia già facendo.
Immagine di copertina: Shutterstock
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.