Qué sabemos y qué …



Microsoft dice que no hay un aumento en el riesgo de seguridad sin embargo, los expertos dicen que el acceso al código fuente podría facilitar algunos pasos a los atacantes.

Microsoft confirmó la semana pasada que los atacantes pudieron ver parte de su código fuente, que encontró durante una investigación en curso de la violación de SolarWinds. Si bien su enfoque de modelado de amenazas mitiga el riesgo de ver el código, quedan muchas preguntas que podrían determinar la gravedad de este ataque.

En una publicación de blog publicada el 31 de diciembre de 2020, los funcionarios dijeron que Microsoft no ha encontrado evidencia de acceso a servicios de producción o datos de clientes, ni ha descubierto que sus sistemas se usaron para atacar a otras empresas. La compañía no ha encontrado indicios de tácticas, técnicas y procedimientos (TTP) comunes vinculados al abuso de tokens SAML falsificados contra sus dominios corporativos.

Descubrió que se había utilizado una cuenta interna para ver el código fuente en «varios repositorios de código», según el entrada en el blog, del Centro de respuesta de seguridad de Microsoft (MSRC). Esta actividad se descubrió cuando los investigadores notaron una actividad inusual con una pequeña cantidad de cuentas internas, explica la publicación, y la cuenta afectada no tenía permisos para cambiar ningún código o sistema de ingeniería. Las cuentas fueron investigadas y remediadas, señalaron los funcionarios.

La noticia comenzó a llamar la atención en la comunidad de seguridad, y con razón: el software program de Microsoft se encuentra entre los más implementados en el mundo y las organizaciones de todos los tamaños confían en los productos y servicios de la compañía. Es un objetivo atractivo, en individual entre atacantes avanzados como los que están detrás del incidente de SolarWinds.

«Es algo a lo que no pueden acceder ellos mismos, y hay muchas suposiciones de que hay cosas súper secretas allí que van a comprometer (su) seguridad», dice Jake Williams, fundador y presidente de Rendition Infosec, sobre por qué las empresas podrían, comprensiblemente, pánico ante la noticia.

Si bien es ciertamente preocupante, y no sabemos el alcance overall de lo que los atacantes podrían ver, la estrategia de modelado de amenazas de Microsoft supone que los atacantes ya tienen algún conocimiento de su código fuente. Este enfoque de «fuente interna» adopta prácticas del desarrollo y la cultura del software de fuente abierta, y no depende del secreto del código fuente para la seguridad del producto.

«Hay muchos proveedores de application y proveedores de seguridad que confían en el secreto de su código para garantizar la seguridad de las aplicaciones», explica Williams. Microsoft hizo un gran impulso para el desarrollo de software package seguro en Home windows Vista. No tomó la decisión de abrir el código como fuente abierta, sino que lo diseñó con la suposición de que podría suceder algún día. El código fuente se puede ver en Microsoft, y ver el código fuente no está vinculado a un mayor riesgo de seguridad.

«Si todo el código se publica públicamente, no debería haber nuevas vulnerabilidades descubiertas simplemente porque eso ocurre», agrega Williams.

La práctica de Microsoft no es común para la mayoría de las organizaciones, el proceso de adoptar el mismo enfoque y renovar su foundation de código existente es demasiado trabajo. Sin embargo, Microsoft es un objetivo lo suficientemente grande, ya que la gente regularmente hace ingeniería inversa de su código, por lo que tiene sentido.

Si bien los atacantes solo pudieron ver el código fuente y no editarlo ni cambiarlo, este nivel de acceso podría resultar útil con algunas cosas, por ejemplo, escribir rootkits. Microsoft, que no proporcionó detalles adicionales para esta historia más allá de su publicación de site, no ha confirmado a qué código fuente se accedió y cómo ese código fuente en specific podría resultar útil para un atacante.

Es una de las muchas preguntas que quedan tras la actualización de Microsoft. ¿Qué han visto ya los atacantes? ¿Dónde estaba el código afectado? ¿Los atacantes pudieron acceder a una cuenta que les permitió alterar el código fuente? Todavía hay mucho que no sabemos sobre esta intrusión.

Este enfoque de «fuente interna» todavía crea riesgos, escribe Andrew Fife, vicepresidente de marketing and advertising de Cycode, en un entrada en el weblog en las noticias. Las aplicaciones modernas incluyen microservicios, bibliotecas, API y SDK que a menudo requieren autenticación para brindar un servicio central. Es común que los desarrolladores escriban estos datos en el código fuente asumiendo que solo los conocedores pueden verlos.

«Si bien Microsoft afirma que sus &#39modelos de amenazas asumen que los atacantes tienen conocimiento del código fuente&#39, sería mucho más tranquilizador si abordaran directamente si el código violado contenía secretos o no», escribe. De la misma manera que el código fuente es la propiedad intelectual de una empresa de computer software, agrega Fife, también se puede utilizar para ayudar a realizar ingeniería inversa y explotar una aplicación.

Esta es una investigación en curso y continuaremos proporcionando actualizaciones a medida que se conozcan. Mientras tanto, Williams aconseja a las organizaciones que continúen aplicando parches de seguridad como de costumbre y se ciñan a los conceptos básicos de seguridad de la información: revise las relaciones de confianza, verifique su postura de registro y adopte los principios de privilegio mínimo y confianza cero.

«Los ataques a la cadena de suministro son realmente difíciles de defender y realmente se remontan a las bases de la seguridad de la información», dice. «Si su modelo de protección contra un ataque es &#39dame un indicador de compromiso y bloquearé ese indicador&#39, eso es el pensamiento de los noventa».

Kelly Sheridan es la editora de individual de Dim Studying, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original