Het spionageschandaal met een gestolen Microsoft MSA-sleutels zindert nog volop na. Experten en beleidsmakers stellen de rol van Microsoft in het verhaal en hoe het bedrijf zijn Azure-cloud beveiligt luidop in vraag.
In juli kwam aan het licht dat minstens 25 Westerse organisaties werden bespioneerd door een Chinees hackerscollectief Storm-0558, al is de impact vermoedelijk groter. De hackers wisten via de webversies van Microsoft Exchange en Outlook binnen te dringen in de mailboxen van de slachtoffers waar ze maandenlang ongestoord konden rondneuzen. Ze bekwamen de toegang door een MSA-sleutel na te bootsen.
Microsoft heeft aan de hand van blogposts wel uitgebreid beschreven hoe de daders te werk zijn gegaan, maar hoe ze nu precies aan die sleutel zijn geraakt, blijft tot heden onduidelijk. Een MSA-nabootsen kan alleen maar wanneer je de originele sleutel van Microsoft hebt weten ontfutselen. Critici wijzen dan ook steeds uitdrukkelijker naar Microsoft als hoofdschuldige en verwijten het bedrijf niet kordaat genoeg op te treden tegen gaten in de eigen beveiliging.
Een zekere Amit Yoran, CEO van securitybedrijf Tenable, neemt de rol van klokkenluider op zich. Hij spuwt zijn gal op LinkedIn, kwestie van zeker te zijn dat Microsoft meeleest. Yoran schrijft dat zijn bedrijf de kwetsbaarheid al in maart ontdekte en Microsoft omwille van de ernst onmiddellijk verwittigde. Pas na negentig dagen volgde een eerste, beperkte patch en een volledige fix zou pas in september volgen. Het lek is nu wel gedicht, maar Yoran vindt dat Microsoft ‘onverantwoord’ te werk is gegaan.
Basale cyberbeveiligingsprincipes
Het woord ‘onverantwoord’ wordt ook door anderen in de mond genomen. Met name bij de Amerikaanse overheid zijn ze niet blij met de affaire. Een van de hooggeplaatste doelwitten van de spionagecampagne was Gina Raimondo, minister voor Econmische Zaken. Senator Ron Wyden wijst in een brief aan het Amerikaanse centrum voor cybersecurity met beschuldigende vinger naar Microsoft.
De senator stelt onder meer in vraag hoe het kan dat aanvallers maar één sleutel nodig hebben om toegang te krijgen tot privécommunicatie van gebruikers. Dat de sleutel in kwestie ook al vijf jaar niet meer gewijzigd was, giet extra olie op het vuur voor Wyden. “Hoewel de technici van Microsoft nooit systemen hadden moeten implementeren die zulke basale cyberbeveiligingsprincipes schonden, hadden deze duidelijke fouten ontdekt moeten zijn door interne en externe beveiligingsaudits,” klinkt de scherpe uithaal.
Vertrouwensbreuk
Het vertrouwen in Microsoft heeft zware schade opgelopen. “Wat je van Microsoft hoort is ‘vertrouw ons maar’, maar wat je terugkrijgt is weinig transparantie en versluiering. Hoe kan je er nog op vertrouwen dat Microsoft het juiste zal doen? De manier van werken bij Microsoft brengt ons allemaal in gevaar, het is nog erger dan we dachten”, aldus de ook al niet zachte conclusie van Yoran.
Microsoft bijt van zich af via Ars Technica. “Dit incident toont de veranderende uitdagingen van cyberbeveiliging in het licht van geavanceerde aanvallen. We blijven direct samenwerken met overheidsinstanties op dit gebied”. Voor verdere updates verwijst Redmon naar zijn Threat Intelligence-blog. Hoe dan ook lijkt de affaire een verveld staartje te zullen krijgen voor Microsoft.