Microsoft gagal memperkuat pertahanan yang dapat membatasi peretasan SolarWinds – senator AS
Ini adalah ringkasan buatan AI, yang mungkin memiliki kesalahan. Untuk konteks, selalu merujuk ke artikel lengkap.
Senator AS Ron Wyden menunjuk ke eksploitasi tahun 2017 yang menurutnya perusahaan itu tidak transparan
Kegagalan Microsoft Corp untuk memperbaiki masalah yang diketahui dengan perangkat lunak cloud memfasilitasi peretasan besar-besaran SolarWinds yang membahayakan setidaknya sembilan lembaga pemerintah federal, menurut pakar keamanan dan kantor Senator AS Ron Wyden.
Kerentanan yang pertama kali diungkapkan oleh para peneliti pada tahun 2017 memungkinkan peretas memalsukan identitas karyawan yang berwenang untuk mendapatkan akses ke layanan cloud pelanggan. Teknik ini adalah salah satu dari banyak teknik yang digunakan dalam peretasan SolarWinds.
Wyden, yang mengecam perusahaan teknologi atas masalah keamanan dan privasi sebagai anggota Komite Intelijen Senat, mengecam Microsoft karena tidak berbuat lebih banyak untuk mencegah identitas palsu atau memperingatkan pelanggan tentang hal itu.
“Pemerintah federal menghabiskan miliaran untuk perangkat lunak Microsoft,” kata Wyden kepada Reuters sebelum sidang SolarWinds hari Jumat di Dewan Perwakilan Rakyat.
“Harus berhati-hati dalam membelanjakan lebih banyak sampai kami mengetahui mengapa perusahaan tidak memperingatkan pemerintah tentang teknik peretasan yang digunakan oleh Rusia, yang telah diketahui Microsoft setidaknya sejak 2017,” katanya.
Presiden Microsoft Brad Smith akan bersaksi di depan komite DPR yang menyelidiki peretasan SolarWinds pada hari Jumat.
Pejabat AS menyalahkan Rusia atas operasi intelijen besar-besaran yang menembus SolarWinds, yang membuat perangkat lunak untuk mengelola jaringan, serta Microsoft dan lainnya, untuk mencuri data dari beberapa pemerintah dan sekitar 100 perusahaan. Rusia menyangkal tanggung jawab.
Microsoft membantah kesimpulan Wyden, mengatakan kepada Reuters bahwa desain layanan identitasnya tidak bersalah.
Menanggapi pertanyaan tertulis Wyden pada 10 Februari, seorang pelobi Microsoft mengatakan bahwa trik identitas, yang dikenal sebagai Golden SAML, “belum pernah digunakan dalam serangan yang sebenarnya” dan “belum dipertimbangkan oleh komunitas intelijen karena risikonya tidak diprioritaskan. , juga tidak ditandai oleh lembaga sipil.”
Namun dalam penasehat publik setelah peretasan SolarWinds, pada 17 Desember, Badan Keamanan Nasional menyerukan pemantauan lebih dekat terhadap layanan identitas, mencatat, “Teknik spoofing SAML ini telah dikenal dan digunakan oleh aktor dunia maya setidaknya sejak 2017.”
Menanggapi pertanyaan tambahan dari Wyden minggu ini, Microsoft mengakui bahwa programnya tidak diatur untuk mendeteksi alat pencurian identitas untuk memberikan akses cloud.
Trey Herr, direktur Cyber Statecraft Initiative di Dewan Atlantik, mengatakan kegagalan tersebut menunjukkan risiko keamanan cloud perlu menjadi prioritas yang lebih tinggi.
Penyalahgunaan identitas yang canggih oleh peretas “mengekspos kelemahan yang meresahkan dalam cara raksasa komputasi awan berinvestasi dalam keamanan, mungkin gagal mengurangi risiko kesalahan berdampak tinggi, kemungkinan rendah dalam sistem di akar model keamanan mereka,” kata Herr. .
Dalam kesaksian kongres hari Selasa, Smith dari Microsoft mengatakan bahwa hanya sekitar 15% korban dalam kampanye Solar Winds yang dirugikan oleh Golden SAML. Bahkan dalam kasus tersebut, peretas pasti sudah mendapatkan akses ke sistem sebelum menerapkan metode tersebut.
Namun staf Wyden mengatakan salah satu korbannya adalah Departemen Keuangan AS, yang kehilangan email dari puluhan pejabat. – Rappler.com
