Microsoft: per ex dipendente priorità è profitto e non sicurezza

Author: IlSoftware

Negli ultimi mesi Microsoft e sicurezza informatica non sembrano andare di pari passo, con tanto di richiamo da parte del governo americano per l’azienda di Redmond.

Uno dei casi più clamorosi in tal senso riguarda quanto avvenuto nel 2020, con lo sfruttamento di alcune vulnerabilità dell’ecosistema Microsoft che hanno mesco a rischio agenzie governative e grandi aziende statunitensi.

A rincarare la dose sul trend tutt’altro che lusinghiero della compagnia è Andrew Harris, dipendente della stessa dal 2014. Lo stesso è stato parte di un team che si occupava di indagare sui casi di hacking. In uno di questi, Harris sostiene di aver individuato una vulnerabilità in un prodotto Microsoft, ovvero Active Directory Federation Services (AD FS).

AD FS utilizza un linguaggio informatico chiamato Security Assertion Markup Language (SALM) per autenticare gli utenti. Sebbene questo sistema sia sicuro, una volta che un hacker ottiene una chiave privata dal server AD FS può “impersonare” un amministratore del sistema, ottenendo ampio margine di manovra sul server colpito. Questo tipo di attacco viene in gergo tecnico definito come SAML.

Andrew Harris racconta di quanto avvenuto in Microsoft

Sebbene Harris abbia prontamente segnalato il rischio, sembra che il team addetto alla sicurezza di Microsoft, ovvero il MSRC, abbia affermato di essere a corto di personale e che avrebbe pensato a risolvere la vulnerabilità. Nonostante ciò, la soluzione effettiva è stata posticipata, con tutta tranquillità, fino alla successiva versione del AD FS. Nonostante lo specialista abbia sottolineato l’urgenza, il team è parso irremovibile.

Lo stesso Harris ha poi incontrato con alcuni dipendenti di grado superiore in Microsoft, cercando di sensibilizzare gli stessi sui pericoli che l’azienda stava correndo. Il risultato della riunione, a quanto pare, è stato alquanto deludente. Secondo il product manager Mark Molovchinsky, che ha partecipato al meeting, il riconoscere pubblicamente la pericolosità degli attacchi SALM avrebbe aumentato il rischio di attacco hacker e, allo stesso tempo, le soluzioni alternative di Harris sono state bocciate.

Il suggerimento di disattivare l’accesso al servizio attraverso seamless single sign-on (SSO) è stato ritenuto inaccettabile, in quanto avrebbe rallentato troppo gli utenti. Come dichiarato da Harris a ProPublica: “Per gli standard di Microsoft, il rallentamento derivante dalla disattivazione del SSO e la necessità di autenticarsi due volte era considerato inaccettabile“.

Per l’esperto di sicurezza, poi, dal meeting sarebbe risultato che la risposta agli attacchi SALM sarebbe dovuta essere una decisione aziendale e non tecnica. Harris, a tal proposito ha affermato come tutto ciò  è l’esatto opposto della filosofia di Microsoft, secondo cui il cliente è più importante degli affari.

Fonte: gigazine.net