Empleados de Microsoft expusieron contraseñas internas en un fallo de seguridad
Créditos de imagen: Jaap Ahrens/NoorPhoto /Imágenes falsas
Microsoft ha resuelto una vulnerabilidad de seguridad que exponía los archivos y credenciales internos de la empresa a la Internet abierta.
Los investigadores de seguridad Can Yoleri, Murat Özfidan y Egemen Koçhisarlı de SOCRadar, una empresa de ciberseguridad que ayuda a las organizaciones a encontrar vulnerabilidades de seguridad, descubrieron un servidor de almacenamiento público abierto alojado en el servicio en la nube Azure de Microsoft que almacenaba información interna relacionada con el motor de búsqueda Bing de Microsoft.
Azure Storage Server contiene código, scripts y archivos de configuración que contienen contraseñas, claves y credenciales que los empleados de Microsoft utilizan para acceder a bases de datos y otros sistemas internos.
Pero el servidor de almacenamiento en sí no estaba protegido con contraseña y cualquiera podía acceder a él a través de Internet.
Yoleri le dijo a TechCrunch que los datos expuestos podrían ayudar a los actores maliciosos a identificar o acceder a otros lugares donde Microsoft almacena sus archivos internos. Identificar estas ubicaciones de almacenamiento «puede conducir a una fuga de datos más significativa y potencialmente comprometer los servicios que se utilizan», dijo Yuleri.
Los investigadores notificaron a Microsoft sobre la vulnerabilidad el 6 de febrero y Microsoft aseguró los archivos filtrados el 5 de marzo.
No se sabe cuánto tiempo estuvo expuesto el servidor en la nube a Internet, o si alguien más que SOCRadar descubrió los datos expuestos en su interior. Cuando se contactó por correo electrónico, un portavoz de Microsoft no proporcionó ningún comentario al cierre de esta edición. Microsoft no dijo si restableció o cambió alguna de las credenciales internas expuestas.
Este es el último paso en falso de seguridad de Microsoft mientras la compañía intenta reconstruir la confianza con sus clientes después de una serie de incidentes de seguridad en la nube en los últimos años. En una vulnerabilidad similar el año pasado, los investigadores encontraron esto Los empleados de Microsoft exponían los inicios de sesión en su red corporativa En el código publicado en GitHub.
Microsoft también fue criticada el año pasado después de que la compañía admitiera que no sabía cómo los piratas informáticos respaldados por China robaron una clave de firma de correo electrónico interna que les permitía obtener acceso generalizado a las bandejas de entrada alojadas en Microsoft para altos funcionarios del gobierno de Estados Unidos. Una junta independiente de expertos cibernéticos encargada de investigar la violación del correo electrónico escribió en su informe, publicado la semana pasada, que los piratas informáticos tuvieron éxito debido a «una serie de fallas de seguridad en Microsoft».
En marzo, Microsoft dijo que seguía lidiando con un ciberataque en curso que permitió a piratas informáticos rusos respaldados por el estado robar partes del código fuente de la empresa y correos electrónicos internos de los ejecutivos de Microsoft.