Бывший сотрудник по безопасности Microsoft утверждает, что руководство компании проигнорировало его предупреждения о критической уязвимости из-за страха потерять государственный бизнес.
Компания Microsoft наняла Эндрю Харриса за его незаурядные способности по предотвращению вторжения в самые важные компьютерные сети страны. В 2016 году Харрис усердно трудился над расследованием загадочного инцидента, в ходе которого злоумышленники каким-то непостижимым образом проникли в сеть крупной американской технологической компании.
Этот инцидент заинтересовал Харриса по двум причинам. Во-первых, речь шла об "облаке" компании - виртуальном хранилище, в котором хранились самые чувствительные данные организации. Во-вторых, злоумышленники провернули атаку таким образом, что не оставили практически никаких следов.
Он удалился в свой домашний офис, где "разыгрывал" возможные сценарии, тестируя различные программные продукты, которые могли быть скомпрометированы. Вначале он сосредоточился на одном из приложений Microsoft, которое проверяло право пользователей на доступ к облачным сервисам. Именно в этом приложении, после нескольких месяцев исследований, он обнаружил серьезную уязвимость.
Как оказалось, продукт Microsoft, которым пользовались миллионы пользователей для входа на свои рабочие компьютеры, содержал брешь, позволявшую злоумышленникам маскироваться под обычных сотрудников и выискивать на ПК жертв секреты, интеллектуальную собственность компаний, компрометирующую информацию в личных сообщениях - и при этом не поднимать тревогу.
Для Харриса, который до этого почти семь лет проработал в Министерстве обороны США, это был настоящий кошмар. Любой человек, использующий такое программное обеспечение, подвергался опасности, независимо от того, пользовался ли он услугами Microsoft или другого облачного провайдера, в том числе Amazon. Но больше всего эксперта беспокоило федеральное правительство последствия сделанного им открытия для нацбезопасности США. Он срочно сообщил об этом своему руководству.
Но руководство компании, по словам Харриса, смотрело на ситуацию под другим углом. Правительство США планировало инвестировать огромные средства в облачные вычисления, и Microsoft естественно хотела заполучить этот бизнес
По воспоминаниям Харриса, один из менеджеров по продуктам сказал ему, что если он признает существование этой уязвимости, то это может "лишить компанию надежды". Финансовые последствия будут колоссальными. Microsoft не только могла потерять многомиллиардную сделку, но и проиграть гонку за доминирование на рынке облачных вычислений.
В течение нескольких лет, вспоминает Харрис, он "просил, требовал, умолял" руководство компании решить проблему с уязвимостью, но каждый раз в Microsoft игнорировали его предупреждения. Ему говорили, что когда-нибудь, вероятно, будет разработан альтернативный очень защищённый продукт, но это потом... а тем временем облачные сервисы компании по всему миру оставались уязвимыми для атак.
Харрис не сомневался, что кто-нибудь рано или поздно догадается, как воспользоваться этой уязвимостью. Он даже разработал временное решение. Правда, для этого пришлось бы отключить одну из самых удобных и популярных функций Microsoft: единую аутентификацию практически для всех корпоративных приложений.
Он срочно оповестил об угрозе самых важных клиентов компании и лично проконтролировал устранение проблемы для полицейского департамента Нью-Йорка. Разочарованный бездействием Microsoft, он покинул компанию в августе 2020 года. Через несколько месяцев его тревоги стали реальностью - американские власти обвинили российских хакеров в осуществлении одной из крупнейших кибератак в истории США на ИТ-компанию SolarWinds.
Взломщики использовали обнаруженную Харрисом уязвимость для получения конфиденциальных данных из ряда федеральных агентств, в том числе Национального управления по ядерной безопасности и национальных институтов здравоохранения, которые в то время занимались исследованиями и распространением вакцин против вируса Covid-19.
Также были взломаны десятки электронных почтовых ящиков в Министерстве финансов, в том числе и у самых высокопоставленных чиновников. Один из федеральных служащих охарактеризовал взлом как "кампанию шпионажа, рассчитанную на долгосрочный сбор разведданных
Однако Microsoft с самых первых дней появления информации о взломе настаивает на своей невиновности. В 2021 году президент Microsoft Брэд Смит пытался убедить Конгресс в том, что "ни в одном продукте или сервисе Microsoft нет ни одной уязвимости, которая была бы использована" при атаке на SolarWinds. Он также заявил, что клиенты должны сами заботиться о своей безопасности.
Но, по словам Харриса, им (клиентам) даже не предоставили такой возможности. "Решения принимались не исходя из того, что лучше для клиентов Microsoft, а исходя из того, что выгоднее для Microsoft", - сказал Харрис. В настоящее время он работает в CrowdStrike, компании, занимающейся кибербезопасностью и конкурирующей с Microsoft.
В четверг Смит должен дать показания в комитете по национальной безопасности Палаты представителей, который изучает роль Microsoft в взломе, совершенном в прошлом году хакерами, связанными с китайским правительством. Злоумышленники использовали уязвимости в системе безопасности Microsoft, чтобы получить доступ к электронной почте высокопоставленных американских чиновников. В ходе расследования атаки федеральный Совет по проверке кибербезопасности пришел к выводу, что "культура безопасности Microsoft была неудовлетворительной и требует срочной модернизации".
Microsoft попыталась оправдаться, заявив, что "работа уже кипит и что безопасность для компании превыше всего". Частично эта работа включает в себя принятие рекомендаций совета директоров. "Если перед вами стоит выбор между безопасностью и другими приоритетами, ваш ответ очевиден: выбирайте безопасность", - заявил генеральный директор компании Сатья Наделла сотрудникам после публикации отчета совета директоров. В данном документе говорилось о " корпоративной культуре, в которой не уделялось должного внимания инвестициям в безопасность предприятия и тщательному управлению рисками".
"Это одна из главных проблем отрасли", - говорит Ник Дикола, бывший начальник Харриса в Microsoft. Сегодня он работает в компании Zero Networks, специализирующейся на сетевой безопасности. “Публично торгуемые финтех-компании привязаны к цене акций, а не к тому, чтобы постоянно делать то, что нужно клиенту. Это просто реалии капитализма. В публичной компании вы никогда этого не сможете изменить, потому что в конечном итоге они хотят, чтобы стоимость акций постоянно росла".
Мир "облачных вычислений"
В начале этого года Microsoft обогнала Apple и стала самой дорогой компанией в мире, с капитализацией более 3 триллионов долларов. Это было невозможно еще десять лет назад (эти две компании постоянно конкурируют за первое место).
В 2014 году, когда Харрис пришел в Microsoft, а Наделла стал генеральным директором, и Уолл-стрит, и рядовые потребители считали компанию застрявшей в прошлом, цепляющейся за "упакованные" классические продукты вроде Windows, которые принесли ей успех в 1990-х годах. Длительный стагнационный период в цене на акции Microsoft указывал на ее статус неудачника почти в каждом крупном технологическом прорыве с начала века, начиная с поисковой системы Bing и заканчивая подразделением мобильных телефонов Nokia.
Наделла был полон решимости переломить эту тенденцию и избавиться от репутации "старомодной" компании, а потому он решил связать будущее Microsoft с подразделением облачных вычислений Azure, которое в то время значительно отставало от Amazon. В одной из первых служебных записок Наделла сообщил сотрудникам, что им придется "переосмыслить многое из того, что компания делала в прошлом, для ... мира, ориентированного на облачные вычисления".
Дистрибьюторы Microsoft предлагали корпоративным и государственным заказчикам стратегию "гибридного облака", ИТ-инфраструктуры, в которой часть ресурсов используется как частное облако (на собственном железе на территории клиентов), а другая часть как публичное (на серверах в дата-центрах Microsoft).
Ключевым преимуществом облачных технологий должна была стать их защищенность. "Серверы на местах" пользовались дурной славой, в том числе потому, что перегруженный ИТ-персонал организаций частенько не успевал своевременно устанавливать необходимые патчи и обновления. В "облаке" этой важной работой занимались специальные сотрудники, в обязанности которых входило обеспечение безопасности.
На втором курсе Университета Пэйс (Нью-Йорк) Харрис написал работу под названием "Как взломать протокол Wired Equivalent Privacy" - алгоритм для обеспечения безопасности сетей Wi-Fi, и получил престижную стипендию Министерства обороны США, которую правительство выделяет для привлечения специалистов по кибербезопасности. По его словам, Агентство национальной безопасности (АНБ) оплатило три года его обучения, включая магистратуру по программной инженерии, в обмен на обязательство работать на правительство как минимум еще столько же.
В начале своей карьеры он участвовал в работе Министерства обороны по защите персональных устройств. Он стал экспертом в области, известной как управление идентификацией и доступом (IAM), обеспечивая безопасность входа пользователей в систему.
Однако с годами он разочаровался в засилье бюрократии и увлекся инновациями в технологической отрасли. Он решил, что сможет добиться большего в частных компаниях, разрабатывающих программное обеспечение, в том числе и для государственных структур.
В Microsoft он возглавлял секретное подразделение, известное как "Охотники за привидениями", которое реагировало на взломы наиболее важных клиентов компании, в первую очередь федерального правительства. Именно тогда Харрис впервые расследовал загадочную атаку на технологическую компанию и остался одержим ею даже после перехода на другую должность в Microsoft.
В конце концов он обнаружил уязвимость в службе Active Directory Federation Services, или AD FS, - программном компоненте, который предоставлял пользователям единый доступ буквально ко всем системам и приложениям. Проблема, как он выяснил, заключалась в том, как приложение использовало язык разметки, известный как SAML, для аутентификации пользователей при входе в систему.
Photo: Paco Freire / Global Look Press
Именно это делает атаку на SAML уникальной. Обычно хакеры оставляют после своих атак, как это называют специалисты по кибербезопасности, "шумные" цифровые следы. Сетевые администраторы, отслеживающие так называемые "журналы аудита", могут обнаружить неизвестные или заграничные IP-адреса, с которых была совершена попытка получить доступ к их облачным сервисам. Но атаки на SAML обнаружить гораздо сложнее. Поддельный токен — это то же самое, что использование грабителем скопированного мастер-ключа. Следов не остается - только активность вроде бы легитимных пользователей.
Харрис и его коллега, консультировавший специалистов из Пентагона, несколько часов провели перед экраном компьютера, прикидывая, как может работать подобная атака. Риск "кражи токенов", как назвал его Харрис, стал для них обычным предметом обсуждения.
Вскоре Харрис сообщил руководству о найденной уязвимости в SAML. Ник Дикола, его тогдашний начальник, направил Харриса в Центр реагирования на безопасность Майкрософт, который собирает сообщения об уязвимостях в системе защиты и определяет, какие из них необходимо устранить в первую очередь.
Но как оказалось, члены этой команды не пользуются большой популярностью в компании. Затыкание дыр в системе безопасности — это источник больших затрат, а создание новых продуктов - центр прибыли, сообщили ProPublica бывшие сотрудники. В 2002 году основатель компании Билл Гейтс попытался уладить этот вопрос, отправив служебную записку, которая в итоге оказалась на редкость дальновидной. "Недостатки одного продукта, сервиса или политики Microsoft влияют не только на качество нашей платформы и сервисов в целом, но и на мнение наших клиентов о нас как о компании", - написал Гейтс, добавив: "Поэтому теперь, когда мы стоим перед выбором между добавлением новых функций и решением проблем безопасности, мы должны выбирать безопасность".
Поначалу это возымело действие, и сотрудники компании стали более оперативно реагировать на запросы центра. Но со временем все вернулось на круги своя.
У менеджеров по продуктам практически не было стимулов действовать быстро, поскольку вознаграждение было привязано к выпуску новых, приносящих доход продуктов и опций. По словам бывших членов MSRC, такое отношение было особенно ярко выражено в группах по продуктам Azure, поскольку они находились под давлением со стороны Наделлы, требовавшего догнать Amazon.
"Azure была для нас настоящим Диким Западом, постоянная гонка за новыми возможностями и функционалом", - говорит Нейт Уорфилд, проработавший в MSRC около четырех лет, начиная с 2016 года. "Вы получите премию или повышение по службе только когда выпустите очередную крутую фичу для Azure. И вы ни черта не получите, если устраните кучу ошибок в системе безопасности".
"Поскольку они ограничены в ресурсах, их учат думать об этом так: "Как мне достичь результата, если я не могу ничего исправить", - говорит Дастин Чайлдс, сотрудник MSRC в годы, предшествовавшие истории с Харрисом. По его словам, сотрудники часто отказывались устранять неполадки, заявляя исследователям, что они будут исправлены в следующей версии продукта. Однако до выхода этих версий могли пройти годы, и все это время клиенты оставались уязвимыми, отметил он.
Центр также регулярно отклонял сообщения исследователей о найденных уязвимостях, заявляя, что они не пересекают, как они это называют, "границы безопасности". Но когда Харрис обнаружил проблему SAML, этот термин не имел официального названия.
К 2017 году отсутствие понимания в этом вопросе стало "поводом для шуток", сказал Уорфилд. Несколько известных исследователей безопасности, которые регулярно общались с командой MSRC, даже сделали футболки и наклейки с надписью "__" - это не граница безопасности”.
"Каждый раз, когда Microsoft не хотела что-то "фиксить", они просто говорили: "Эта уязвимость не пересекла границу безопасности, и мы не будем ее устранять", - вспоминает Уорфилд.
Не подозревая о таком положении вещей, Харрис организовал виртуальную встречу с представителями MSRC и набросал схему, как хакер может незаметно проникнуть с локального сервера в облако. MSRC отказался рассматривать эту проблему. Его сотрудники утверждали, что хакеры, пытающиеся использовать изъян SAML, сначала должны получить доступ к самому локальному серверу. Но, по словам Харриса, именно в этом и заключалась суть проблемы, а не в последующем переходе в облако.
Эндрю Харрис выложил фото своего бейджика "сотрудник Microsoft" на своей странице в LinkedIn, когда объявил о своем уходе из компании в 2020 году. Credit:Screenshot by ProPublica
Деньги превыше безопасности
"What the fuck?", - сказал Харрис, узнав об этом. "Это же полная, вопиющая бессмыслица". Microsoft постоянно убеждает клиентов в том, что "облако" — это самое безопасное место для хранения их самых важных данных. Но открытие Харриса показало, что для миллионов пользователей, чьи системы включали AD FS, "облако" было столь же "защищенным", как и их локальные серверы. Другими словами, все строения, принадлежащие домовладельцу, безопасны лишь настолько, насколько безопасен самый беспечный арендатор, забывший запереть окно.
Харрис пытался возражать, но, по его словам, " команда MSRC осталась верна своим принципам".
У Харриса была репутация человека, способного выходить за рамки субординации, и он обратился к команде, которая отвечала за процесс проверки подлинности пользователей. По словам его бывших коллег, он обладал определенным авторитетом. Он уже зарекомендовал себя как известный эксперт в области безопасности, был автором метода обнаружения угроз кибербезопасности и даже был указан в качестве изобретателя в патенте Microsoft. По словам Харриса, он "сошел с ума" отправив электронное письмо менеджеру по продуктам Марку Моровчински и директору Алексу Саймонсу с просьбой о встрече.
Он понимал, что разработка надежного решения потребует времени, но у него был готов временный способ устранения угрозы. Одной из основных практических функций AD FS было разрешение пользователям получать доступ как к локальным серверам, так и к различным облачным службам после однократного ввода идентификационных данных. Харрис предложил Microsoft предложить клиентам отключить эту функцию, и тем самым устранить уязвимость SAML.
Моровчински, вспоминает Харрис, оперативно вышел на связь и сказал, что обсудил эту проблему с Саймонсом. "Все без исключения были согласны со мной в том, что это огромная проблема", - сказал Харрис. "И все были категорически против того, что мы должны действовать быстро, чтобы решить эту проблему".
По словам Харриса, у Моровчински было два основных возражения. Во-первых, публичное признание уязвимости SAML могло бы насторожить конкурентов, которые могли бы ее использовать. Харрис отверг эти опасения, заявив, что на такой риск стоит пойти, чтобы клиенты хотя бы знали об этой угрозе. Кроме того, по его мнению, Microsoft могла бы предупредить клиентов, не раскрывая никаких подробностей, которые могли бы быть использованы хакерами.
Вторая претензия Моровчински касалась финансовых рисков для Microsoft. Моровчински сказал ему, что предложенное Харрисом "исправление" может оттолкнуть одного из крупнейших и наиболее важных клиентов компании - федеральное правительство США, использующее службу AD FS. Отключение бесшовного SSO имело бы серьезные последствия для государственных служащих, которые для входа на свои устройства используют пластиковые "смарт-карты".
В соответствии с федеральным регламентом эти карты генерировали случайные пароли каждый раз, когда сотрудники входили в систему. Однако из-за особенностей базовой технологии, отказ от бесшовного SSO означал бы, что пользователи не смогли бы получить доступ к облаку через смарт-карты. Чтобы получить доступ к сервисам или данным в облачном хранилище, им пришлось бы повторно регистрироваться. По словам Харриса, Моровчински отверг его идею, сказав, что это нежизнеспособный вариант.
Моровчински заявил Харрису, что его подход может подорвать шансы компании на получение одного из крупнейших в истории США правительственных контрактов на разработку облачных технологий, о котором будет официально объявлено в следующем году. Наделла, ясно дал понять, говорит Харрис, что Microsoft жизненно необходимо получить "кусок" этой многомиллиардной сделки с Пентагоном, если она хочет в будущем продавать облачные сервисы.
Устранение конкурентов
По словам Харриса, руководство компании также было обеспокоено возможными последствиями для бизнеса облачных продуктов Microsoft. В то время транснациональная корпораци вела ожесточенную конкурентную борьбу с компанией Okta.
По словам Харриса, клиентов Microsoft убеждали в бесшовности SSO, что было одним из конкурентных преимуществ - или, говоря языком Microsoft, "точек поражения" - которые компания в то время использовала против Okta, пользователям которой приходилось дважды входить в систему.
Предложенное Харрисом исправление подорвало бы стратегию компании по маргинализации Okta и "создало бы дополнительные трудности" в работе пользователей, при том, что "приоритетом номер один было именно устранение трудностей", - вспоминает Харрис слова Моровчински. Более того, это повлечет "каскад последствий" для облачного бизнеса, поскольку продажа услуг идентификации часто приводит к спросу на другие облачные сервисы.
По словам Харриса, "эта небольшая задержка, когда вы дважды проходите аутентификацию, была неприемлема по стандартам Microsoft". Он вспоминает, как Моровчински сказал ему, что решение группы разработчиков "было коммерческим решением, а не техническим".
Штаб-квартира CyberArk в Ньютоне, штат Массачусетс Credit: Sipa via Associated Press, AP Images
То, что они мне наговорили, противоречило всему, что я слышал в Microsoft о том, что "клиент превыше всего", - сказал Харрис. Теперь они говорят мне, что это не "клиент на первом месте", а "деньги превыше всего". По словам Харриса, Моровчински сказал, что у его команды в "дорожной карте" есть продукт, который может полностью заменить AD FS. Но когда он будет доступен клиентам, неизвестно.
В своем официальном заявлении Microsoft сообщила, что при оценке потенциальных угроз она учитывает ряд факторов. "Мы определяем приоритеты нашей работы по реагированию на угрозы безопасности, принимая во внимание потенциальное нарушение работы клиентов, возможность использования и доступные средства защиты", - сообщил представитель компании. "Мы продолжаем прислушиваться к мнению сообщества исследователей в области безопасности и совершенствуем наш подход, чтобы соответствовать ожиданиям клиентов и защищать их от возникающих угроз".
Еще одно существенное предостережение
Вскоре после этого компания CyberArk, базирующаяся в Массачусетсе и Тель-Авиве, опубликовала в блоге сообщение с описанием уязвимости, которую она окрестила "Golden SAML", а также доказательство концепции, фактически дорожную карту, которая демонстрировала, как хакеры могут использовать эту брешь.
Спустя несколько лет в своих письменных показаниях для комитета Сената США по разведке президент Microsoft Брэд Смит заявил, что именно в этот момент компания узнала о проблеме. "О проблеме "Golden SAML" стало известно специалистам по кибербезопасности в Microsoft, а также в правительственных и технологических структурах США ровно в то же время, когда информация о ней была опубликована в открытом документе в 2017 году", - написал Смит.
Лави Лазаровиц из CyberArk рассказал, что компания упомянула о новом способе атаки - еще до публикации статьи - в частном чате WhatsApp, в котором участвовали около 10 исследователей безопасности из разных компаний. По словам Лазаровица, когда они сообщили об этом факте остальным участникам группы, в которую входило несколько сотрудников Microsoft, они отнеслись к этому с пренебрежением.
"Многие представители научного сообщества в области безопасности - не хочу сказать, что они насмехались, - спрашивали: "Ну и что в этом такого?", рассказывает Лазаровиц.
Тем не менее, специалисты CyberArk считают, что это довольно серьезная проблема, поскольку AD FS представляет собой шлюз для доступа к наиболее чувствительной информации пользователей, включая электронную почту. "Злоумышленники действуют в буквальном смысле между трещинами", - говорит Лазаровиц. "Мы с пониманием относимся к полученным отзывам, но все же считаем, что эта техника в конечном итоге будет использована агентами угроз".
По словам Лазаровица, израильская команда также связалась с представителями израильской штаб-квартиры Microsoft и получила ответ, аналогичный тому, который они получили в группе WhatsApp.
Опубликованный отчет стал своего рода способом CyberArk предупредить общественность об угрозе. Раскрытие слабых мест имело и коммерческую выгоду для изральской компании. В своем блоге она рассказала о собственном продукте, который, по ее словам, "будет чрезвычайно полезен для того, чтобы не дать злоумышленникам получить в свои руки такие важные активы, как сертификат для подписи токенов".
Изначально этот доклад не привлек особого внимания. Однако Харрис ухватился за него. По его словам, он срочно оповестил Моровчински и Саймонса, а также команду MSRC. По мнению Харриса, ситуация стала еще более острой, чем раньше, потому что CyberArk предоставила доказательства концепции, которые могли быть использованы хакерами для проведения реальной атаки.
"Я был как никогда полон энергии, чтобы мы наконец-то поняли, что будем с этим делать", - сказал Харрис. Но команда MSRC вновь начала твердить про "границы безопасности", а Моровчински снова напомнил о принятом ранее решении группы разработчиков, сказал Харрис.
По словам Харриса, после этого он обратился к своему непосредственному начальству, включая Хейдена Хейнсворта и Бхарата Шаха, который, будучи корпоративным вице-президентом подразделения облачной безопасности Azure, также курировал MSRC. Я сказал: "Ребята, пожалуйста, выслушайте меня", - вспоминает Харрис. "Это, наверное, самое важное дело, которое я когда-либо делал в своей карьере". Но они, не прислушались и велели ему отправляться с этой проблемой обратно в MSRC.
Спустя годы в письменных ответах Конгрессу Смит заявил, что исследователи безопасности компании изучили информацию, но решили сосредоточиться на других приоритетах.
Публично компания Microsoft продолжала пропагандировать безопасность своих продуктов, даже кичилась своими связями с федеральным правительством в рекламных проспектах. "Azure обеспечивает безопасность, конфиденциальность и соответствие нормативным требованиям в рамках методологии разработки", - заявила компания в конце 2017 года. "Она была признана самым надежным облаком для государственных учреждений США".
На снимке: президент Microsoft Брэд Смит дает показания перед подкомитетом Сената США по вопросам конфиденциальности, технологий и права в 2023 году. Photo: Screenshot via webcast / GeekWire
Более тревожные открытия
В 2018 году за на конференции в Орландо Харрис узнал, что проблема уязвимости оказалась еще серьезнее, чем он предполагал вначале. Коллега изобразил на листе бумаги, как хакеры могут обойти обычную функцию безопасности под названием многофакторная аутентификация (MFF), которая требует от пользователя выполнить одно или несколько дополнительных действий для подтверждения личности, например, ввести код, отправленный по SMS.
Они пришли к выводу, что независимо от того, сколько дополнительных мер безопасности предпринимает компания, хакер с поддельным токеном может обойти их все. Когда они сообщили об этом в MSRC, "дело не сдвинулось с мертвой точки", - говорит Харрис. Хотя к тому моменту центр опубликовал официальное понятие "границ безопасности", проблемы Харриса для них не существовало.
В марте 2019 года на конференции в Германии два исследователя из компании Mandiant, специализирующейся на кибербезопасности, выступили с докладом, в котором наглядно продемонстрировали, как хакеры могут проникнуть в AD FS, чтобы получить доступ к облачным учетным записям и приложениям организаций. Они также рассказали какие инструменты для этого использовались.
Mandiant заявила, что уведомила об этом Microsoft еще до презентации, что стало вторым случаем за последние 16 месяцев, когда сторонняя организация обратила внимание транснациональной корпорации на проблему SAML.
В августе 2020 года Харрис покинул Microsoft и перешел на работу в CrowdStrike. При увольнении Харрис в беседе с Шахом в последний раз затронул проблему SAML. По его словам, Шах его выслушал, но ничего не сказал. "По словам Харриса, в Microsoft не существует института генеральных инспекторов. "Если происходит что-то вопиющее, куда, черт возьми, вы пойдете? А идти то некуда".
Взлом SolarWinds
Четыре месяца спустя стало известно об атаке SolarWinds. Официальные лица США вскоре заявили, что начиная с 2019 года российские хакеры взламывали и эксплуатировали сетевое ПО, разработанное техасской компанией SolarWinds. Злоумышленники скрытно внедряли вредоносные компоненты в апдейты программного обеспечения SolarWinds, благодаря чему получили "бэкдор" к сетям компаний и государственных учреждений, которые их установили. Постоянный доступ позволял хакерам использовать уязвимости "пост-эксплойта", в том числе Golden SAML, для кражи конфиденциальных данных и электронных писем из "облака".
Несмотря на название, почти треть жертв этой атаки вообще не использовали программное обеспечение SolarWinds, заявил впоследствии Брэндон Уэйлс, исполнявший в то время обязанности директора федерального Агентства по кибербезопасности и защите инфраструктуры США. В марте 2021 года Уэйлс сообщил членам сената, что хакеры смогли "получить неограниченный доступ к желаемым хранилищам данных, в основном в Microsoft Office 365 Cloud... и все потому, что они взломали системы управления доступом и идентификацией в сетях".
Взлому подверглась и сама Microsoft. Сразу после атаки сотрудники Microsoft рекомендовали клиентам Microsoft 365 отключить бесшовную систему SSO в AD FS и аналогичных продуктах - решение, которое Харрис предложил еще три года назад.
Для Харриса это стало последней каплей. В своем микроблоге и социальных сетях он выложил серию постов, в которых высказал все, что он думает о безопасности в Microsoft Обращаясь непосредственно к Брэду Смиту и критикуя действия команды MSRC, которые он назвал "полным бредом", Харрис обвинил Microsoft в том, что компания не предупредила клиентов об уязвимости Golden SAML.
"Microsoft "не была прозрачна в отношении этих угроз. Компания фактически принуждала клиентов использовать ADFS, зная об этой проблеме. Она поставила под удар не только обычных пользователей, но и правительство США", - написал Харрис на странице LinkedIn в декабре 2020 года. По его словам, для Microsoft решение этой проблемы "никогда не было приоритетной задачей". "Клиентов опять обманули, и, это к сожалению, продолжается уже много лет, - заявил Харрис в одном из своих гневных постов.
В течение нескольких последующих месяцев после атаки на SolarWinds Microsoft пыталась минимизировать риски, связанные с уязвимостью SAML. Одним из них стал способ быстрого обнаружения последствий такого взлома. Однако он был доступен только в составе платного дополнительного продукта Sentinel.
“Microsoft снова на вершине”
В начале 2021 года специальный комитет Сената по разведке вызвал Брэда Смита для дачи показаний по взлому SolarWind. Несмотря на то, что именно продукты компании Microsoft сыграли ключевую роль в этой атаке, Смит выглядел невозмутимым. Он легко и непринужденно, не читая по бумажке, как некоторые из его коллег, уверенно отвечал на вопросы законодателей и говорил о важной роли Microsoft в обеспечении национальной безопасности.
Возложив всю ответственность на правительство, он заявил, что в преддверии атаки проблема аутентификации "не рассматривалась разведывательным сообществом в качестве приоритетного риска, а гражданские агентства или другие организации в сообществе безопасности не отмечали ее как угрозу, которая должна быть выше других приоритетов кибербезопасности".
Генеральный директор Microsoft Сатья Наделла рассказывает о возможностях облачных сервисов компании на мероприятии в Сан-Франциско в 2014 году. Credit: David Paul Morris / Bloomberg via Getty Images
Смит также заявил, что уязвимость Golden SAML была использована лишь в 15% из 60 случаев, обнаруженных Microsoft к этому моменту. В то же время он признал, что, "несомненно, это не единственные пострадавшие, чьи данные были похищены".
Когда сенатор Марко Рубио спросил его, что Microsoft сделала для решения проблемы Golden SAML за годы, предшествовавшие атаке, Смит перечислил несколько способов, используя которые клиенты могли бы защитить себя. В том числе он предложил установить антивирус Microsoft Defender, а также воспользоваться другим продуктом - облачным решением для управления конечными точками под названием Microsoft Intune.
"Реальность такова, что любая организация, сделавшая все необходимые действия, в случае взлома, по всей вероятности, не понесет практически никакого ущерба", - сказал Смит. В конечном итоге Microsoft получила свой кусок пирога от многомиллиардного облачного сервиса Пентагона, разделив его с Amazon, Google и Oracle.
С декабря 2020 года, когда стало известно об атаке на SolarWinds, акции Microsoft взлетели на 106 %, в основном за счет успеха Azure и продуктов искусственного интеллекта, вроде ChatGPT. "Microsoft снова на вершине", - провозгласил журнал Fortune и поместил Наделлу на обложку своего последнего номера.
В сентябре 2021 года, спустя всего 10 месяцев после атаки SolarWinds, вышла книга Смита "Инструменты и оружие". В ней президент Microsoft высоко оценил реакцию компании на атаку. Команда MSRC, пишет Смит, " оперативно задействовала стратегию реагирования на инциденты", а компания в целом "мобилизовала более 500 сотрудников для полноценной работы над каждым аспектом атаки".
В новой книге Смит также рассказал о своих показаниях в Конгрессе по поводу атак на SolarWinds. На слушаниях, пишет он, "рассматривалось не только то, что произошло, но и то, какие шаги необходимо предпринять для предотвращения подобных атак в будущем".
По факту, Microsoft начала предлагать более-менее адекватные варианты решения проблемы, о которой Харрис твердил с 2017 года, лишь спустя пять лет.