Unclessify
Unclessify
Lingua
9 cose da sapere sul ruolo di Microsoft nell'attacco hacker a SolarWinds — ProPublica
ProPublica

9 cose da sapere sul ruolo di Microsoft nell'attacco hacker a SolarWinds — ProPublica

ProPublicaInternational2026public16/06/2026
#surveillance#technology#propublica#international#year 2026#investigation#declassified#cia

Fonte Proprietaria: ProPublicaInternational

Condividi:

Nota Legale

Questo contenuto e stato pubblicato da ProPublica. Tutti i diritti, responsabilita e accuratezza delle informazioni sono di esclusiva competenza di ProPublica. Unclessify si limita a indicizzare e rendere accessibile il contenuto declassificato.

Leggi il Disclaimer Completo →

Articolo Completo

Dopo che hacker russi hanno sfruttato una falla in un prodotto Microsoft molto diffuso durante uno dei più grandi attacchi informatici nella storia degli Stati Uniti, il gigante del software ha minimizzato.

9 cose da sapere sul ruolo di Microsoft nell'attacco hacker a SolarWinds — ProPublica

Dopo che hacker russi hanno sfruttato una falla in un prodotto Microsoft ampiamente utilizzato durante uno dei più grandi attacchi informatici nella storia degli Stati Uniti, il colosso del software ha minimizzato la propria responsabilità. Tuttavia, una recente inchiesta di ProPublica ha rivelato che un informatore interno a Microsoft aveva ripetutamente tentato di convincere l'azienda a risolvere la vulnerabilità anni prima dell'attacco, e che Microsoft aveva respinto le sue richieste a ogni tentativo.

Ecco i punti chiave da sapere sull'operato di quell'informatore e sull'inazione di Microsoft.

Anni prima che l'attacco hacker a SolarWinds venisse scoperto nel 2020, un ingegnere di Microsoft aveva individuato una falla di sicurezza che questi hacker avrebbero poi sfruttato.

Nel 2016, mentre studiava un attacco informatico a una grande azienda tecnologica, l'ingegnere Microsoft Andrew Harris affermò di aver scoperto una falla nel servizio Active Directory Federation Services dell'azienda, un prodotto che consentiva agli utenti di effettuare un unico accesso per quasi tutto ciò di cui avevano bisogno. A causa di questa vulnerabilità, milioni di utenti, inclusi dipendenti federali, si trovarono esposti agli attacchi degli hacker.

Harris ha affermato che il team di Microsoft responsabile della gestione delle segnalazioni di vulnerabilità di sicurezza ha ignorato le sue preoccupazioni.

Il Microsoft Security Response Center (MSRC) determina quali falle di sicurezza segnalate necessitano di essere risolte. Harris ha affermato di aver informato l'MSRC della falla, ma quest'ultimo ha deciso di non intraprendere alcuna azione. L'MSRC ha sostenuto che, poiché gli hacker avrebbero comunque bisogno di accedere ai server locali di un'organizzazione prima di poter sfruttare la falla, questa non violava il cosiddetto "confine di sicurezza". Ex membri dell'MSRC hanno dichiarato a ProPublica che il centro respingeva sistematicamente le segnalazioni di vulnerabilità che utilizzavano questo termine, sebbene all'epoca non ne avesse una definizione formale.

Anche i responsabili di prodotto di Microsoft si sono rifiutati di affrontare il problema.

In seguito alla decisione dell'MSRC, Harris ha segnalato il problema ai responsabili di prodotto di Microsoft, i quali, a suo dire, "hanno concordato pienamente con me sul fatto che si tratti di un problema enorme". Tuttavia, allo stesso tempo, "hanno dissentito fermamente dalla mia opinione che si dovesse agire rapidamente per risolverlo".

Harris aveva proposto come soluzione temporanea quella di suggerire ai clienti di disattivare la funzione di accesso singolo senza interruzioni. Questa mossa avrebbe eliminato la minaccia, ma avrebbe comportato la necessità per gli utenti di effettuare l'accesso due volte anziché una. Un responsabile di prodotto ha obiettato che non si trattava di un'opzione praticabile perché rischiava di alienare i clienti del governo federale e di minare la strategia di Microsoft volta a emarginare un concorrente di primo piano.

Secondo Harris, Microsoft temeva inoltre che rendere pubblica la falla potesse compromettere le sue possibilità di aggiudicarsi futuri contratti governativi del valore di miliardi di dollari.

Nel periodo in cui Harris cercava di convincere i responsabili di prodotto di Microsoft a risolvere la falla, il governo federale si stava preparando a un massiccio investimento nel cloud computing e Microsoft voleva aggiudicarsi l'appalto. Harris ricordò che un responsabile di prodotto gli disse che riconoscere questa falla di sicurezza avrebbe potuto compromettere le possibilità dell'azienda.

Harris alla fine scoprì che la falla era ancora più grave di quanto avesse inizialmente pensato. Ancora una volta, Microsoft scelse di non intervenire, ha affermato.

Nel 2018, un collega di Harris ha fatto notare come gli hacker potessero aggirare anche una comune funzionalità di sicurezza chiamata autenticazione a più fattori, che richiede agli utenti di eseguire uno o più passaggi aggiuntivi per verificare la propria identità, come ad esempio l'inserimento di un codice inviato tramite SMS.

La loro scoperta ha dimostrato che, a prescindere da quanti accorgimenti di sicurezza aggiuntivi un'azienda adotti, un hacker può aggirarli tutti.

Quando i colleghi hanno presentato queste nuove informazioni all'MSRC, "la proposta è stata respinta senza appello", ha affermato Harris.

Anche ricercatori esterni a Microsoft avevano segnalato la falla all'azienda.

Nel novembre 2017, l'azienda di sicurezza informatica CyberArk ha pubblicato un post sul blog in cui descriveva in dettaglio la stessa falla individuata da Harris.

Microsoft avrebbe poi affermato che questo post sul blog era la prima volta che veniva a conoscenza del problema, ma i ricercatori di CyberArk hanno dichiarato a ProPublica di aver contattato il personale di Microsoft almeno due volte prima della pubblicazione.

Successivamente, nel 2019, la società di sicurezza informatica Mandiant ha dimostrato pubblicamente, durante una conferenza sulla sicurezza informatica, come gli hacker potessero sfruttare la falla per ottenere l'accesso ai servizi cloud delle vittime. L'azienda ha affermato di aver informato Microsoft in anticipo delle proprie scoperte.

Gli hacker russi hanno infine sfruttato proprio la falla che Harris e gli altri avevano segnalato.

Pochi mesi dopo l'abbandono di Microsoft da parte di Harris nel 2020, i suoi timori si sono concretizzati. Funzionari statunitensi hanno confermato le notizie secondo cui un team di hacker russi, sponsorizzato dallo Stato, aveva sfruttato la falla nel sistema di SolarWinds. Approfittando di questa debolezza, gli hacker hanno sottratto dati sensibili da diverse agenzie federali, tra cui, come appreso da ProPublica, la National Nuclear Security Administration, l'ente responsabile della gestione dell'arsenale nucleare statunitense. I russi hanno inoltre utilizzato la vulnerabilità per compromettere decine di account di posta elettronica del Dipartimento del Tesoro, inclusi quelli dei suoi più alti funzionari.

Nelle audizioni al Congresso successive all'attacco a SolarWinds, il presidente di Microsoft ha insistito sul fatto che l'azienda fosse innocente.

Nel 2021, il presidente di Microsoft Brad Smith assicurò al Congresso che "non vi era alcuna vulnerabilità in alcun prodotto o servizio Microsoft che fosse stata sfruttata" in SolarWinds, e aggiunse che i clienti avrebbero potuto adottare ulteriori misure per proteggere i propri sistemi.

Quando gli è stato chiesto cosa avesse fatto Microsoft per risolvere la falla negli anni precedenti all'attacco, Smith ha risposto elencando una serie di misure che i clienti avrebbero potuto adottare per proteggersi. Tra i suoi suggerimenti, l'acquisto di un prodotto antivirus come Microsoft Defender e la protezione dei dispositivi con un altro prodotto Microsoft chiamato Intune.

Dopo la pubblicazione dell'inchiesta di ProPublica, i legislatori hanno incalzato Smith di Microsoft chiedendogli se la sua precedente testimonianza davanti al Congresso fosse errata.

Poche ore dopo la pubblicazione dell'inchiesta di ProPublica, Smith di Microsoft è comparso davanti alla Commissione per la Sicurezza Interna della Camera dei Rappresentanti per discutere delle falle nella sicurezza informatica della sua azienda.

Il deputato Seth Magaziner, DR.I. , ha chiesto a Smith informazioni sulla sua precedente testimonianza al Congresso, in cui aveva affermato che Microsoft era venuta a conoscenza di questa vulnerabilità per la prima volta nel novembre 2017, tramite un post sul blog CyberArk. L'indagine di ProPublica, ha fatto notare Magaziner, ha scoperto che Harris aveva sollevato la questione anche prima, ma era stata ignorata. Il deputato ha chiesto a Smith se la sua precedente testimonianza fosse errata.

Smith ha glissato, affermando di non aver letto l'articolo. "Stamattina ero alla Casa Bianca", ha dichiarato alla commissione.

Si è inoltre lamentato del fatto che l'inchiesta di ProPublica sia stata pubblicata il giorno stesso dell'udienza e ha affermato che ne avrebbe saputo di più "tra una settimana".

Tuttavia, ProPublica aveva inviato domande dettagliate a Microsoft quasi due settimane prima della pubblicazione dell'articolo e aveva richiesto un'intervista con Smith. L'azienda si è rifiutata di renderlo disponibile. Microsoft ha invece rilasciato una dichiarazione in risposta. "Proteggere i clienti è sempre la nostra massima priorità", ha affermato un portavoce. "Il nostro team di risposta alla sicurezza prende sul serio tutti i problemi di sicurezza e analizza ogni caso con la dovuta diligenza, effettuando una valutazione manuale approfondita e confrontandosi con i partner di ingegneria e sicurezza. La nostra valutazione di questo problema è stata sottoposta a diverse revisioni ed è in linea con il consenso del settore."

Per saperne di più

Contenuti correlati

Commenti (0)