Microsoft si è rifiutata di correggere la falla anni prima dell'attacco hacker a SolarWinds — ProPublica
Microsoft ha assunto Andrew Harris per la sua straordinaria capacità di tenere gli hacker lontani dalle reti informatiche più sensibili del paese. Nel 2016, Harris era impegnato a risolvere un misterioso incidente in cui degli intrusi erano riusciti a penetrare nei sistemi di una delle principali aziende tecnologiche statunitensi.
La violazione ha preoccupato Harris per due motivi. In primo luogo, ha coinvolto il cloud dell'azienda, un archivio virtuale che in genere contiene i dati più sensibili di un'organizzazione. In secondo luogo, gli aggressori l'hanno perpetrata in modo da lasciare poche tracce.
Si è ritirato nel suo ufficio domestico per simulare possibili scenari, mettendo alla prova i vari prodotti software che avrebbero potuto essere compromessi.
Inizialmente, si concentrò su un'applicazione Microsoft che garantiva agli utenti l'autorizzazione ad accedere ai programmi basati sul cloud, l'equivalente informatico di un agente che controlla i passaporti alla frontiera. Fu lì, dopo mesi di ricerche, che scoprì qualcosa di gravemente sbagliato.
Il prodotto, utilizzato da milioni di persone per accedere ai computer aziendali, presentava una falla che consentiva agli aggressori di spacciarsi per dipendenti legittimi e di frugare tra i "gioielli della corona" delle vittime – segreti di sicurezza nazionale, proprietà intellettuale aziendale, e-mail personali imbarazzanti – il tutto senza far scattare alcun allarme.
Per Harris, che in precedenza aveva lavorato per quasi sette anni al Dipartimento della Difesa, si trattava di un vero e proprio incubo per la sicurezza. Chiunque utilizzasse il software era esposto, indipendentemente dal fatto che usasse Microsoft o un altro fornitore di servizi cloud come Amazon. Ma la preoccupazione maggiore di Harris riguardava il governo federale e le implicazioni della sua scoperta per la sicurezza nazionale. Segnalò quindi il problema ai suoi colleghi.
Loro la vedevano diversamente, ha detto Harris. Il governo federale si stava preparando a fare un massiccio investimento nel cloud computing e Microsoft voleva aggiudicarsi l'appalto. Ammettere questa falla di sicurezza avrebbe potuto compromettere le possibilità dell'azienda, ha ricordato Harris che gli disse un responsabile di prodotto. Le conseguenze finanziarie sarebbero state enormi. Microsoft non solo avrebbe potuto perdere un contratto multimiliardario, ma avrebbe anche potuto perdere la corsa al dominio del mercato del cloud computing.
Secondo un'inchiesta di ProPublica, Harris ha affermato di aver implorato l'azienda per diversi anni di risolvere il problema del prodotto. Tuttavia, Microsoft ha sempre ignorato i suoi avvertimenti, promettendogli che avrebbe lavorato a una soluzione a lungo termine, lasciando nel frattempo i servizi cloud di tutto il mondo vulnerabili agli attacchi.
Harris era certo che qualcuno avrebbe trovato il modo di sfruttare la vulnerabilità. Aveva ideato una soluzione temporanea, ma richiedeva ai clienti di disattivare una delle funzionalità più comode e apprezzate di Microsoft: la possibilità di accedere a quasi tutti i programmi utilizzati sul lavoro con un unico login.
Si è adoperato per avvisare alcuni dei clienti più sensibili dell'azienda della minaccia e ha supervisionato personalmente la risoluzione del problema per il dipartimento di polizia di New York. Frustrato dall'inerzia di Microsoft, ha lasciato l'azienda nell'agosto del 2020.

Nel giro di pochi mesi, i suoi timori si sono concretizzati. Funzionari statunitensi hanno confermato le notizie secondo cui un team di hacker russi, sponsorizzato dallo Stato, aveva condotto SolarWinds, uno dei più grandi attacchi informatici nella storia degli Stati Uniti. Hanno sfruttato la falla individuata da Harris per sottrarre dati sensibili da diverse agenzie federali, tra cui, come appreso da ProPublica, la National Nuclear Security Administration, responsabile della gestione dell'arsenale nucleare statunitense, e i National Institutes of Health, all'epoca impegnati nella ricerca sul COVID-19 e nella distribuzione dei vaccini. I russi hanno inoltre utilizzato la vulnerabilità per compromettere decine di account di posta elettronica del Dipartimento del Tesoro, compresi quelli dei suoi funzionari di più alto rango . Un funzionario federale ha descritto la violazione come "una campagna di spionaggio progettata per la raccolta di informazioni a lungo termine".
Il racconto di Harris, qui presentato per la prima volta e supportato da interviste con ex colleghi e collaboratori, nonché da post sui social media, ribalta la percezione pubblica prevalente dell'attacco informatico a SolarWinds.
Fin dal momento in cui l'attacco informatico è venuto alla luce, Microsoft ha insistito sulla propria innocenza. Il presidente di Microsoft, Brad Smith, ha assicurato al Congresso nel 2021 che "non vi era alcuna vulnerabilità in alcun prodotto o servizio Microsoft che sia stata sfruttata" in SolarWinds.
Ha inoltre affermato che i clienti avrebbero potuto fare di più per proteggersi.
Harris ha affermato che non gli è mai stata data l'opportunità.
"Le decisioni non si basano su ciò che è meglio per i clienti di Microsoft, ma su ciò che è meglio per Microsoft", ha affermato Harris, che ora lavora per CrowdStrike, un'azienda di sicurezza informatica concorrente di Microsoft.
Microsoft ha rifiutato di rendere disponibili Smith e altri alti dirigenti per interviste per questo articolo, ma non ha contestato le conclusioni di ProPublica. L'azienda ha invece rilasciato una dichiarazione in risposta a domande scritte. "Proteggere i clienti è sempre la nostra massima priorità", ha affermato un portavoce. "Il nostro team di risposta alla sicurezza prende sul serio tutti i problemi di sicurezza e analizza ogni caso con la dovuta diligenza, effettuando una valutazione manuale approfondita e confrontandosi con i partner di ingegneria e sicurezza. La nostra valutazione di questo problema è stata sottoposta a diverse revisioni ed è in linea con il consenso del settore."
L'inchiesta di ProPublica arriva mentre il Pentagono cerca di espandere l'uso dei prodotti Microsoft , una mossa che ha attirato l'attenzione dei legislatori federali a seguito di una serie di attacchi informatici contro il governo.
Smith testimonierà giovedì davanti alla Commissione per la Sicurezza Interna della Camera dei Rappresentanti , che sta esaminando il ruolo di Microsoft nella violazione dei dati perpetrata lo scorso anno da hacker legati al governo cinese. Gli aggressori hanno sfruttato le falle di sicurezza di Microsoft per accedere alle email di alti funzionari statunitensi. Nell'ambito delle indagini sull'attacco, il Cyber Safety Review Board federale ha rilevato che la cultura della sicurezza di Microsoft "era inadeguata e necessita di una revisione completa".

Da parte sua, Microsoft ha affermato che i lavori sono già iniziati, dichiarando che la massima priorità dell'azienda è la sicurezza "sopra ogni altra cosa". Parte dell'impegno consiste nell'adottare le raccomandazioni del consiglio di amministrazione. "Se vi trovate di fronte a un compromesso tra la sicurezza e un'altra priorità, la risposta è chiara: fate la sicurezza", ha detto l'amministratore delegato dell'azienda, Satya Nadella, ai dipendenti in seguito alla pubblicazione del rapporto del consiglio di amministrazione, che ha individuato una "cultura aziendale che declassava sia gli investimenti nella sicurezza aziendale sia una rigorosa gestione del rischio".
L'inchiesta di ProPublica aggiunge nuovi dettagli e un contesto fondamentale su questa cultura, offrendo uno sguardo inquietante su come il più grande fornitore di software al mondo gestisce la sicurezza dei suoi prodotti onnipresenti. Offre inoltre spunti cruciali su quanto la ricerca del profitto possa influenzare le decisioni in materia di sicurezza, soprattutto ora che i colossi tecnologici puntano a dominare le frontiere più nuove e redditizie, tra cui il mercato del cloud.
"Questo è parte del problema generale del settore", ha affermato Nick DiCola, che è stato uno dei superiori di Harris in Microsoft e ora lavora presso Zero Networks, un'azienda di sicurezza di rete. I giganti tecnologici quotati in borsa "sono vincolati al prezzo delle azioni, non a fare sempre ciò che è giusto per il cliente. Questa è semplicemente la realtà del capitalismo. Non si potrà mai cambiare questo aspetto in una società quotata in borsa, perché alla fine dei conti, il loro obiettivo è aumentare il valore per gli azionisti".
Un “mondo incentrato sulle nuvole”
All'inizio di quest'anno, Microsoft ha superato Apple diventando l'azienda di maggior valore al mondo, con una capitalizzazione di mercato superiore a 3 trilioni di dollari. Un traguardo quasi inimmaginabile solo dieci anni fa. (Le due aziende rimangono in stretta competizione per il primo posto.)
Nel 2014, lo stesso anno in cui Harris entrò in Microsoft e Nadella ne divenne CEO, sia Wall Street che i consumatori consideravano l'azienda ancorata al passato, aggrappata a prodotti software "confezionati" come Windows, che l'avevano resa famosa negli anni '90. Il prezzo delle azioni di Microsoft, rimasto a lungo stagnante, rifletteva il suo status di outsider in quasi tutte le principali innovazioni tecnologiche dall'inizio del secolo, dal motore di ricerca Bing alla divisione di telefonia mobile Nokia.
Come nuovo CEO, Nadella era determinato a invertire la tendenza e a scrollarsi di dosso la reputazione di azienda antiquata, quindi puntò il futuro di Microsoft sulla divisione di cloud computing Azure, che all'epoca era molto indietro rispetto ad Amazon. Nella sua prima circolare a tutto il personale, Nadella disse ai dipendenti che avrebbero dovuto "reimmaginare gran parte di ciò che abbiamo fatto in passato per un mondo... incentrato sul cloud ".

I venditori di Microsoft proponevano ai clienti aziendali e governativi una strategia di "cloud ibrido", in cui venivano mantenuti alcuni server tradizionali in loco (in genere installati su rack negli uffici dei clienti) spostando al contempo la maggior parte delle esigenze di elaborazione sul cloud (ospitato su server nei data center di Microsoft).
La sicurezza era un punto di forza fondamentale per il cloud. I server on-premise erano notoriamente vulnerabili, in parte perché il personale IT delle organizzazioni, spesso sovraccarico di lavoro, non installava tempestivamente le patch e gli aggiornamenti necessari. Con il cloud, questo compito cruciale veniva svolto da dipendenti dedicati, il cui lavoro era la sicurezza.
L'alba dell'era del cloud in Microsoft è stata un periodo entusiasmante per lavorare nel campo della sicurezza informatica per una persona come Harris, il cui annuario scolastico lo ritrae davanti a un computer fisso con monitor e accanto una pila di floppy disk. Una mano è sulla tastiera, l'altra su un mouse con filo. Didascalia: "Harris l'hacker".

Al secondo anno alla Pace University di New York, scrisse un white paper intitolato "How to Hack the Wired Equivalent Protocol", uno standard di sicurezza di rete, e gli fu assegnata una prestigiosa borsa di studio del Dipartimento della Difesa, che il governo utilizza per reclutare specialisti in sicurezza informatica. La National Security Agency (NSA) finanziò tre anni della sua retta universitaria, che includeva un master in ingegneria del software, in cambio dell'impegno a lavorare per il governo per almeno altrettanto tempo, ha affermato.
All'inizio della sua carriera, ha contribuito a guidare gli sforzi del Dipartimento della Difesa per proteggere i dispositivi individuali. È diventato un esperto nel settore di nicchia noto come gestione delle identità e degli accessi, occupandosi della sicurezza delle modalità di accesso degli utenti.
Con il passare degli anni, la farraginosa burocrazia lo frustrò e sentì il bisogno dell'innovazione del settore tecnologico. Decise quindi di poter avere un impatto maggiore nel settore privato, che progettava gran parte del software utilizzato dal governo.
In Microsoft fu assegnato a un'unità segreta nota come "Ghostbusters" (come nella frase: "Chi chiamerai?"), che si occupava di rispondere agli attacchi informatici ai danni dei clienti più sensibili dell'azienda, in particolare il governo federale. Come membro di questo team, Harris indagò per primo sul misterioso attacco alla società tecnologica e rimase ossessionato dalla vicenda, anche dopo aver cambiato ruolo all'interno di Microsoft.
Alla fine, confermò la vulnerabilità di Active Directory Federation Services, o AD FS, un prodotto che permetteva agli utenti di accedere una sola volta per ottenere praticamente tutto ciò di cui avevano bisogno. Il problema, scoprì, risiedeva nel modo in cui l'applicazione utilizzava un linguaggio informatico noto come SAML per autenticare gli utenti al momento dell'accesso.
Ecco cosa rende unico un attacco SAML. In genere, gli hacker lasciano quella che gli specialisti di sicurezza informatica definiscono una traccia digitale "rumorosa". Gli amministratori di rete che monitorano i cosiddetti "log di controllo" potrebbero notare indirizzi IP sconosciuti o stranieri che tentano di accedere ai loro servizi cloud. Ma gli attacchi SAML sono molto più difficili da rilevare. Il token contraffatto è l'equivalente di un ladro che usa una chiave master copiata. C'erano poche tracce da seguire, solo le attività di quelli che sembravano essere utenti legittimi.
Per comprendere come si svolgerebbe un attacco SAML, immaginiamo un ladro che voglia accedere a tutti i condomini di proprietà di un locatore.
Il ladro trova una finestra aperta in un singolo appartamento e si introduce all'interno, in modo simile a come un hacker potrebbe utilizzare un'e-mail di phishing per accedere all'account di un singolo utente.
Una volta entrato, il ladro si aggira per i corridoi alla ricerca dell'ufficio del proprietario, dove sono custodite le chiavi di tutti gli appartamenti dell'edificio. Allo stesso modo, un hacker si muove all'interno dei server aziendali. Il suo primo obiettivo è l'equivalente Microsoft dell'ufficio del proprietario, una directory che memorizza informazioni come nomi utente e password.
Il ladro, tuttavia, vuole introdursi in tutti gli edifici del proprietario, proprio come un hacker vuole violare il cloud. Il ladro apre la cassaforte dell'ufficio, che contiene una chiave maestra. In un attacco informatico, la cassaforte è AD FS, l'anello debole identificato da Harris.
Il ladro crea una copia della chiave principale, che fornisce l'accesso a tutti gli edifici e appartamenti del proprietario. In un attacco SAML, un hacker estrae la chiave privata dal server AD FS e falsifica dei "token" che gli consentono di spacciarsi per un utente con i massimi livelli di accesso.
Ora il ladro può accedere a qualsiasi appartamento in qualsiasi edificio senza lasciare quasi traccia. E poiché le chiavi del proprietario sono ancora in ufficio, nessuno sospetta nulla. Allo stesso modo, in un attacco SAML, l'hacker passa inosservato perché le sue credenziali di accesso sembrano legittime.
Per comprendere come si svolgerebbe un attacco SAML, immaginiamo un ladro che voglia accedere a tutti i condomini di proprietà di un locatore.
Il ladro trova una finestra aperta in un singolo appartamento e si introduce all'interno, in modo simile a come un hacker potrebbe utilizzare un'e-mail di phishing per accedere all'account di un singolo utente.
Una volta entrato, il ladro si aggira per i corridoi alla ricerca dell'ufficio del proprietario, dove sono custodite le chiavi di tutti gli appartamenti dell'edificio. Allo stesso modo, un hacker si muove all'interno dei server aziendali. Il suo primo obiettivo è l'equivalente Microsoft dell'ufficio del proprietario, una directory che memorizza informazioni come nomi utente e password.
Il ladro, tuttavia, vuole introdursi in tutti gli edifici del proprietario, proprio come un hacker vuole violare il cloud. Il ladro apre la cassaforte dell'ufficio, che contiene una chiave maestra. In un attacco informatico, la cassaforte è AD FS, l'anello debole identificato da Harris.
Il ladro crea una copia della chiave principale, che fornisce l'accesso a tutti gli edifici e appartamenti del proprietario. In un attacco SAML, un hacker estrae la chiave privata dal server AD FS e falsifica dei "token" che gli consentono di spacciarsi per un utente con i massimi livelli di accesso.
Ora il ladro può accedere a qualsiasi appartamento in qualsiasi edificio senza lasciare quasi traccia. E poiché le chiavi del proprietario sono ancora in ufficio, nessuno sospetta nulla. Allo stesso modo, in un attacco SAML, l'hacker passa inosservato perché le sue credenziali di accesso sembrano legittime.
Harris e un collega, consulente del Dipartimento della Difesa, hanno trascorso ore davanti a lavagne, sia reali che virtuali, per studiare come un simile attacco avrebbe potuto funzionare, ha raccontato il collega a ProPublica. Il rischio di "furto di token", come lo definiva Harris, è diventato un argomento ricorrente nelle loro discussioni.
Uno scontro con la cultura del "non risolverò i problemi"
Poco dopo, Harris segnalò ai suoi superiori la vulnerabilità SAML scoperta. Nick DiCola, il suo capo all'epoca, ha dichiarato a ProPublica di aver indirizzato Harris al Microsoft Security Response Center, che gestisce le segnalazioni di vulnerabilità di sicurezza e determina quali necessitano di essere risolte. Dato il suo ruolo centrale nel migliorare la sicurezza dei prodotti Microsoft, il team si considerava un tempo la "coscienza dell'azienda", esortando i colleghi a migliorare la sicurezza senza badare al profitto. In una sala riunioni, qualcuno aveva appeso una foto incorniciata di Winston "il Lupo", il carismatico risolutore di problemi del film "Pulp Fiction" di Quentin Tarantino, chiamato a ripulire le conseguenze di sanguinosi omicidi.
I membri del team non erano sempre ben visti all'interno dell'azienda. Risolvere le falle di sicurezza è un centro di costo, mentre lo sviluppo di nuovi prodotti è un centro di profitto, hanno dichiarato ex dipendenti a ProPublica. Nel 2002, il fondatore dell'azienda, Bill Gates, cercò di risolvere la questione inviando una nota che si rivelò stranamente preveggente. "I difetti in un singolo prodotto, servizio o politica Microsoft non solo influiscono sulla qualità complessiva della nostra piattaforma e dei nostri servizi, ma anche sulla percezione che i nostri clienti hanno di noi come azienda", scrisse Gates, aggiungendo: "Quindi ora, quando ci troviamo di fronte alla scelta tra aggiungere funzionalità e risolvere i problemi di sicurezza, dobbiamo scegliere la sicurezza".
Inizialmente, il memorandum di Gates ebbe un effetto trasformativo e le divisioni di prodotto dell'azienda si dimostrarono più sensibili alle preoccupazioni del centro. Ma col tempo, l'influenza del centro è andata scemando.
I suoi membri erano stretti tra forze culturali. I ricercatori nel campo della sicurezza informatica, spesso descritti come dotati di un ego smisurato, credevano che le loro scoperte dovessero essere affrontate immediatamente, sottovalutando le difficoltà commerciali legate allo sviluppo rapido di soluzioni, hanno dichiarato a ProPublica ex dipendenti dell'MSRC.
I product manager avevano poca o nessuna motivazione ad agire rapidamente, dato che la loro retribuzione era legata al lancio di nuovi prodotti e funzionalità in grado di generare ricavi. Tale atteggiamento era particolarmente accentuato nei gruppi di prodotto di Azure, secondo quanto affermato da ex membri dell'MSRC, perché erano sotto pressione da parte di Nadella per recuperare il terreno perso rispetto ad Amazon.
"Azure era il Far West, una corsa continua a introdurre nuove funzionalità", ha affermato Nate Warfield, che ha lavorato presso l'MSRC per quattro anni a partire dal 2016. "Una promozione la ottenevi se avevi rilasciato l'ultima novità di Azure. Non la ottenevi certo se avevi risolto una serie di bug di sicurezza."
Ex dipendenti hanno dichiarato a ProPublica che il centro riceveva centinaia, se non migliaia, di segnalazioni al mese, mettendo a dura prova il personale, perennemente a corto di personale. La rivista Popular Science ha indicato questo volume di lavoro come uno dei motivi per cui lavorare presso l'MSRC era considerato uno dei 10 " peggiori lavori nel campo scientifico ", tra i ricercatori che studiano le feci delle balene e i vasectomisti che operano sugli elefanti.
"Sono addestrati, perché hanno risorse molto limitate, a pensare a questi casi in termini di: 'Come posso arrivare a 'non verrà risolto'", ha affermato Dustin Childs, che ha lavorato presso l'MSRC negli anni precedenti alla vicenda di Harris. Il personale spesso rimandava le correzioni dicendo ai ricercatori che sarebbero state gestite nella "v-next", la versione successiva del prodotto, ha spiegato. Tuttavia, questi lanci potevano essere a distanza di anni, lasciando i clienti vulnerabili nel frattempo, ha aggiunto.
Il centro respingeva inoltre sistematicamente le segnalazioni di vulnerabilità da parte dei ricercatori, affermando che non oltrepassavano quello che il suo staff definiva un "confine di sicurezza". Ma quando Harris scoprì la falla SAML, si trattava di un termine privo di una definizione formale, secondo quanto riferito da ex dipendenti.

Nel 2017, la mancanza di chiarezza era diventata "oggetto di scherno", ha affermato Warfield. Diversi eminenti ricercatori nel campo della sicurezza che interagivano regolarmente con l'MSRC realizzarono magliette e adesivi con la scritta "____ [completare la frase] non è un confine di sicurezza".
"Ogni volta che Microsoft non voleva risolvere un problema, diceva semplicemente: 'Non si tratta di un limite di sicurezza, quindi non lo risolveremo'", ha ricordato Warfield.
Ignaro del clima poco favorevole, Harris ha incontrato virtualmente i rappresentanti dell'MSRC e ha illustrato come un hacker avrebbe potuto passare da un server locale al cloud senza essere rilevato. L'MSRC si è rifiutato di affrontare il problema. Il suo staff ha sostenuto che gli hacker che tentassero di sfruttare la falla SAML dovrebbero prima ottenere l'accesso a un server locale. A loro avviso, ha affermato Harris, quello era il confine di sicurezza, non il successivo passaggio al cloud.
Il business prima della sicurezza
"Ma che diavolo?", ricordò di aver pensato Harris quando ricevette la notizia. "Non ha alcun senso."
Microsoft aveva assicurato ai propri clienti che il cloud era il luogo più sicuro in cui custodire i loro dati più preziosi. La sua scoperta dimostrò che, per milioni di utenti i cui sistemi includevano AD FS, il loro cloud era sicuro solo quanto i loro server locali. In altre parole, tutti gli edifici di proprietà del locatore sono sicuri solo quanto l'inquilino più sbadato che si dimentica di chiudere a chiave la finestra.
Harris ha reagito, ma ha affermato che l'MSRC è rimasto fermo sulla sua posizione.
Harris era noto per la sua abitudine di non seguire le procedure gerarchiche per esprimere le proprie preoccupazioni, e si rivolse al team che gestiva i prodotti per la verifica dell'identità degli utenti.
Secondo i suoi ex colleghi, godeva di una certa influenza. Si era già affermato come esperto riconosciuto nel settore, aveva ideato un metodo innovativo per il rilevamento delle minacce informatiche e in seguito era stato indicato come inventore in un brevetto Microsoft . Harris ha raccontato di aver "perso le staffe" e di aver inviato un'e-mail al product manager Mark Morowczynski e al direttore Alex Simons chiedendo un incontro.
Si rese conto che sviluppare una soluzione a lungo termine avrebbe richiesto tempo, ma aveva una soluzione provvisoria in grado di eliminare la minaccia. Una delle principali funzioni pratiche di AD FS era quella di consentire agli utenti di accedere sia ai server locali che a una varietà di servizi basati sul cloud dopo aver inserito le credenziali una sola volta, una funzionalità Microsoft nota come single sign-on "senza interruzioni". Harris propose a Microsoft di consigliare ai propri clienti di disattivare tale funzione, in modo che la vulnerabilità SAML non rappresentasse più un problema.
Secondo Harris, Morowczynski si è subito collegato in videoconferenza e ha affermato di aver discusso le preoccupazioni con Simons.
"Tutti erano pienamente d'accordo con me sul fatto che questo sia un problema enorme", ha detto Harris. "Tutti, però, erano altrettanto pienamente in disaccordo con me sul fatto che dovremmo agire rapidamente per risolverlo."
Secondo Harris, Morowczynski aveva due obiezioni principali.
Innanzitutto, un riconoscimento pubblico della falla SAML avrebbe allertato gli avversari, che avrebbero potuto poi sfruttarla. Harris minimizzò la preoccupazione, ritenendo che fosse un rischio che valeva la pena correre affinché i clienti non ignorassero la minaccia. Inoltre, era convinto che Microsoft potesse avvertire i clienti senza rivelare dettagli specifici che potessero essere sfruttati dagli hacker.
Secondo Harris, la seconda obiezione di Morowczynski riguardava le ripercussioni commerciali per Microsoft. Harris ha affermato che Morowczynski gli aveva detto che la soluzione da lui proposta avrebbe potuto alienarsi uno dei clienti più grandi e importanti di Microsoft: il governo federale, che utilizzava AD FS. Disabilitare l'SSO senza interruzioni avrebbe avuto conseguenze diffuse e specifiche per i dipendenti governativi, che si affidavano alle "smart card" fisiche per accedere ai propri dispositivi. Obbligatorie per legge, le smart card generavano password casuali ogni volta che i dipendenti effettuavano l'accesso. Tuttavia, a causa della configurazione della tecnologia sottostante, la rimozione dell'SSO senza interruzioni avrebbe significato che gli utenti non avrebbero potuto accedere al cloud tramite le loro smart card. Per accedere a servizi o dati sul cloud, avrebbero dovuto effettuare un secondo accesso e non avrebbero potuto utilizzare le smart card obbligatorie.
Harris ha affermato che Morowczynski ha respinto la sua idea, sostenendo che non fosse un'opzione praticabile.
Morowczynski disse a Harris che il suo approccio avrebbe potuto anche compromettere le possibilità dell'azienda di aggiudicarsi uno dei più grandi contratti governativi per l'informatica nella storia degli Stati Uniti, che sarebbe stato annunciato ufficialmente l'anno successivo. Internamente, Nadella aveva chiarito che Microsoft aveva bisogno di una parte di questo accordo multimiliardario con il Pentagono se voleva avere un futuro nella vendita di servizi cloud, hanno affermato Harris e altri ex dipendenti.
Eliminare la concorrenza
Secondo quanto riferito da Harris, il team era anche preoccupato per il potenziale impatto commerciale sui prodotti venduti da Microsoft per l'accesso al cloud. All'epoca, Microsoft era in forte competizione con un'azienda chiamata Okta.
Secondo Harris, ai clienti di Microsoft era stato promesso un Single Sign-On (SSO) senza interruzioni, che rappresentava uno dei vantaggi competitivi – o, nel gergo di Microsoft, uno dei "punti di forza" – che l'azienda aveva all'epoca rispetto a Okta, i cui utenti dovevano effettuare l'accesso due volte.
La soluzione proposta da Harris minerebbe la strategia aziendale di marginalizzare Okta e "creerebbe attrito" nell'esperienza utente, mentre "la priorità numero uno era eliminare gli ostacoli", ha ricordato Harris, citando le parole di Morowczynski. Inoltre, avrebbe conseguenze a cascata per il business del cloud, poiché la vendita di prodotti per la gestione delle identità spesso genera domanda per altri servizi cloud.
"Quel piccolo intoppo dovuto alla doppia autenticazione era inaccettabile per gli standard di Microsoft", ha affermato Harris. Ha ricordato che Morowczynski gli aveva detto che la decisione del gruppo di prodotto "era una decisione aziendale, non tecnica".
"Quello che mi dicevano era in totale contraddizione con tutto ciò che avevo sentito in Microsoft riguardo al principio 'il cliente prima di tutto'", ha affermato Harris. "Ora mi dicono che non si tratta più di 'il cliente prima di tutto', ma piuttosto di 'il business prima di tutto'".
DiCola, all'epoca supervisore di Harris, ha dichiarato a ProPublica che la corsa al dominio del mercato in settori nuovi e in forte crescita come il cloud ha guidato le decisioni dei team di prodotto di Microsoft. "È sempre stato un 'Fai tutto il necessario per vincere, perché devi vincere'. Perché se non vinci, è molto più difficile riconquistare in futuro. I clienti tendono ad acquistare quel prodotto per sempre."
Secondo Harris, Morowczynski avrebbe affermato che il suo team aveva "in programma" un prodotto in grado di sostituire completamente AD FS. Tuttavia, non era chiaro quando sarebbe stato disponibile per i clienti.
Nei mesi successivi, Harris si sfogò con i colleghi riguardo alla decisione del gruppo di prodotto. ProPublica ha parlato con tre persone che lavoravano con Harris all'epoca e che hanno ricordato queste conversazioni. Tutti hanno parlato a condizione di anonimato per timore di ripercussioni professionali. I tre hanno affermato che Harris era furioso e frustrato per quella che descriveva come la riluttanza del gruppo di prodotto ad affrontare la vulnerabilità.
Né Morowczynski né Simons hanno risposto alle richieste di commento e Microsoft ha rifiutato di renderli disponibili per interviste. L'azienda non ha contestato i dettagli del racconto di Harris. Nella sua dichiarazione, Microsoft ha affermato di valutare una serie di fattori quando analizza le potenziali minacce. "Diamo priorità al nostro lavoro di risposta alla sicurezza considerando la potenziale interruzione dei servizi per i clienti, la vulnerabilità e le misure di mitigazione disponibili", ha dichiarato il portavoce. "Continuiamo ad ascoltare la comunità di ricerca sulla sicurezza e ad evolvere il nostro approccio per garantire di soddisfare le aspettative dei clienti e proteggerli dalle minacce emergenti".
Un altro importante avvertimento
Dopo la conversazione con Morowczynski, Harris si è appuntato un promemoria sulla lavagna del suo ufficio di casa: "Aggiornamento su SAML". Voleva mantenere alta la pressione sul team di prodotto.
Poco dopo, CyberArk, azienda di sicurezza informatica con sede in Massachusetts e a Tel Aviv, ha pubblicato un post sul blog descrivendo la falla , che ha soprannominato "Golden SAML", insieme a una prova di concetto, essenzialmente una tabella di marcia che mostrava come gli hacker avrebbero potuto sfruttare la debolezza.
Anni dopo, nella sua testimonianza scritta per la Commissione Intelligence del Senato , Brad Smith di Microsoft ha affermato che quello fu il momento in cui l'azienda venne a conoscenza del problema. "La teoria del Golden SAML è diventata nota ai professionisti della sicurezza informatica di Microsoft, del governo degli Stati Uniti e del settore tecnologico esattamente nello stesso momento, quando è stata pubblicata in un documento pubblico nel 2017", ha scritto Smith.
Lavi Lazarovitz di CyberArk ha affermato che l'azienda aveva segnalato la vulnerabilità, prima della pubblicazione dell'articolo, in una chat privata di WhatsApp con una decina di ricercatori di sicurezza di diverse aziende, un forum utilizzato per confrontarsi sulle minacce emergenti. Quando hanno presentato la scoperta al gruppo, che includeva almeno un ricercatore di Microsoft, gli altri membri l'hanno minimizzata, ha detto Lazarovitz.
"Molti nella comunità di ricerca sulla sicurezza – non voglio dire che mi abbiano deriso – ma si sono chiesti: 'Beh, qual è il problema?'", ha affermato Lazarovitz.

Ciononostante, CyberArk riteneva che valesse la pena prendere la questione sul serio, dato che AD FS rappresentava la porta d'accesso alle informazioni più sensibili degli utenti, comprese le e-mail. "I malintenzionati operano tra le crepe", ha affermato Lazarovitz. "Quindi, ovviamente, abbiamo compreso il feedback ricevuto, ma eravamo comunque convinti che questa tecnica sarebbe stata prima o poi sfruttata dai criminali informatici."
Il team con sede in Israele ha anche contattato i referenti della sede centrale israeliana di Microsoft, ricevendo una risposta simile a quella ottenuta nel gruppo WhatsApp, ha affermato Lazarovitz.
La pubblicazione del report è stata il modo in cui CyberArk ha avvertito il pubblico della minaccia. La divulgazione della vulnerabilità ha comportato anche un vantaggio commerciale per l'azienda. Nel post sul blog, ha promosso il proprio prodotto di sicurezza, affermando che "sarà estremamente utile per impedire agli aggressori di impossessarsi di risorse importanti come il certificato di firma del token".
Inizialmente il rapporto non ricevette molta attenzione. Harris, tuttavia, lo colse al volo. Affermò di aver allertato Morowczynski e Simons del gruppo di prodotto, nonché l'MSRC. La situazione era più urgente di prima, sostenne Harris, perché CyberArk includeva la prova di concetto che poteva essere utilizzata dagli hacker per condurre un vero e proprio attacco. Per Harris, ciò richiamava alla mente la preoccupazione di Morowczynski che segnalare la vulnerabilità potesse dare un vantaggio agli hacker.
"Ero più motivato che mai a capire finalmente cosa fare al riguardo", ha detto Harris.
Ma l'MSRC ha ribadito la sua posizione in merito ai "confini di sicurezza", mentre Morowczynski ha confermato la decisione precedentemente presa dal gruppo di prodotto, ha affermato Harris.
Harris ha raccontato di essere poi tornato dai suoi superiori, tra cui Hayden Hainsworth e Bharat Shah, che, in qualità di vicepresidente aziendale della divisione di sicurezza cloud di Azure, supervisionava anche l'MSRC. "Ho detto: 'Per favore, ascoltatemi'", ha ricordato Harris. "'Questa è probabilmente la cosa più importante che abbia mai fatto nella mia carriera.'"
Harris ha affermato che non si sono lasciati convincere e gli hanno detto di riportare il problema all'MSRC.
All'epoca, Microsoft non commentò pubblicamente il post sul blog di CyberArk. Anni dopo, in risposte scritte al Congresso , Smith affermò che i ricercatori di sicurezza dell'azienda avevano esaminato le informazioni, ma avevano deciso di concentrarsi su altre priorità. Né Hainsworth né Shah hanno risposto alle richieste di commento.
Disinnescare una bomba a orologeria
Harris ha affermato di essere profondamente frustrato. A livello personale, il suo ego ne ha risentito. Individuare le principali vulnerabilità è considerato un traguardo per i professionisti della sicurezza informatica e, nonostante la sua scoperta interna, CyberArk si era aggiudicata il Golden SAML.
Più in generale, ha affermato di essere più preoccupato che mai, convinto che la debolezza fosse una bomba a orologeria. "Ormai è tutto alla luce del sole", ha detto.
Pubblicamente, Microsoft ha continuato a promuovere la sicurezza dei suoi prodotti , vantandosi persino del suo rapporto con il governo federale nelle presentazioni di vendita. "Per proteggere la vostra organizzazione, Azure integra sicurezza, privacy e conformità nella sua metodologia di sviluppo", ha affermato l'azienda alla fine del 2017, "ed è stato riconosciuto come il cloud più affidabile per le istituzioni governative statunitensi".

Internamente, Harris si lamentò con i colleghi del fatto che i clienti venivano lasciati in una situazione di vulnerabilità.
"Aveva seri problemi" con il team di prodotto, ha affermato un ex collega di Harris alla Microsoft che lavorava come consulente per il Dipartimento della Difesa. "Si sfogava dicendo che era un problema che volevano semplicemente ignorare."
Harris passava solitamente dallo sfogarsi al discutere di come proteggere i clienti, ha detto l'ex collega. "Gli ho chiesto di mostrarmi cosa avrei dovuto fare per assicurarmi che i clienti fossero consapevoli e potessero adottare misure correttive per mitigare il rischio", ha affermato.
Harris ha diffuso il suo messaggio anche su LinkedIn , dove ha pubblicato un avvertimento discreto e un'offerta.
"Spero che tutti i miei amici e follower qui abbiano ormai compreso la relazione di sicurezza" coinvolta nell'autenticazione degli utenti in AD FS, ha scritto nel 2019. "In caso contrario, contattatemi e risolviamo la questione!"

Parallelamente, si rese conto di poter aiutare i clienti con cui aveva già dei rapporti, tra cui il NYPD, la più grande forza di polizia del paese.
"Sapendo che questa vulnerabilità è effettivamente possibile, perché non dovrei progettarmi tenendone conto, soprattutto per i miei clienti più importanti?", ha affermato Harris.
Durante una visita al dipartimento di polizia di New York (NYPD), Harris informò Matthew Fraser, un alto funzionario IT, della vulnerabilità di Active Directory File System (AD FS) e raccomandò di disabilitare l'SSO senza interruzioni. Fraser rimase incredulo di fronte alla gravità del problema, ricordò Harris, e acconsentì a disabilitare l'SSO senza interruzioni.
In un'intervista, Fraser ha confermato l'incontro.
"Questa è stata identificata come una di quelle aree particolarmente vulnerabili", ha affermato Fraser a proposito della vulnerabilità SAML. "Da lì, abbiamo capito qual è il percorso migliore per isolare e proteggere il sistema."
Rivelazioni ancora più inquietanti
Fu durante una conferenza a Orlando nel 2018, davanti a una birra, che Harris scoprì che la vulnerabilità era persino peggiore di quanto avesse inizialmente immaginato. Un collega disegnò su un tovagliolo come gli hacker avrebbero potuto aggirare anche una comune funzionalità di sicurezza chiamata autenticazione a più fattori, che richiede agli utenti di eseguire uno o più passaggi aggiuntivi per verificare la propria identità, come ad esempio inserire un codice inviato tramite SMS.
Si resero conto che, a prescindere da quanti accorgimenti di sicurezza aggiuntivi un'azienda adotti, un hacker con un token contraffatto può aggirarli tutti. Quando presentarono le nuove informazioni all'MSRC, "non se ne fece nulla", ha affermato Harris. Sebbene il centro avesse già pubblicato una definizione formale di "confine di sicurezza", le problematiche sollevate da Harris non la soddisfacevano ancora.

A marzo 2019, le preoccupazioni relative al Golden SAML si stavano diffondendo nel più ampio mondo della tecnologia. Quel mese, durante una conferenza in Germania , due ricercatori della società di sicurezza informatica Mandiant hanno presentato una dimostrazione di come gli hacker potessero infiltrarsi in AD FS per ottenere l'accesso agli account e alle applicazioni cloud delle organizzazioni. Hanno anche reso pubblici gli strumenti che avevano utilizzato per farlo.
Mandiant ha dichiarato di aver informato Microsoft prima della presentazione, e che si tratta della seconda volta in circa 16 mesi che una società esterna segnala il problema relativo al SAML all'azienda.
Nell'agosto del 2020, Harris lasciò Microsoft per lavorare presso CrowdStrike. Nel colloquio di uscita con Shah, Harris affermò di aver sollevato per l'ultima volta la questione della vulnerabilità SAML. Shah lo ascoltò, ma non fornì alcun feedback, disse Harris.
"Non esiste una figura simile a un ispettore generale all'interno di Microsoft", ha affermato Harris. "Se succede qualcosa di grave, dove diavolo ci si può rivolgere? Non c'è nessun posto a cui rivolgersi."
SolarWinds Breaks
Quattro mesi dopo, è emersa la notizia dell'attacco a SolarWinds. I funzionari federali hanno presto annunciato che, a partire dal 2019, hacker russi avevano violato e sfruttato il software di gestione di rete offerto da un'azienda texana chiamata SolarWinds, che ha avuto la sfortuna di dare il nome all'attacco. Gli hacker hanno inserito di nascosto malware negli aggiornamenti del software dell'azienda, ottenendo un accesso "backdoor" alle reti di aziende e agenzie governative che lo avevano installato. Questo accesso continuativo ha permesso agli hacker di sfruttare vulnerabilità "post-exploit", tra cui Golden SAML, per rubare dati sensibili ed e-mail dal cloud.
Nonostante il nome, quasi un terzo delle vittime dell'attacco non aveva mai utilizzato alcun software SolarWinds, come affermò Brandon Wales, all'epoca direttore ad interim della Cybersecurity and Infrastructure Security Agency (CISA), l'agenzia federale statunitense per la sicurezza informatica e delle infrastrutture. Nel marzo 2021, Wales dichiarò a una commissione del Senato che gli hacker erano riusciti a "ottenere un ampio accesso agli archivi di dati desiderati, principalmente in Microsoft Office 365 Cloud... e tutto ciò perché avevano compromesso i sistemi che gestiscono la fiducia e l'identità nelle reti".
Anche Microsoft stessa è stata vittima di una violazione dei dati.
Subito dopo l'attacco, Microsoft ha consigliato ai clienti di Microsoft 365 di disabilitare l'SSO senza interruzioni in AD FS e prodotti simili, la stessa soluzione che Harris aveva proposto tre anni prima.
Mentre il mondo si confrontava con le conseguenze, Harris ha dato sfogo alla sua frustrazione, a lungo covata, attraverso una serie di post sui social media e sul suo blog personale . Rivolgendosi direttamente a Brad Smith e criticando le decisioni dell'MSRC – che ha definito "una totale assurdità" – Harris ha aspramente criticato Microsoft per non aver avvertito pubblicamente i clienti riguardo al Golden SAML.
Microsoft "non è stata trasparente riguardo a questi rischi, ha costretto i clienti a utilizzare ADFS pur essendo a conoscenza di tali rischi e ha messo molti clienti, e in particolare il governo degli Stati Uniti, in una situazione difficile", ha scritto Harris su LinkedIn nel dicembre 2020. Una soluzione a lungo termine "non è mai stata una priorità" per l'azienda, ha scritto. "I clienti sono fregati e purtroppo è così da anni (il che, ripeto, mi disgusta)", ha affermato Harris nel post.
Nei mesi e negli anni successivi all'attacco a SolarWinds, Microsoft ha intrapreso diverse azioni per mitigare il rischio SAML. Una di queste consisteva in un metodo per rilevare in modo efficiente le conseguenze di un simile attacco. Tuttavia, questa funzionalità era disponibile solo come parte di un prodotto aggiuntivo a pagamento chiamato Sentinel.
La mancata rilevazione di tale anomalia, ha affermato l'azienda in un post sul blog , è stata un "punto cieco".
“Microsoft è tornata al vertice”
All'inizio del 2021, la Commissione ristretta del Senato sull'intelligence ha convocato Brad Smith per testimoniare in merito a SolarWinds.
Sebbene il prodotto di Microsoft avesse giocato un ruolo centrale nell'attacco, Smith è apparso imperturbabile, il suo tono disinvolto e colloquiale rifletteva le relazioni che aveva costruito nel corso dei decenni a Capitol Hill. Senza consultare appunti o leggere da un copione, come facevano alcuni dei suoi colleghi, ha eluso con sicurezza le domande sul ruolo di Microsoft. Attribuendo la responsabilità al governo, ha affermato che, nel periodo precedente all'attacco, la falla di autenticazione "non era stata considerata una priorità dalla comunità dell'intelligence come un rischio, né era stata segnalata dalle agenzie civili o da altri enti della comunità della sicurezza come un rischio da privilegiare" rispetto ad altre priorità di sicurezza informatica.
Smith ha inoltre minimizzato l'importanza della vulnerabilità Golden SAML, affermando che era stata utilizzata solo nel 15% dei 60 casi identificati da Microsoft fino a quel momento. Allo stesso tempo, ha riconosciuto che "senza dubbio, queste non sono le uniche vittime i cui dati sono stati osservati o sottratti".
Quando il senatore Marco Rubio della Florida gli ha chiesto in modo diretto cosa avesse fatto Microsoft per contrastare la vulnerabilità Golden SAML negli anni precedenti all'attacco, Smith ha risposto elencando una serie di misure che i clienti avrebbero potuto adottare per proteggersi. Tra i suoi suggerimenti, l'acquisto di un antivirus come Microsoft Defender e la protezione dei dispositivi con un altro prodotto Microsoft chiamato Intune.
"La realtà è che qualsiasi organizzazione che abbia fatto tutte e cinque queste cose, se subisse una violazione, con ogni probabilità non subirebbe quasi nessun danno", ha affermato Smith.
Né Rubio né alcun altro senatore hanno insistito ulteriormente.
In definitiva, Microsoft si è aggiudicata una parte del business multimiliardario del Dipartimento della Difesa nel settore del cloud computing, condividendola con Amazon, Google e Oracle.
Da dicembre 2020, quando l'attacco a SolarWinds è stato reso pubblico, il titolo azionario di Microsoft è schizzato alle stelle del 106%, soprattutto grazie al successo travolgente di Azure e dei prodotti di intelligenza artificiale come ChatGPT, in cui l'azienda è il maggiore investitore. "Microsoft è tornata al vertice", ha proclamato Fortune, che ha dedicato la copertina del suo ultimo numero a Nadella.
Nel settembre 2021, appena 10 mesi dopo la scoperta di SolarWinds, è stata pubblicata l'edizione tascabile del libro di Smith, "Tools and Weapons". In esso, Smith ha elogiato la risposta di Microsoft all'attacco. L'MSRC, ha scritto Smith, "ha attivato rapidamente il suo piano di risposta agli incidenti" e l'azienda nel suo complesso "ha mobilitato oltre 500 dipendenti per lavorare a tempo pieno su ogni aspetto dell'attacco".
Nella nuova edizione, Smith ha anche riflettuto sulla sua testimonianza al Congresso riguardo a SolarWinds. Le audizioni, ha scritto, "hanno esaminato non solo ciò che era accaduto, ma anche quali misure dovevano essere adottate per prevenire attacchi simili in futuro". Non lo ha menzionato nel libro, ma certamente ciò includerebbe l'alternativa a lungo termine che Morowczynski promise per la prima volta a Harris nel 2017. L'azienda ha iniziato a offrirla nel 2022 .
