När ryska hackare tog sin in hos it-leverantören Solarwinds 2020 kom de även över e-postkonton och interna dokument hos i lång rad amerikanska företag och myndigheter. Det är sedan tidigare känt att attacken blev lyckad delvis genom att utnyttja säkerhetsbrister i Microsofts Active Directory Federation Services (ADFS) som gör det möjligt att logga in på många tjänster med ett konto.
Nu rapporterar Propublica att en visselblåsare som tidigare jobbade på Microsoft påstår att de här säkerhetsbristerna var kända redan 2016, fyra år innan Solarwinds-hacket.
Andrew Harris kom till Microsoft 2014 efter några år på amerikanska försvarsdepartementet där han jobbade med skyddet av enskilda datorer och hade blivit expert på identitet och åtkomsthantering, det vill säga tekniker som ADFS. Han sökte sig till industrin för att kunna göra mer skillnad än inom försvarsmakten där byråkratin gör allt långsammare, men när han sedan gjorde en viktig upptäckt valde företaget enligt Andrew Harris att inte lyssna.
Efter att hackare hade tagit sig in hos en av Microsofts kunder utan att lämna några uppenbara spår blev Andrew Harris besatt av att hitta den metod hackarna hade använt. Efter månader av grävande hittade han den i hur ADFS använder språket SAML för att autentisera inloggade användare. En hackare med tillgång till ett företags egna ADFS-server kunde med hjälp av bristen även autentisera sig på dess del av Microsoft-molnet.
Ingen ville lyssna
Andrew Harris tog fynden till sin dåvarande chef, Nick DiCola (som inte heller jobbar på Microsoft längre). Han skickade honom vidare till Microsofts Security Response Center, en central enhet inom företaget som hanterade allvarliga säkerhetsincidenter och -brister. Men säkerhetscentrets inflytande i Microsoft hade under åren minskat och Microsofts Azure-avdelning var så mäktig – och så fokuserad på nya funktioner och ökade intäkter – att många rapporter om brister ignorerades.
Så gick det även med Andrew Harris rapport. Säkerhetscentret ansåg att det inte var något större problem eftersom hackaren först behövde komma åt ett företags ADFS-server och att bristen inte gick att utnyttja från utsidan. Istället tog han kontakt med chefer inom den del av Microsoft som utvecklade ADFS och Azure ID, motsvarigheten för molnautentisering.
Affärsrisk
Cheferna han pratade höll med om att bristen var allvarlig, men gillade inte Andrew Harris föreslag på tillfällig lösning tills systemet kunde byggas om från grunden för att bli mer säkert: Att uppmana kunder att stänga av kopplingen mellan ADFS för interna system och Azure ID för molntjänster. Problemet med det här förslaget, som cheferna såg det, var dels att det skulle uppmärksamma hackare på SAML-bristen, dels att det kunde påverka Microsofts chanser att få stora kontrakt från myndigheter.
Åren gick och Microsoft fortsatte att skjuta på fixandet, trots att riskerna med en SAML-attack mot ADFS blev kända via ett blogginlägg från israeliska säkerhetsföretaget Cyberark. Andrew Harris stretade på och fick flera Microsoft-kunder med vilka han redan hade professionella förhållanden att stänga av kopplingen mellan ADFS och molnet – bland annat New York-polisen. Men 2020 tröttnade han och lämnade företaget. Bara några månader senare avslöjades Solarwinds-hacket.
Den långsiktiga lösning Andrew Harris chefer ville vänta på kom 2022 i form av Azure Active Directory (AAD) Certificate-Based Authentication (CBA). Det är en mer resistent teknik mot nätfiske som möjliggör enkel inloggning som tidigare med separering av lokala servrar och molntjänster men utan något behov av ADFS.
