Microsoft in der Kritik: Umgang mit Sicherheit "grob unverantwortlich"
Microsoft steht einmal mehr aufgrund seines Umgangs mit der Sicherheit seiner Plattformen in der Kritik. Ein Sicherheitsforscher wirft dem Konzern eine "Kultur der toxischen Verschleierung" vor, die nur als "grob unverantwortlich" bezeichnet werden könne.
Dieser wandte sich jetzt öffentlich auf LinkedIn an die Verantwortlichen bei Microsoft. Er schildert ein Problem mit einer kritischen Sicherheitslücke in der Azure-Plattform, die seine Mitarbeiter an den Konzern gemeldet hätten. Microsoft hatte hierfür am Montag einen Patch implementiert, der das Problem allerdings nur teilweise löste.
Zeit genug sei für eine tiefgehende Untersuchung und die Entwicklung einer Lösung aber auf jeden Fall gewesen, erklärte Yoran. Immerhin übermittelte man die Informationen zu der Schwachstelle bereits im März nach Redmond und Microsoft hatte jetzt 16 Wochen Zeit. Inzwischen habe Microsoft auch einen Termin für eine endgültige Korrektur festgesetzt: Den 28. September.
Details zu der Schwachstelle will Tenable weiterhin unter Verschluss halten, da über die Lücke die Sicherheit unterschiedlicher Cloud-Kunden Microsofts gefährdet sein kann. "Sobald die Details dieser Schwachstelle bekannt sind, ist es relativ trivial, sie auszunutzen. Angesichts dessen halten wir alle technischen Details zurück", hieß es in einer Stellungnahme.
Dies ist auch nicht der einzige Fall. Auch das Sicherheitsunternehmen Sygnia meldete ein Problem in der Azure-Infrastruktur, das es ermöglicht, Anmeldeinformationen über Man-in-the-Middle-Angriffe abzufangen oder kryptografische Hashes von Passwörtern zu stehlen. Und beide Fälle haben nichts mit dem kürzlich bekannt gewordenen Einbrüchen in Cloud-Dienste Microsofts zu tun.
Siehe auch:
Umfassende Kritik
Der Stein des Anstoßes ist die Tatsache, dass immer wieder relativ lax mit den Hinweisen aus der Security-Community umgegangen wird. Es dauert oft viel länger als nötig, bis Sicherheitslücken geschlossen werden - und selbst wenn es vorangeht, scheint dies nicht immer mit der gebotenen Ernsthaftigkeit zu passieren, sodass die Schwachstellen dann nur teilweise behoben werden. Dies ist zumindest der Kern der Kritik Amit Yorans, dem Chef des Sicherheitsunternehmens Tenable.Dieser wandte sich jetzt öffentlich auf LinkedIn an die Verantwortlichen bei Microsoft. Er schildert ein Problem mit einer kritischen Sicherheitslücke in der Azure-Plattform, die seine Mitarbeiter an den Konzern gemeldet hätten. Microsoft hatte hierfür am Montag einen Patch implementiert, der das Problem allerdings nur teilweise löste.
Zeit genug sei für eine tiefgehende Untersuchung und die Entwicklung einer Lösung aber auf jeden Fall gewesen, erklärte Yoran. Immerhin übermittelte man die Informationen zu der Schwachstelle bereits im März nach Redmond und Microsoft hatte jetzt 16 Wochen Zeit. Inzwischen habe Microsoft auch einen Termin für eine endgültige Korrektur festgesetzt: Den 28. September.
Es dauert und dauert
"Um Ihnen eine Vorstellung davon zu geben, wie schlimm das Problem ist: Unser Team hat darüber zügig Zugang zu den Authentifizierungsgeheimnissen einer Bank bekommen", so Yoran. Die Sicherheitsforscher seien so besorgt über die Schwere des Problems gewesen, dass sie Microsoft umgehend kontaktiert hätten. Es folgte allerdings Ernüchterung, nachdem es dann über 90 Tage gedauert hatte, bis zumindest ein Teil behoben wurde.Details zu der Schwachstelle will Tenable weiterhin unter Verschluss halten, da über die Lücke die Sicherheit unterschiedlicher Cloud-Kunden Microsofts gefährdet sein kann. "Sobald die Details dieser Schwachstelle bekannt sind, ist es relativ trivial, sie auszunutzen. Angesichts dessen halten wir alle technischen Details zurück", hieß es in einer Stellungnahme.
Dies ist auch nicht der einzige Fall. Auch das Sicherheitsunternehmen Sygnia meldete ein Problem in der Azure-Infrastruktur, das es ermöglicht, Anmeldeinformationen über Man-in-the-Middle-Angriffe abzufangen oder kryptografische Hashes von Passwörtern zu stehlen. Und beide Fälle haben nichts mit dem kürzlich bekannt gewordenen Einbrüchen in Cloud-Dienste Microsofts zu tun.
Harte Worte
"Was Sie von Microsoft hören, ist 'Vertrauen Sie uns', aber was Sie zurückbekommen, ist sehr wenig Transparenz und eine Kultur der toxischen Verschleierung", führte Yoran aus. "Wie können ein Sicherheitschef, ein Vorstand oder ein Führungsteam glauben, dass Microsoft angesichts der Fakten und des aktuellen Verhaltens das Richtige tun wird? Microsofts Erfolgsbilanz bringt uns alle in Gefahr. Und es ist noch schlimmer, als wir dachten."
Zusammenfassung
- Microsoft steht wegen seiner Sicherheitspraxis in der Kritik.
- Sicherheitsforscher werfen laxen Umgang mit Hinweisen vor.
- Kritik wegen nur teilweiser Behebung von Sicherheitslücke.
- Schwachstelle kann Authentifizierung von Banken preisgeben.
- Sygnia meldet weitere Schwachstelle in Azure-Infrastruktur.
- Microsoft: "Vertrauen Sie uns", aber wenig Transparenz.
- "Microsofts Erfolgsbilanz bringt alle in Gefahr".
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen