Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Heim
Jun 01, 2023
Microsoft wird wegen „unverantwortlichem“ Patching-Zeitplan kritisiert
Der Umgang von Microsoft mit einem Sicherheitsproblem, das einen eingeschränkten, unbefugten Zugriff auf mandantenübergreifende Anwendungen und sensible Daten ermöglichen könnte, hat das Unternehmen auf den Prüfstand gestellt, wie es mit der Sicherheit umgeht
Der Umgang von Microsoft mit einem Sicherheitsproblem, das einen begrenzten, unbefugten Zugriff auf mandantenübergreifende Anwendungen und sensible Daten ermöglichen könnte, hat das Unternehmen auf den Prüfstand gestellt, wie es mit Sicherheitslücken in seiner Plattform umgeht.
Das Problem ist auf die Power-Plattform von Microsoft zurückzuführen, bei der es sich um Softwareanwendungen für Business Intelligence, App-Entwicklung und App-Konnektivität handelt. Laut Forschern von Tenable, die das Problem gefunden haben, verfügen die Azure-Funktionshosts, die im Rahmen des Plattformbetriebs von benutzerdefinierten Konnektoren gestartet werden, nicht über eine ausreichende Zugriffskontrolle.
Tenable kontaktierte Microsoft erstmals am 30. März bezüglich des Problems. Einige Monate später teilte Microsoft Tenable am 6. Juli mit, dass das Problem behoben sei; Allerdings stellte Tenable dann fest, dass die Fehlerbehebung unvollständig war. Nach weiterem Hin und Her teilte Microsoft Tenable am 21. Juli mit, dass eine vollständige Behebung des Problems erst am 28. September veröffentlicht werde. Am 31. Juli veröffentlichte Tenable eine begrenzte Empfehlung zu dem Problem. Am Donnerstag aktualisierte Tenable dann seine Empfehlung mit weiteren Details, nachdem Microsoft das Problem in seinen neu bereitgestellten Konnektoren behoben hatte, indem Azure-Funktionsschlüssel für den Zugriff auf die Funktionshosts und deren HTTP-Trigger erforderlich waren.
Allerdings bezeichnete Amit Yoran, Vorsitzender und CEO von Tenable, diese Woche in einem LinkedIn-Beitrag die lange Offenlegungsfrist als „unverantwortlichen“ Schritt von Microsoft.
„Hat Microsoft das Problem, das tatsächlich zu einer Verletzung der Netzwerke und Dienste mehrerer Kunden führen konnte, schnell behoben? Natürlich nicht. Sie brauchten mehr als 90 Tage, um eine Teilkorrektur zu implementieren – und zwar nur für neue Anwendungen, die in den Dienst geladen wurden“, sagte Yoran.
Das Problem sei ernst und habe es den Forschern ermöglicht, die Authentifizierungsgeheimnisse einer Bank herauszufinden, sagte Yoran. Ein Angreifer, der den Hostnamen einer mit dem benutzerdefinierten Connector verknüpften Azure-Funktion ermitteln konnte, konnte ohne Authentifizierung mit dieser Funktion interagieren. Dies könnte es ihnen ermöglichen, möglicherweise andere Hostnamen für Azure-Funktionen zu ermitteln, und da viele benutzerdefinierte Konnektoren offenbar Authentifizierungsflüsse zwischen Microsofts Power Platform und Diensten von Drittanbietern verarbeiten, besteht die Möglichkeit, dass Angreifer bestimmte Formen der Authentifizierung (wie OAuth-Client-IDs und Geheimnisse) abfangen könnten ).
„Es sollte beachtet werden, dass es sich hierbei nicht ausschließlich um eine Frage der Offenlegung von Informationen handelt, da die Möglichkeit, auf die ungesicherten Funktionshosts zuzugreifen und mit ihnen zu interagieren und durch benutzerdefinierten Connector-Code definiertes Verhalten auszulösen, weitere Auswirkungen haben könnte“, so die Tenable-Forscher in ihrem Bericht aktualisierter Hinweis. „Aufgrund der Art des Dienstes wären die Auswirkungen jedoch für jeden einzelnen Anschluss unterschiedlich und ohne umfassende Tests schwer zu quantifizieren.“
Tenable teilte am Donnerstag mit, dass das Unternehmen nicht mehr auf zuvor betroffene Hosts zugreifen könne, und verwies Kunden, die weitere Details zur Art der bereitgestellten Abhilfemaßnahmen wünschen, an Microsoft, „für verlässliche Antworten“. Microsoft sagte unterdessen, dass das Problem nun für alle Kunden vollständig behoben sei und keine weiteren Maßnahmen des Kunden erforderlich seien.
„Wir schätzen die Zusammenarbeit mit der Sicherheitsgemeinschaft, um Produktprobleme verantwortungsvoll offenzulegen“, so ein Microsoft-Sprecher. „Wir folgen einem umfassenden Prozess, der eine gründliche Untersuchung, die Entwicklung von Updates für alle Versionen der betroffenen Produkte und Kompatibilitätstests zwischen anderen Betriebssystemen und Anwendungen umfasst. Letztendlich ist die Entwicklung eines Sicherheitsupdates ein empfindliches Gleichgewicht zwischen Aktualität und Qualität und gleichzeitiger Gewährleistung eines maximalen Kundenschutzes bei minimaler Kundenunterbrechung.“
Über dieses spezielle Problem hinaus ist Microsoft in den letzten Wochen aufgrund seiner Sicherheitspraktiken einer verstärkten Prüfung ausgesetzt. Im Anschluss an einen Cyberangriff, der mehrere US-Bundesbehörden betraf und bei dem Angreifer gefälschte Authentifizierungstoken nutzten, um mit einem erworbenen Microsoft-Konto-Consumer-Signaturschlüssel auf die E-Mails der Opfer zuzugreifen, forderte Senator Ron Wyden (D-Ore) die CISA, die FTC und das DoJ dazu auf „Machen Sie Microsoft für seine Fahrlässigkeit verantwortlich.“
Die Kritik kommt auch daher, dass CISA die Hersteller dazu drängt, Secure By Design-Prinzipien für ihre Produkte zu übernehmen. Dabei geht es nicht nur darum, Sicherheit als eine Kerngeschäftsanforderung zu implementieren (im Gegensatz zu einer technischen Funktion), sondern auch sicherzustellen, dass Hersteller ihre Rolle und Verantwortung bei der Sicherung ihrer Produkte verstehen, sodass diese Sicherheitsverantwortung nicht allein bei ihnen liegt die Schultern der Kunden.
„Cloud-Anbieter vertreten seit langem das Modell der geteilten Verantwortung“, sagte Yoran am Mittwoch. „Dieses Modell ist unwiederbringlich kaputt, wenn Ihr Cloud-Anbieter Sie nicht über auftretende Probleme informiert und die Korrekturen offen anwendet … Wie kann ein CISO, ein Vorstand oder ein Führungsteam angesichts der aktuellen Faktenlage und des aktuellen Stands der Dinge glauben, dass Microsoft das Richtige tun wird?“ Verhaltensweisen?“
Forscher von Microsoft sagten am Mittwoch, dass der Bedrohungsakteur einen „sehr gezielten“ Social-Engineering-Angriff eingesetzt hat, um...
Die Bedrohungsgruppe nutzte gefälschte Authentifizierungstoken – mit einem erworbenen Microsoft-Konto-Consumer-Signaturschlüssel –, um auf die … zuzugreifen.
Die Zero-Day-Schwachstelle von Microsoft (CVE-2023-36884) wird von einer in Russland ansässigen Cyberkriminellengruppe in Phishing-E-Mails ausgenutzt, die ...