Mehr als drei Monaten wusste Microsoft von einer kritischen Lücke der Azure-Cloud, ohne sie zu schließen. Der Chef von Tenable findet dafür harsche Worte.
"Äußerst unverantwortlich" nennt Amit Yoran, CEO der Sicherheitsfirma Tenable das Gebaren von Microsoft in Sachen Sicherheit. Hintergrund ist, dass seine Firma eine kritische Sicherheitslücke der Microsoft-Azure-Cloud gefunden und gemeldet hat – vor mehr als drei Monaten. Erst nachdem Tenable öffentlich über dieses Problem sprach, schloss Microsoft diese in einer Hauruck-Aktion quasi über Nacht.
In seinem LinkedIn-Posting “Microsoft…The Truth Is Even Worse Than You Think” zog Yoran richtig vom Leder und stellt auch einen Zusammenhang mit den Vorgängen rund um den jüngst gestohlenen Master-Key her:
‘Microsofts Mangel an Transparenz betrifft Einbrüche, unverantwortliche Sicherheitspraktiken und Schwachstellen, die all ihre Kunden Risiken aussetzen, über die sie absichtlich im Unklaren gelassen werden.
…
Was man von Microsoft hört, ist "Vertrauen Sie uns einfach", aber was man zurückbekommt, ist sehr wenig Transparenz und eine giftige Kultur der Verschleierung. Wie kann ein CISO, ein Vorstand oder ein Führungsteam angesichts dieser Verhaltensmuster noch glauben, dass Microsoft das Richtige tun wird?’
Passwortklau möglich
Die neue Lücke ermöglichte Angreifern unter bestimmten Voraussetzungen Zugang zu Cloud-Credentials wie Token oder Passwörtern. Ein erstes Update von Microsoft beseitigte das Problem nicht vollständig. Danach avisierte der Cloud-Konzern einen Fix für den 28. September, was Tenable dazu veranlasste, das Problem öffentlich zu machen, ohne allerdings Details zur Lücke zu nennen.
Kurze Zeit später meldete Microsoft Vollzug; man habe die Lücke bereits im Juni für die meisten betroffenen Kunden geschlossen und nun seien alle Kunden geschützt, zitiert ITwire einen Microsoft-Presssprecher. Weitere Aktionen der Kunden seien nicht erforderlich. Das meinte Yoran wohl mit: "Vertrauen Sie uns einfach". Mittlerweile hat Tenable eine genauere Beschreibung mit den Details der Sicherheitslücke veröffentlicht: Unauthorized Access to Cross-Tenant Applications in Microsoft Power Platform.
Update
04.08.2023 11:27 Uhr
Die Sicherheitslücke befindet sich nicht im Azure Active Directory (AAD), sondern besteht aus einem unautorisierten Zugriff auf das Azure API. Über diesen ließen sich unter anderem auch OAuth-Client-IDs und -Secrets abgreifen, die typischerweise im AAD liegen. Falsche oder missverständliche Verweise auf das Azure Active Directory haben wir entfernt.
Quelle; heise
"Äußerst unverantwortlich" nennt Amit Yoran, CEO der Sicherheitsfirma Tenable das Gebaren von Microsoft in Sachen Sicherheit. Hintergrund ist, dass seine Firma eine kritische Sicherheitslücke der Microsoft-Azure-Cloud gefunden und gemeldet hat – vor mehr als drei Monaten. Erst nachdem Tenable öffentlich über dieses Problem sprach, schloss Microsoft diese in einer Hauruck-Aktion quasi über Nacht.
In seinem LinkedIn-Posting “Microsoft…The Truth Is Even Worse Than You Think” zog Yoran richtig vom Leder und stellt auch einen Zusammenhang mit den Vorgängen rund um den jüngst gestohlenen Master-Key her:
‘Microsofts Mangel an Transparenz betrifft Einbrüche, unverantwortliche Sicherheitspraktiken und Schwachstellen, die all ihre Kunden Risiken aussetzen, über die sie absichtlich im Unklaren gelassen werden.
…
Was man von Microsoft hört, ist "Vertrauen Sie uns einfach", aber was man zurückbekommt, ist sehr wenig Transparenz und eine giftige Kultur der Verschleierung. Wie kann ein CISO, ein Vorstand oder ein Führungsteam angesichts dieser Verhaltensmuster noch glauben, dass Microsoft das Richtige tun wird?’
Passwortklau möglich
Die neue Lücke ermöglichte Angreifern unter bestimmten Voraussetzungen Zugang zu Cloud-Credentials wie Token oder Passwörtern. Ein erstes Update von Microsoft beseitigte das Problem nicht vollständig. Danach avisierte der Cloud-Konzern einen Fix für den 28. September, was Tenable dazu veranlasste, das Problem öffentlich zu machen, ohne allerdings Details zur Lücke zu nennen.
Kurze Zeit später meldete Microsoft Vollzug; man habe die Lücke bereits im Juni für die meisten betroffenen Kunden geschlossen und nun seien alle Kunden geschützt, zitiert ITwire einen Microsoft-Presssprecher. Weitere Aktionen der Kunden seien nicht erforderlich. Das meinte Yoran wohl mit: "Vertrauen Sie uns einfach". Mittlerweile hat Tenable eine genauere Beschreibung mit den Details der Sicherheitslücke veröffentlicht: Unauthorized Access to Cross-Tenant Applications in Microsoft Power Platform.
Update
04.08.2023 11:27 Uhr
Die Sicherheitslücke befindet sich nicht im Azure Active Directory (AAD), sondern besteht aus einem unautorisierten Zugriff auf das Azure API. Über diesen ließen sich unter anderem auch OAuth-Client-IDs und -Secrets abgreifen, die typischerweise im AAD liegen. Falsche oder missverständliche Verweise auf das Azure Active Directory haben wir entfernt.
Quelle; heise
