Tenable behauptet, dass diese Sicherheitslücke mehrere Kunden, darunter eine Bank, anfällig für Cyberangriffe gemacht hat. Cloud-Anbieter verfügen über ein Modell der geteilten Verantwortung, das beeinträchtigt wird, wenn Anbieter ihre Kunden nicht über auftretende Probleme informieren und nicht umgehend Korrekturen vornehmen, fügte das Unternehmen hinzu. Lesen Sie, was der CEO von Tenable zu sagen hat
„Letzte Woche hat Senator Ron Wyden einen Brief an die Cybersecurity and Infrastructure Security Agency (CISA), das Justizministerium und die Federal Trade Commission (FTC) geschickt, in dem er darum bittet, Microsoft für ein wiederholtes Muster fahrlässiger Cybersicherheitspraktiken zur Rechenschaft zu ziehen ermöglichte chinesische Spionage gegen die US-Regierung. Laut Daten von Google Project Zero waren Microsoft-Produkte für insgesamt 42,5 % aller seit 2014 entdeckten Zero-Days verantwortlich.Die mangelnde Transparenz von Microsoft betrifft Verstöße, unverantwortliche Sicherheitspraktiken und Schwachstellen, die ihre Kunden Risiken aussetzen, über die sie bewusst im Dunkeln gelassen werden.Im März 2023 untersuchte ein Mitglied des Forschungsteams von Tenable die Azure-Plattform von Microsoft und die damit verbundenen Dienste. Der Forscher entdeckte ein Problem, das einem nicht authentifizierten Angreifer den Zugriff auf mandantenübergreifende Anwendungen und vertrauliche Daten wie Authentifizierungsgeheimnisse ermöglichen würde. Um Ihnen eine Vorstellung davon zu geben, wie schlimm das ist: Unser Team hat sehr schnell Authentifizierungsgeheimnisse einer Bank entdeckt. Sie waren so besorgt über die Schwere und die Ethik des Problems, dass wir Microsoft sofort benachrichtigten. Hat Microsoft das Problem, das tatsächlich zu einer Verletzung der Netzwerke und Dienste mehrerer Kunden führen könnte, schnell behoben? Natürlich nicht. Sie brauchten mehr als 90 Tage, um eine Teilkorrektur zu implementieren – und zwar nur für neue Anwendungen, die in den Dienst geladen wurden. Das bedeutet, dass die Bank, auf die ich oben verwiesen habe, bis heute immer noch anfällig ist, mehr als 120 Tage nachdem wir das Problem gemeldet haben, ebenso wie alle anderen Organisationen, die den Dienst vor der Behebung eingeführt hatten. Und nach unserem besten Wissen haben sie immer noch keine Ahnung, dass sie einem Risiko ausgesetzt sind, und können daher keine fundierte Entscheidung über Entschädigungskontrollen und andere risikomindernde Maßnahmen treffen. Microsoft gibt an, das Problem bis Ende September zu beheben, vier Monate nachdem wir sie benachrichtigt haben. Das ist grob unverantwortlich, wenn nicht sogar grob fahrlässig. Wir kennen das Problem, Microsoft weiß davon und die Bedrohungsakteure wissen es hoffentlich nicht. Cloud-Anbieter vertreten seit langem das Modell der geteilten Verantwortung. Dieses Modell ist unwiederbringlich kaputt, wenn Ihr Cloud-Anbieter Sie nicht über auftretende Probleme informiert und die Korrekturen nicht offen anwendet. Was Sie von Microsoft hören, ist „Vertrauen Sie uns einfach“, aber was Sie zurückbekommen, ist sehr wenig Transparenz und eine Kultur der toxischen Verschleierung. Wie kann ein CISO, ein Vorstand oder ein Führungsteam glauben, dass Microsoft angesichts der Faktenlage und des aktuellen Verhaltens das Richtige tun wird? Die Erfolgsbilanz von Microsoft gefährdet uns alle. Und es ist noch schlimmer, als wir dachten.– Blogbeitrag von Amit Yoran, Chairman und CEO, Tenable“
Ende des Artikels