Kilka firm zajmujących się cyberbezpieczeństwem skrytykowało Microsoft za powolne i nieprzejrzyste praktyki instalowania poprawek.
Zarówno Orca Security, jak i Tenable dość głośno wypowiadały się na temat tego, jak Microsoft radzi sobie z lukami w zabezpieczeniach o wysokim stopniu ważności. Ten pierwszy mówi, że od początku stycznia 2022 r. próbował nakłonić Microsoft do naprawienia krytycznego problemu w usłudze Azure Synapse Analytics, a po wielu próbach, a także dwóch nieudanych próbach, firmie w końcu udało się dostarczyć poprawkę dla kropki użytkownicy końcowi. (otwiera się w nowej karcie), poprawnie, dopiero 15 kwietnia.
Jak wynika z postu, Tenable wyraziła także niezadowolenie ze sposobu rozwiązania problemu Synapse. W poście na LinkedIn (otwiera się w nowej karcie) prezes i dyrektor generalny firmy Amit Yoran stwierdził, że Microsoft wykazał „brak przejrzystości” zaledwie dzień przed wprowadzeniem embarga na prywatnie ujawniane luki w zabezpieczeniach.
Parche slow Follina
„Każdy, kto korzysta z usługi Azure Synapse, może wykorzystać obie luki. Po ocenie sytuacji Microsoft zdecydował się po cichu naprawić (otwiera się w nowej karcie) jeden z problemów, minimalizując ryzyko” – powiedział Yoran. „Dopiero dowiedzieli się, że upublicznimy tę informację, ich historia uległa zmianie… 89 dni po pierwszym powiadomieniu o luce w zabezpieczeniach… kiedy prywatnie potwierdzili powagę problemu bezpieczeństwa (otwiera się w nowej karcie). Do chwili obecnej klienci firmy Microsoft nie zostali powiadomieni.
Microsoft był również krytykowany za sposób poradzenia sobie z luką Follina, która najwyraźniej została załatana dopiero po „aktywnym wykorzystywaniu przez ponad siedem tygodni”.
Badacze Shadow Chaser Group najwyraźniej skontaktowali się z Microsoftem w kwietniu, aby zgłosić, że Follina była używana na wolności, ale firma zgłosiła to dopiero dwa tygodnie temu z nieznanych powodów.
Powoli czy nie, Microsoft szczegółowo opisywał, jak naprawił usterkę platformy Azure: „Jesteśmy głęboko zaangażowani w ochronę naszych klientów i wierzymy, że bezpieczeństwo to sport zespołowy. Cenimy sobie współpracę ze społecznością zajmującą się bezpieczeństwem, co pomaga nam chronić klientów. Wydanie aktualizacji zabezpieczeń zapewnia równowagę między jakością a szybkością i uważamy, że należy zminimalizować zakłócenia pracy klientów, jednocześnie poprawiając ochronę.
Przez: Ars Technica (Otwiera się w nowej zakładce)