Varias empresas de ciberseguridad han criticado a Microsoft por lo que afirman son prácticas de parcheo lentas y opacas.

Tanto Orca Security como Tenable han hablado bastante sobre cómo Microsoft maneja las vulnerabilidades de alta gravedad. El primero dice que ha estado tratando de que Microsoft solucione un problema crítico en Synapse Analytics de Azure desde principios de enero de 2022, y después de muchas idas y venidas, así como dos intentos fallidos, la compañía finalmente logró entregar una solución para los puntos finales de los usuarios. (opens in a new tab), correctamente, solo el 15 de abril.

Tenable también expresó su insatisfacción con la forma en que se resolvió el problema de Synapse, según la publicación. En una publicación en LinkedIn (se abre en una nueva pestaña), el presidente y director ejecutivo de la compañía, Amit Yoran, dijo que había una «falta de transparencia» que Microsoft estaba mostrando solo un día antes de que se levantara el embargo sobre las vulnerabilidades divulgadas de forma privada.

Parche lento Follina

“Cualquiera que usara el servicio Azure Synapse podía explotar ambas vulnerabilidades. Después de evaluar la situación, Microsoft decidió solucionar silenciosamente (opens in a new tab) uno de los problemas, minimizando el riesgo”, dijo Yoran. «No fue hasta que supieron que íbamos a hacerlo público que su historia cambió… 89 días después de la notificación de vulnerabilidad inicial… cuando reconocieron en privado la gravedad del problema de seguridad (se abre en una nueva pestaña). Para fecha, los clientes de Microsoft no han sido notificados.

Microsoft también ha sido criticado por su manejo de la vulnerabilidad de Follina, que aparentemente solo fue reparada después de haber sido «explotada activamente durante más de siete semanas».

Los investigadores de Shadow Chaser Group aparentemente se pusieron en contacto con Microsoft en abril para informar que Follina se estaba utilizando en la naturaleza, pero la compañía solo lo declaró como una vulnerabilidad hace dos semanas, por razones desconocidas.

Lentamente o no, Microsoft entró en detalles sobre cómo corrigió la falla de Azure: “Estamos profundamente comprometidos con la protección de nuestros clientes y creemos que la seguridad es un deporte de equipo. Valoramos nuestras asociaciones con la comunidad de seguridad, lo que ayuda a nuestro trabajo a proteger a los clientes. Lanzar una actualización de seguridad es un equilibrio entre la calidad y la velocidad, y consideramos la necesidad de minimizar la interrupción del cliente mientras mejoramos la protección».

Przez: Ars Technica (Otwiera się w nowej zakładce)

Udostępnij to