Η εταιρεία ασφαλείας Tenable αναφέρει ότι η Microsoft έχει ενημερωθεί για μια κρίσιμη ευπάθεια στο Azure Active Directory (AAD) από τον Μάρτιο του 2023, αλλά δεν την έχει επιδιορθώσει ακόμη. Ο Διευθύνων Σύμβουλος της εταιρείας, Amit Yoran, επικρίνει δριμύτατα τον χειρισμό των θεμάτων ασφαλείας από τη Microsoft.
Πάνω από το 40% όλων των ιδιαίτερα σοβαρών τρωτών σημείων τα τελευταία χρόνια σχετίζονται με προϊόντα της Microsoft.
Τον Μάρτιο του 2023, ένα μέλος της ερευνητικής ομάδας της Tenable εξέτασε την πλατφόρμα Azure της Microsoft και τις σχετικές υπηρεσίες. Ο ερευνητής ανακάλυψε μια ευπάθεια που θα επέτρεπε σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να έχει πρόσβαση σε εφαρμογές και ευαίσθητα δεδομένα, όπως αρχεία ελέγχου ταυτότητας. Αυτό δημοσιεύτηκε από την Tenable στην ανάρτηση Unauthorized Access to Cross-Tenant Applications in a Microsoft Azure Service, αλλά επειδή η ευπάθεια δεν έχει επιδιορθωθεί, δεν δίνονται περισσότερες λεπτομέρειες.
Σύμφωνα με την εταιρεία η Microsoft ειδοποιήθηκε για τη σοβαρή ευπάθεια στις 30 Μαρτίου 2023. Η ομάδα ελέγχου ανακάλυψε ένα κενό ασφαλείας στον έλεγχο ταυτότητας μιας τράπεζας. Η τράπεζα ενημερώθηκε άμεσα, η οποία στη συνέχεια ειδοποίησε τη Microsoft.
Η ευπάθεια επιτρέπει στους εισβολείς να διεισδύσουν στα δίκτυα και τις υπηρεσίες (Azure) διαφόρων πελατών.
Όμως η τράπεζα εξακολουθεί να περιμένει μέχρι σήμερα, 120 ημέρες μετά την αναφορά του κενού ασφαλείας από την Tenable. Αυτό ισχύει για όλες τις άλλες εταιρείες που χρησιμοποιούν τις ίδιες υπηρεσίες με την τράπεζα στο cloud της Microsoft. Aυτές οι εταιρείες εξακολουθούν να μην γνωρίζουν ότι διατρέχουν κίνδυνο και επομένως δεν μπορούν να κάνουν κάτι, ή αλλιώς κοιμούνται ήσυχοι.
Η Microsoft ανέφερε ότι θέλει να διορθώσει το πρόβλημα μέχρι τα τέλη Σεπτεμβρίου του 2023, τέσσερις μήνες μετά την αναφορά της Tenable.
Η Tenable το χαρακτηρίζει αυτό κατάφωρα ανεύθυνο.
Η Tenable γνωρίζει το πρόβλημα, η Microsoft γνωρίζει για το πρόβλημα – και ελπίζουμε ότι οι εισβολείς δεν το γνωρίζουν, αναφέρει η εταιρεία ασφάλειας που σχεδιάζει να δημοσιεύσει περισσότερες λεπτομέρειες για την ευπάθεια στις 28 Σεπτεμβρίου του 2023.
Εν τω μεταξύ, ο Amit Yoran, πρόεδρος και διευθύνων σύμβουλος (CEO) της Tenable, επικρίνει τη Microsoft για τη συμπεριφορά της με ασυνήθιστα σκληρούς όρους. Ο Διευθύνων Σύμβουλος της Tenable κατηγορεί τη Microsoft για έλλειψη διαφάνειας, σε παραβιάσεις ασφάλειας, ανεύθυνες πρακτικές ασφάλειας και ευπάθειες. Εκθέτει όλους τους πελάτες σε κινδύνους για τους οποίους κρατούνται σκόπιμα στο σκοτάδι.
