Sıcak bir patates: Google Project Zero'dan elde edilen veriler, Microsoft'un 2014'ten bu yana keşfedilen tüm sıfır gün güvenlik açıklarının yüzde 42,5'ini oluşturduğunu gösteriyor. Şimdi bir güvenlik firması, Redmond merkezli şirket sorumsuzlukla suçluyor ve tüm kullanıcılarını tehlikeye attığını iddia ediyor.
Tenable CEO'su Amit Yoran, Microsoft'u uygulayan güvenlik uygulamaları ve ihlallerle ilgili şeffaflık eksikliği nedeniyle eleştiriyor. Azure platformunun ciddi güvenlik açıklarını barındırdığını ve Microsoft'un bu konuda kasıtlı olarak ayrıldığını iddia ediyor. Yoran'a göre Redmond'un, güvenlik bilgilerinin mevcut olup olmadığının bilinmesine rağmen aylardır Azure'daki güvenlik açıklarını görmezden geldiği iddia ediliyor.
Yoran bir mektuptan alıntı yapıyor Senatör Ron Wyden'ın geçen hafta Siber Güvenlik ve Altyapı Güvenliği Ajansı'na (CISA), Adalet Bakanlığı'na ve Federal Ticaret Komisyonu'na (FTC) rapor verdiği bildirildi. Bu mektupta Wyden, federal yönetimlerin Microsoft'u gözetmelerinden ve ihmalkar siber güvenlik uygulamalarının sorumlu tutulduğu; bu da Çinli devlet aktörlerinin ABD'deki tarafların casusluk yapmasını istemeden kolaylaştırdı.
Mart 2023'te Tenable'da yapılan araştırmalardı: sorun Azure platformunda, kimlikleri olmayan saldırganların aralarındaki uygulamalara ve hassas kayıtlara izin verme olanakları tanımış doğru olabilir. Yoran, bilgisayar korsanlarının bu güvenlik açıklarını kullanarak kimliğini koruma sırlarını tehlikeye atmış olabileceklerini açıklıyor. Tenable ekibi, belirli bir bankaya bağlı bu sırları “hızlı bir şekilde” tespit edebildi.
Banka sorunuyla o kadar ilgilendi ki Tenable Microsoft'u “hemen” bilgilendirdi. Ancak şirket, 90 gün sonra kısmi bir iyileştirme uygulaması karar kullanarak güvenlik açığını düzeltmedi. Bu ek düzeltmei yalnızca Azure'a yüklenen yeni uygulamalara uygulanarak eski uygulamalar uygulanma riski altında bırakılmaktadır.
Tenable'ın ilk bozulmalarından bu yana geçen 120 gün fazla bir süre boyunca, kısmi değişiklikten önce Azure platformunu benimseyen banka ve diğer kayıtların kayıtlarına devam ediyor. Ayrıca Yoran, bu tarihlerin muhtemel maruz kaldıkları riskler hakkında bilgisiz kaldıklarını ve bu durumun devam etme potansiyelinin azalmasına, uzaktaki aralıklar vermemelerini engellemesi devam ediyor.
“[Microsoft’s behavior] Yoran, açıkça ihmalkar olmasa da, büyük ölçüde sorumsuz olduğunu söyledi.
Güvenlik analistleri bu sorunun tamamen farkındadır. Microsoft muhtemelen güvenlik açığının da farkındadır ve tehdit aktörlerinin dikkate alınmayacağını ummaktadır. Microsoft gibi bulut sağlayıcıları, bulut güvenliği için “paylaşılan sorumluluk modeli”ni yoğun bir şekilde savundu. Ancak bulut satıcılarının sorunları hakkında uyaramadığında bu model onarılamaz biçimde tehlikeye giriyor.
Tenable CEO'su, Microsoft'un güvenlik ilişkilerinde tutarlılıksız sicilinin tüm Azure verilerii ve üçüncü taraf aktörleri tehlikeye at ileri sürerek, küresel olarak yetersiz şeffaflık ve “toksik olmayışı” almayla “sadece bize güvenin” sağlığının bozulduğunu ekledi.