Ga naar inhoud

Aanbevolen berichten

Geplaatst:

De directeur van securitybedrijf Tenable heeft hard uitgehaald naar Microsoft wegens een kwetsbaarheid in het Power Platform van het techbedrijf, waardoor gevoelige data beheerd via Azure AD was te stelen. Volgens Tenable-ceo Amit Yoran, eerder nog de National Cybersecurity Director van het Amerikaanse ministerie van Homeland Security, zorgt Microsofts gebrek aan transparantie over datalekken, onverantwoorde security practices en kwetsbaarheden dat klanten bewust over risico's in het donker worden gehouden.

Microsofts Power Platform is een 'low-code platform' voor onder andere het ontwikkelen van apps en automatiseringsoplossingen. In maart ontdekten onderzoekers van Tenable een kwetsbaarheid in het platform waardoor een ongeauthenticeerde aanvaller toegang tot gevoelige data van Azure-klanten kon krijgen. Zo wisten de onderzoekers 'authentication secrets' van een niet nader genoemde bank te vinden.

De onderzoekers waarschuwden Microsoft op 30 maart. Het techbedrijf liet op 6 juli weten dat het probleem was verholpen, maar dat bleek niet het geval, zo ontdekten de onderzoekers die Microsoft opnieuw informeerden. Daarop vroeg Microsoft aan Tenable om te wachten met de publicatie van details over de kwetsbaarheid. Het securitybedrijf reageerde dat het in de publicatie geen technische details zou geven. Microsoft gaf aan dat het op 28 september pas met een volledige update zou komen.

Vervolgens publiceerde Tenable op 31 juli een beperkte uitleg van het probleem, waarna Microsoft op 3 augustus met een volledige fix kwam. "Werd het probleem, dat kon leiden tot aanvallen op de netwerken en diensten van meerdere klanten, snel door Microsoft verholpen? Natuurlijk niet. Ze namen meer dan negentig dagen de tijd om met een gedeeltelijke update te komen - en alleen voor nieuwe applicaties die op het platform geladen worden", stelt Yoran in een fel bericht op LinkedIn.

"Wat je hoort van Microsoft is 'vertrouw ons gewoon', maar wat je terugkrijgt is zeer weinig transparantie en een cultuur van giftige obfuscatie. Hoe kan een CISO, raad van bestuur of directie geloven dat Microsoft het juiste doet gegeven de patronen en huidig gedrag? Microsofts track record brengt ons allemaal in gevaar en het is nog veel erger dan gedacht." Microsoft laat in een reactie over de kwetsbaarheid weten dat het beschermen van klanten en transparant zijn de hoogste prioriteit heeft.

Het techbedrijf ligt de laatste tijd geregeld onder vuur. Zo haalde de Amerikaanse overheid naar Microsoft uit omdat het de beveiliging van UEFI-updates niet op orde heeft, was er kritiek van beveiligingsonderzoekers omdat het bedrijf klanten extra liet betalen voor log-inzage bij Exchange Online en beschuldigde een Amerikaanse senator Microsoft van nalatigheid bij de beveiliging e-mail. Aanvallers wisten een key van Microsoft te stelen waarmee ze toegang tot "honderdduizenden overheidsmails" kregen. Hoe dit kon gebeuren is nog altijd niet bekendgemaakt.

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.