Uma batata quente: notitia of * Google Project Zero indicam que os produtos da Microsoft foram responsáveis por 42,5% de todas as vulnerabilidades de segurança de dia zero descobertas desde 2014. Agora, uma empresa de segurança está acusando a corporação com sede em Redmond de irresponsabilidade, alegando que ela coloca em risco todos os seus usuários.
O CEO da Tenable, Amit Yoran, critica a Microsoft por suas práticas de segurança negligentes e falta de transparência em relação a violações. Ele afirma que a plataforma Azure abriga sérias vulnerabilidades, sobre as quais a Microsoft deliberadamente manteve seus clientes no escuro. De acordo com Yoran, Redmond supostamente ignorou as vulnerabilidades do Azure por meses, mesmo quando os especialistas em segurança estavam cientes dos problemas existentes.
Yoran cita uma carta que o senador Ron Wyden enviou à Agência de Segurança Cibernética e Infraestrutura (CISA), ao Departamento de Justiça e à Comissão Federal de Comércio (FTC) na semana passada. Nesta carta, Wyden exortou as agências federais a responsabilizar a Microsoft por seus descuidos e práticas negligentes de segurança cibernética, que inadvertidamente facilitaram os atores estatais chineses a espionar funcionários dos US.
Em março de 2023, a Tenable explorou um problema na plataforma Azure que poderia permitir que invasores não autenticados acessassem aplicativos entre locatários e dados confidenciais. Yoran explica que os hackers podem ter manipulado essa vulnerabilidade para comprometer os segredos de autenticação. A equipe da Tenable conseguiu identificar “rapidamente” esses segredos vinculados a um banco específico.
O banco estava tão preocupado com o problema que a Tenable notificou a Microsoft “imediatamente”. No entanto, a empresa não corrigiu a vulnerabilidade, decidindo implementar uma correção parcial cerca de 90 dias depois. Este patch aplicava-se apenas a novos aplicativos carregados no Azure, deixando os aplicativos mais antigos ainda em risco.
Mais de 120 dias desde a descoberta inicial da Tenable, o banco e outras organizações que adotaram a plataforma Azure antes da correção parcial permanecem vulneráveis. Além disso, Yoran postula que essas entidades provavelmente permanecem desinformadas sobre sua exposição, impedindo-as de tomar decisões informadas sobre possíveis mitigação.
“[Microsoft’s behavior] é grosseiramente irresponsável, se não flagrantemente negligente”, disse Yoran.
Os analistas de segurança estão totalmente cientes desse problema. Presumivelmente, a Microsoft também está ciente da falha de segurança, com a esperança de que os agentes de ameaças permaneçam ignorantes. Provedores de nuvem como a Microsoft têm defendido fortemente um “modelo de responsabilidade compartilhada” para segurança na nuvem. No entanto, esse modelo fica comprometido de forma irreparável quando o fornecedor da nuvem falha em alertar os clientes sobre os problemas.
O CEO da Tenable afirma que o registro inconsistente da Microsoft com remediação de segurança põe em risco todos os clientes do Azure e atores terceirizados, acrescentando que uma filosofia de “apenas confie em nós” é quebrada quando, em troca, os clientes recebem pouca transparência e uma “cultura de ofuscação tóxica”.
