Kritik an Microsofts Securitypraxis reisst nicht ab

4. August 2023 um 14:53
  • security
  • microsoft
  • tenable
  • lücke
  • cyberangriff
  • usa
image
Foto: Nik / Unsplash

Wiederholte "Vernebelung" und Verzögerungen bei Microsoft moniert der Chef von Tenable. Seine Firma hat nach dem entwendeten Signaturschlüssel eine kritische Lücke entdeckt.

Nach dem Diebstahl eines Signaturschlüssels, der für Angriffe missbraucht worden ist, reisst die Kritik an Microsoft nicht mehr ab. Auf die harschen Worte der Cybersecurity Agency CISA, einem offenen Brief eines US-Senators und viel Tadel aus der Security-Community, meldet sich nun der CEO von Tenable zu Wort. Das IT-Sicherheits-Unternehmen hatte den Diebstahl des Keys im Juni entdeckt.
Amit Yoran, der Chef von Tenable, schreibt auf Linkedin von wiederholtem fahrlässigem Handeln, Intransparenz und unverantwortlichem Verhalten seitens Microsoft. Sein Beitrag hat über 2000 Likes erhalten, vornehmlich aus der Community der IT-Sicherheitsforscher. Yoran beschreibt darin eine kritische Lücke, die Microsoft im März mitgeteilt wurde. Nach einem halbbatzigen Fix im Juni, so Tenable in der Beschreibung, sei man an die Öffentlichkeit gegangen.
Microsoft erklärte gegenüber dem Medium 'ITWire': "Unser erster Fix im Juni hat das Problem für die Mehrheit der Kunden entschärft. Dieses Problem wurde nun für alle Kunden vollständig behoben und es sind keine weiteren Massnahmen erforderlich." Yoran hält im Linkedin-Beitrag dagegen: "Was Sie von Microsoft hören, ist 'Vertrauen Sie uns einfach', was Sie aber bekommen, ist sehr wenig Transparenz und eine Kultur der Vernebelung." Und er meint damit nicht nur die kritische Lücke vom März.
Seine Aussage gilt auch für den Diebstahl des Signaturschlüssels, der weite Kreise zieht.
Im Mai war mutmasslich von der chinesischen Gruppe "Storm-0558" ein Kontosignaturschlüssel (MSA) erbeutet worden, wie Microsoft einräumen musste. Er wurde bereits genutzt, um auf E-Mail-Konten von Regierungen und Privatpersonen zuzugreifen. Aufgrund schlagender Indizien wird aber vermutet, dass er Zugang zu weiteren Cloud-Diensten wie Sharepoint, Onedrive, Office365 oder Teams ermöglicht. Die Dimension zeigt die Security-Firma Wiz in einem technischen Bericht auf. Der Report wird von Microsoft dementiert, ohne selbst in die Tiefe zu gehen. Es ist ein Fall von: "Vertrauen sie uns einfach."
Als Reaktion auf den Hack und die öffentliche Kritik hatte Microsoft zuvor den Zugang zu detaillierten Cloud-Logdaten erweitert. Zudem will der Konzern alle gültigen MSA-Signaturschlüssel widerrufen und so den Angriff entschärft haben, wie es in einem Update zu den Aktivitäten von Storm-0558 heisst. Allerdings, so Wiz, könnten die Angreifer Hintertüren in Anwendungen hinterlassen haben, die ihnen eine Rückkehr ermöglichen würden.
Microsoft hat sich bislang nicht offiziell dazu geäussert. Zum Magazin 'The Verge' sagte Jeff Jones, Senior Director beim Konzern, unbestimmt: "Letztendlich ist die Entwicklung eines Sicherheitsupdates eine heikle Balance zwischen Aktualität und Qualität, wobei gleichzeitig ein maximaler Kundenschutz bei minimaler Beeinträchtigung der Kunden gewährleistet wird." Ende Juli hat Microsoft ein "Playbook für Tokendiebstahl" publiziert, mit dessen Hilfe Kunden ihre Organisation überprüfen können.

Loading

Mehr erfahren

Mehr zum Thema

image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollte nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024
image

Sicherheitsbehörden warnen eindringlich vor Ransomware-Bande Black Basta

Black Basta hat sich auch in der Schweiz zu zahlreichen Angriffen bekannt. Ein neues Advisory von US-Behörden enthält Details zum Vorgehen der Cyberkriminellen.

publiziert am 13.5.2024 1