Kritik an Microsofts Securitypraxis reisst nicht ab

4. August 2023 um 14:53
  • security
  • microsoft
  • tenable
  • lücke
  • cyberangriff
  • usa
image
Foto: Nik / Unsplash

Wiederholte "Vernebelung" und Verzögerungen bei Microsoft moniert der Chef von Tenable. Seine Firma hat nach dem entwendeten Signaturschlüssel eine kritische Lücke entdeckt.

Nach dem Diebstahl eines Signaturschlüssels, der für Angriffe missbraucht worden ist, reisst die Kritik an Microsoft nicht mehr ab. Auf die harschen Worte der Cybersecurity Agency CISA, einem offenen Brief eines US-Senators und viel Tadel aus der Security-Community, meldet sich nun der CEO von Tenable zu Wort. Das IT-Sicherheits-Unternehmen hatte den Diebstahl des Keys im Juni entdeckt.
Amit Yoran, der Chef von Tenable, schreibt auf Linkedin von wiederholtem fahrlässigem Handeln, Intransparenz und unverantwortlichem Verhalten seitens Microsoft. Sein Beitrag hat über 2000 Likes erhalten, vornehmlich aus der Community der IT-Sicherheitsforscher. Yoran beschreibt darin eine kritische Lücke, die Microsoft im März mitgeteilt wurde. Nach einem halbbatzigen Fix im Juni, so Tenable in der Beschreibung, sei man an die Öffentlichkeit gegangen.
Microsoft erklärte gegenüber dem Medium 'ITWire': "Unser erster Fix im Juni hat das Problem für die Mehrheit der Kunden entschärft. Dieses Problem wurde nun für alle Kunden vollständig behoben und es sind keine weiteren Massnahmen erforderlich." Yoran hält im Linkedin-Beitrag dagegen: "Was Sie von Microsoft hören, ist 'Vertrauen Sie uns einfach', was Sie aber bekommen, ist sehr wenig Transparenz und eine Kultur der Vernebelung." Und er meint damit nicht nur die kritische Lücke vom März.
Seine Aussage gilt auch für den Diebstahl des Signaturschlüssels, der weite Kreise zieht.
Im Mai war mutmasslich von der chinesischen Gruppe "Storm-0558" ein Kontosignaturschlüssel (MSA) erbeutet worden, wie Microsoft einräumen musste. Er wurde bereits genutzt, um auf E-Mail-Konten von Regierungen und Privatpersonen zuzugreifen. Aufgrund schlagender Indizien wird aber vermutet, dass er Zugang zu weiteren Cloud-Diensten wie Sharepoint, Onedrive, Office365 oder Teams ermöglicht. Die Dimension zeigt die Security-Firma Wiz in einem technischen Bericht auf. Der Report wird von Microsoft dementiert, ohne selbst in die Tiefe zu gehen. Es ist ein Fall von: "Vertrauen sie uns einfach."
Als Reaktion auf den Hack und die öffentliche Kritik hatte Microsoft zuvor den Zugang zu detaillierten Cloud-Logdaten erweitert. Zudem will der Konzern alle gültigen MSA-Signaturschlüssel widerrufen und so den Angriff entschärft haben, wie es in einem Update zu den Aktivitäten von Storm-0558 heisst. Allerdings, so Wiz, könnten die Angreifer Hintertüren in Anwendungen hinterlassen haben, die ihnen eine Rückkehr ermöglichen würden.
Microsoft hat sich bislang nicht offiziell dazu geäussert. Zum Magazin 'The Verge' sagte Jeff Jones, Senior Director beim Konzern, unbestimmt: "Letztendlich ist die Entwicklung eines Sicherheitsupdates eine heikle Balance zwischen Aktualität und Qualität, wobei gleichzeitig ein maximaler Kundenschutz bei minimaler Beeinträchtigung der Kunden gewährleistet wird." Ende Juli hat Microsoft ein "Playbook für Tokendiebstahl" publiziert, mit dessen Hilfe Kunden ihre Organisation überprüfen können.

Loading

Kommentare

Mehr zum Thema

image

Security-Behörde nennt Citrix-Lücke "unakzeptables Risiko"

Die Schwachstelle in Citrix-Netscaler lässt die CISA aktiv werden. US-Behörden müssen sofort handeln.

publiziert am 14.7.2025
image

Ingram Micro erholt sich von Cyberangriff

Der IT-Distributor ist wieder voll funktionsfähig. Noch ist aber unklar, ob und was für Daten beim Ransomware-Angriff gestohlen wurden.

publiziert am 10.7.2025
imageAbo

100 Tage Meldepflicht: Das Bacs zieht erste Bilanz

Das Bundesamt für Cybersicherheit äussert sich zum Aufwand, den die Meldepflicht gebracht hat. Und gibt Zahlen zu den eingegangen Meldungen bezüglich Sektoren sowie Art der Angriffe bekannt.

publiziert am 10.7.2025
image

SAP patcht hoch­kritische Lücken

In Supplier Relationship Management gibt es eine Schwachstelle, die die höchste CVSS-Bewertung erhalten hat. Patches für diese und weitere schwerwiegende SAP-Lücken stehen zur Verfügung.

publiziert am 9.7.2025