Kritik an Microsofts Securitypraxis reisst nicht ab

4. August 2023 um 14:53
  • security
  • microsoft
  • tenable
  • lücke
  • cyberangriff
  • usa
image
Foto: Nik / Unsplash

Wiederholte "Vernebelung" und Verzögerungen bei Microsoft moniert der Chef von Tenable. Seine Firma hat nach dem entwendeten Signaturschlüssel eine kritische Lücke entdeckt.

Nach dem Diebstahl eines Signaturschlüssels, der für Angriffe missbraucht worden ist, reisst die Kritik an Microsoft nicht mehr ab. Auf die harschen Worte der Cybersecurity Agency CISA, einem offenen Brief eines US-Senators und viel Tadel aus der Security-Community, meldet sich nun der CEO von Tenable zu Wort. Das IT-Sicherheits-Unternehmen hatte den Diebstahl des Keys im Juni entdeckt.
Amit Yoran, der Chef von Tenable, schreibt auf Linkedin von wiederholtem fahrlässigem Handeln, Intransparenz und unverantwortlichem Verhalten seitens Microsoft. Sein Beitrag hat über 2000 Likes erhalten, vornehmlich aus der Community der IT-Sicherheitsforscher. Yoran beschreibt darin eine kritische Lücke, die Microsoft im März mitgeteilt wurde. Nach einem halbbatzigen Fix im Juni, so Tenable in der Beschreibung, sei man an die Öffentlichkeit gegangen.
Microsoft erklärte gegenüber dem Medium 'ITWire': "Unser erster Fix im Juni hat das Problem für die Mehrheit der Kunden entschärft. Dieses Problem wurde nun für alle Kunden vollständig behoben und es sind keine weiteren Massnahmen erforderlich." Yoran hält im Linkedin-Beitrag dagegen: "Was Sie von Microsoft hören, ist 'Vertrauen Sie uns einfach', was Sie aber bekommen, ist sehr wenig Transparenz und eine Kultur der Vernebelung." Und er meint damit nicht nur die kritische Lücke vom März.
Seine Aussage gilt auch für den Diebstahl des Signaturschlüssels, der weite Kreise zieht.
Im Mai war mutmasslich von der chinesischen Gruppe "Storm-0558" ein Kontosignaturschlüssel (MSA) erbeutet worden, wie Microsoft einräumen musste. Er wurde bereits genutzt, um auf E-Mail-Konten von Regierungen und Privatpersonen zuzugreifen. Aufgrund schlagender Indizien wird aber vermutet, dass er Zugang zu weiteren Cloud-Diensten wie Sharepoint, Onedrive, Office365 oder Teams ermöglicht. Die Dimension zeigt die Security-Firma Wiz in einem technischen Bericht auf. Der Report wird von Microsoft dementiert, ohne selbst in die Tiefe zu gehen. Es ist ein Fall von: "Vertrauen sie uns einfach."
Als Reaktion auf den Hack und die öffentliche Kritik hatte Microsoft zuvor den Zugang zu detaillierten Cloud-Logdaten erweitert. Zudem will der Konzern alle gültigen MSA-Signaturschlüssel widerrufen und so den Angriff entschärft haben, wie es in einem Update zu den Aktivitäten von Storm-0558 heisst. Allerdings, so Wiz, könnten die Angreifer Hintertüren in Anwendungen hinterlassen haben, die ihnen eine Rückkehr ermöglichen würden.
Microsoft hat sich bislang nicht offiziell dazu geäussert. Zum Magazin 'The Verge' sagte Jeff Jones, Senior Director beim Konzern, unbestimmt: "Letztendlich ist die Entwicklung eines Sicherheitsupdates eine heikle Balance zwischen Aktualität und Qualität, wobei gleichzeitig ein maximaler Kundenschutz bei minimaler Beeinträchtigung der Kunden gewährleistet wird." Ende Juli hat Microsoft ein "Playbook für Tokendiebstahl" publiziert, mit dessen Hilfe Kunden ihre Organisation überprüfen können.

Loading

Mehr zum Thema

image

Basel-Land ruft zur Deinstallation von Easytax auf

Nach der Entdeckung einer Schwachstelle warnt der Kanton. Basel-Land hat die Software im Gegensatz zum Aargau aber bereits abgelöst.

publiziert am 2.12.2024
image

Armee beteiligt sich erneut an Cyber-Übung der Nato

Im Zentrum der "Cyber Coalition 24" steht die Verbesserung der Einsatzbereitschaft bei der Abwehr von Cyberbedrohungen.

publiziert am 29.11.2024
image

Sicherheitslücke in Aargauer Easytax-Version

Der Kanton warnt. Vorhandene Versionen sollten gelöscht werden.

publiziert am 29.11.2024
image

Illegale Streaming-Plattformen mit 22 Millionen Nutzern zerschlagen

Die Server der Plattformen wurden abgeschaltet. Beteiligt an der Aktion war auch das Schweizer Fedpol.

publiziert am 28.11.2024