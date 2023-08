Ende Juli veröffentlichte die Security-Firma Tenable ein Advisory zu einer Schwach­stelle in der Azure-Umgebung. Gekoppelt war dieses mit öffentlicher Kritik von Tenable-CEO Amit Yoran. Auf Linkedin schrieb er am 2. August von wiederholtem fahrlässigem Handeln, Intransparenz und unverantwortlichem Verhalten seitens Microsoft.

Im März hatten Tenable-Forschende eine Schwachstelle entdeckt, welche "be­grenz­ten, unbefugten Zugriff auf mandantenübergreifende Anwendungen und sensible Daten (einschliesslich, aber nicht beschränkt auf Authen­ti­fi­zier­ungs­geheimnisse) ermöglicht". Laut Yoran waren sie "so besorgt über die Schwere und die Ethik des Problems, dass wir Microsoft sofort benachrichtigt haben".

Am 6. Juni veröffentlichte Microsoft einen Fix und erklärte, das Problem sei behoben. Tenable überprüfte den Fix und stellte nach eigenen Angaben fest, dass er unvoll­ständig und die Schwachstelle immer noch ausnutzbar war. Nach einer weiteren Meldung an Microsoft hiess es dort, die Erstellung eines Patches benötige eine gewisse Zeit. Ende September 2023 werde ein finaler Fix für die Schwachstelle veröffentlicht.

Nach der Kritik ging es nun offenbar doch schneller. Am 4. August publizierte Micro­soft einen Blogbeitrag. Dort heisst es, der Patch sei ausgerollt worden. "Am 30. März 2023 informierte Tenable Microsoft im Rahmen der Coordinated Vulnerability Disclosure (CVD) über eine Sicherheitslücke im Zusammenhang mit Power Platform Custom Connectors, die Custom Code verwenden. Diese Funktion ermöglicht es Kunden, Code für benutzerdefinierte Konnektoren zu schreiben. Dieses Problem wurde für alle Kunden vollständig behoben und es sind keine Abhilfemassnahmen seitens der Kunden erforderlich."

Die Lücke könne zur "unbeabsichtigten Offenlegung" von sensiblen Informationen führen. Weiter heisst es: "Unsere Untersuchung des Berichts ergab einen anomalen Zugriff nur durch den Sicherheitsforscher, der den Vorfall gemeldet hatte, und nicht durch andere Akteure. Alle betroffenen Kunden wurden vom Forscher über das Microsoft 365 Admin Center über diesen anomalen Zugriff informiert."

Tenable-Chef Amit Yoran sagte gegenüber 'The Record' , dass er sich nicht sicher sei, ob das Problem wirklich behoben wurde oder ob seine Firma einfach daran gehindert wurde, es weiter zu testen. "Wenn wir Sicherheitslücken in anderen Produkten finden, informieren uns die Hersteller in der Regel über die Behebung, damit wir sie effektiv überprüfen können. Bei Microsoft Azure ist das nicht der Fall, es handelt sich also um eine Black Box, was auch Teil des Problems ist."