Securitybedrijf haalt uit naar Microsoft over kwetsbaarheid in Power Platform
De directeur van securitybedrijf Tenable heeft hard uitgehaald naar Microsoft wegens een kwetsbaarheid in het Power Platform van het techbedrijf, waardoor gevoelige data beheerd via Azure AD was te stelen. Volgens Tenable-ceo Amit Yoran, eerder nog de National Cybersecurity Director van het Amerikaanse ministerie van Homeland Security, zorgt Microsofts gebrek aan transparantie over datalekken, onverantwoorde security practices en kwetsbaarheden dat klanten bewust over risico's in het donker worden gehouden.
Microsofts Power Platform is een 'low-code platform' voor onder andere het ontwikkelen van apps en automatiseringsoplossingen. In maart ontdekten onderzoekers van Tenable een kwetsbaarheid in het platform waardoor een ongeauthenticeerde aanvaller toegang tot gevoelige data van Azure-klanten kon krijgen. Zo wisten de onderzoekers 'authentication secrets' van een niet nader genoemde bank te vinden.
De onderzoekers waarschuwden Microsoft op 30 maart. Het techbedrijf liet op 6 juli weten dat het probleem was verholpen, maar dat bleek niet het geval, zo ontdekten de onderzoekers die Microsoft opnieuw informeerden. Daarop vroeg Microsoft aan Tenable om te wachten met de publicatie van details over de kwetsbaarheid. Het securitybedrijf reageerde dat het in de publicatie geen technische details zou geven. Microsoft gaf aan dat het op 28 september pas met een volledige update zou komen.
Vervolgens publiceerde Tenable op 31 juli een beperkte uitleg van het probleem, waarna Microsoft op 3 augustus met een volledige fix kwam. "Werd het probleem, dat kon leiden tot aanvallen op de netwerken en diensten van meerdere klanten, snel door Microsoft verholpen? Natuurlijk niet. Ze namen meer dan negentig dagen de tijd om met een gedeeltelijke update te komen - en alleen voor nieuwe applicaties die op het platform geladen worden", stelt Yoran in een fel bericht op LinkedIn.
"Wat je hoort van Microsoft is 'vertrouw ons gewoon', maar wat je terugkrijgt is zeer weinig transparantie en een cultuur van giftige obfuscatie. Hoe kan een CISO, raad van bestuur of directie geloven dat Microsoft het juiste doet gegeven de patronen en huidig gedrag? Microsofts track record brengt ons allemaal in gevaar en het is nog veel erger dan gedacht." Microsoft laat in een reactie over de kwetsbaarheid weten dat het beschermen van klanten en transparant zijn de hoogste prioriteit heeft.
Het techbedrijf ligt de laatste tijd geregeld onder vuur. Zo haalde de Amerikaanse overheid naar Microsoft uit omdat het de beveiliging van UEFI-updates niet op orde heeft, was er kritiek van beveiligingsonderzoekers omdat het bedrijf klanten extra liet betalen voor log-inzage bij Exchange Online en beschuldigde een Amerikaanse senator Microsoft van nalatigheid bij de beveiliging e-mail. Aanvallers wisten een key van Microsoft te stelen waarmee ze toegang tot "honderdduizenden overheidsmails" kregen. Hoe dit kon gebeuren is nog altijd niet bekendgemaakt.
bijna elke dag komt er nieuws uit die hoek, waarvan je zou willen dat het een grap is.
Zeer zorgelijk.
De problematiek van multi-tenancy is zeer weerbarstig. Kubernetes Docker etc. zijn geen perfecte oplossingen die een oplossing voor van alles zijn. Het is kostbaar en moeilijk om dat goed te doen.
Organisaties zijn er dol op om de onbegrijpelijk ICT en alles ICT strijden over de muur te zetten, ofwel outsourcen. Kennelijk is het echte probleem zo weerbarstig dat de ontvangende partijen dat met de condities van kosten en tijd ook niet goed krijgen.
Doe dat gewoon niet, en het hele probleem bestaat opeens niet meer.
Je zal maar het slachtoffer zijn van cybercrime, wat voorkomen had kunnen worden.
Je zal maar het slachtoffer zijn van cybercrime, wat voorkomen had kunnen worden.
Je zal maar het slachtoffer zijn van cybercrime, wat voorkomen had kunnen worden.
Proest.....
De meeste cybercrime, komt trouwens door verkeerde inrichting, of (geen) versie beheer of overzicht.
De meeste zijn veel beter af met omgeving zoals Azure dan als men dit zelf probeert neer te zetten en te beheren.
Je zal maar het slachtoffer zijn van cybercrime, wat voorkomen had kunnen worden.
Je zal maar het slachtoffer zijn van cybercrime, wat voorkomen had kunnen worden.
En waarom haal jij 'Permanente aanvallen op firewalls' dan aan?
Je zal maar het slachtoffer zijn van cybercrime, wat voorkomen had kunnen worden.
En waarom haal jij 'Permanente aanvallen op firewalls' dan aan?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.