Securitybedrijf haalt uit naar Microsoft over kwetsbaarheid in Power Platform

[Captain Kirk]

De directeur van securitybedrijf Tenable heeft hard uitgehaald naar Microsoft wegens een kwetsbaarheid in het Power Platform van het techbedrijf, waardoor gevoelige data beheerd via Azure AD was te stelen. Volgens Tenable-ceo Amit Yoran, eerder nog de National Cybersecurity Director van het Amerikaanse ministerie van Homeland Security, zorgt Microsofts gebrek aan transparantie over datalekken, onverantwoorde security practices en kwetsbaarheden dat klanten bewust over risico's in het donker worden gehouden.

Microsofts Power Platform is een 'low-code platform' voor onder andere het ontwikkelen van apps en automatiseringsoplossingen. In maart ontdekten onderzoekers van Tenable een kwetsbaarheid in het platform waardoor een ongeauthenticeerde aanvaller toegang tot gevoelige data van Azure-klanten kon krijgen. Zo wisten de onderzoekers 'authentication secrets' van een niet nader genoemde bank te vinden.

De onderzoekers waarschuwden Microsoft op 30 maart. Het techbedrijf liet op 6 juli weten dat het probleem was verholpen, maar dat bleek niet het geval, zo ontdekten de onderzoekers die Microsoft opnieuw informeerden. Daarop vroeg Microsoft aan Tenable om te wachten met de publicatie van details over de kwetsbaarheid. Het securitybedrijf reageerde dat het in de publicatie geen technische details zou geven. Microsoft gaf aan dat het op 28 september pas met een volledige update zou komen.

Vervolgens publiceerde Tenable op 31 juli een beperkte uitleg van het probleem, waarna Microsoft op 3 augustus met een volledige fix kwam. "Werd het probleem, dat kon leiden tot aanvallen op de netwerken en diensten van meerdere klanten, snel door Microsoft verholpen? Natuurlijk niet. Ze namen meer dan negentig dagen de tijd om met een gedeeltelijke update te komen - en alleen voor nieuwe applicaties die op het platform geladen worden", stelt Yoran in een fel bericht op LinkedIn.

"Wat je hoort van Microsoft is 'vertrouw ons gewoon', maar wat je terugkrijgt is zeer weinig transparantie en een cultuur van giftige obfuscatie. Hoe kan een CISO, raad van bestuur of directie geloven dat Microsoft het juiste doet gegeven de patronen en huidig gedrag? Microsofts track record brengt ons allemaal in gevaar en het is nog veel erger dan gedacht." Microsoft laat in een reactie over de kwetsbaarheid weten dat het beschermen van klanten en transparant zijn de hoogste prioriteit heeft.

Het techbedrijf ligt de laatste tijd geregeld onder vuur. Zo haalde de Amerikaanse overheid naar Microsoft uit omdat het de beveiliging van UEFI-updates niet op orde heeft, was er kritiek van beveiligingsonderzoekers omdat het bedrijf klanten extra liet betalen voor log-inzage bij Exchange Online en beschuldigde een Amerikaanse senator Microsoft van nalatigheid bij de beveiliging e-mail. Aanvallers wisten een key van Microsoft te stelen waarmee ze toegang tot "honderdduizenden overheidsmails" kregen. Hoe dit kon gebeuren is nog altijd niet bekendgemaakt.

 

 

bron: https://www.security.nl