Es sind Worte, die an Deutlichkeit nichts vermissen lassen: Amit Yoran, Chef der Sicherheitsfirma Tenable, wirft in einem Posting auf Linkedin Microsoft nicht nur vor, in Sicherheitsfragen "grob fahrlässig" zu agieren, das Unternehmen sei geradezu in einer "toxischen Kultur der Verschleierung" gefangen.

Beispielhaft

Tatsächlich liest es sich nicht gut, was Yoran Microsoft in weiterer Folge dann im Detail vorwirft – ist das Unternehmen doch bereits seit Monaten über eine kritische Sicherheitslücke in seinem Cloud-Service informiert, während ein Fix weiterhin nicht in Sicht ist.

Das Microsoft-Logo ist auf einem Gebäude zu sehen.
Microsoft muss sich Kritik an der Sicherheit seines Cloud-Dienstes gefallen lassen.
REUTERS/MIKE BLAKE

Konkret geht es dabei um einen Bug in den Programmierschnittstellen für Azure. Unautorisierte Angreifer konnten darüber Authentifizierungsgeheimnisse, wie sie gerade von großen Organisationen oftmals im Azure Active Directory verwaltet werden, abgreifen.

Ablauf

Wie Tenable bereits vor einigen Tagen in einem separaten Blogposting ausgeführt hatte, wurde Microsoft über dieses Problem erstmals im März informiert. Schlussendlich dauerte es aber 16 Wochen, bis die Lücke geschlossen wurde. Doch noch schlimmer: Laut Tenable ist dieser Fix unvollständig, die Lücke lässt sich also mit Anpassungen weiter ausnutzen.

Das gesteht auch Microsoft ein, schien dabei aber zunächst keine sonderliche Eile mit dem Folgeupdate zu haben. Als Datum für einen weiteren Fix hatte das Unternehmen gegenüber Tenable zunächst den 28. September festgelegt. Genau dieser Umstand ist es denn – jenseits der allgemein langsamen Reaktionszeit – auch, der die scharfe Kritik der Sicherheitsforscher ausgelöst hat.

Yoran macht dabei auch deutlich, warum dieses Verhalten ein echtes Problem ist – können über die Lücke doch nicht authentifizierte Angreifer auf via Azure AD verwaltete Anwendungen und Daten zugreifen. So hätten die eigenen Forscher sehr schnell auf Authentifizierungsgeheimnisse einer Bank zugreifen können.

Reaktion erst nach Bericht

Nach der öffentlichen Kritik ging es bei Microsoft nun aber plötzlich doch schneller. Dank einer weiteren Fehlerbereinigung soll sich die Schwachstelle nun nicht mehr ausnutzen lassen. Gleichzeitig veröffentlichte man gegenüber "Arstechnica" eine recht generische Stellungnahme, in der man über die Abwägung von Sicherheit und Qualität von Updates philosophiert.

Immer wieder

Microsoft muss sich damit innerhalb weniger Tage bereits zum zweiten Mal scharfe Kritik an der Sicherheit der eigenen Produkte gefallen lassen. So hatte US-Senator Ron Wyden (Demokraten) dem Unternehmen erst in der Vorwoche "fahrlässige Sicherheitspraktiken" vorgeworfen.

Anlass dafür war, dass es chinesischen Staatshackern gelungen ist, einen Master-Key für die Azure-Cloud zu stehlen und in der Folge auf hunderttausende Mails von Cloud-Kunden des Unternehmens zuzugreifen. Microsoft hatte zunächst versucht, den Vorfall herunterzuspielen, bevor das gesamte Ausmaß der Attacke bekannt wurde. (apo, 4.8.2023)