Pfusch, zu langsam, zu intransparent: Kritik an Microsofts Updateverhalten

IT-Sicherheitsunternehmen kritisieren langsame Reaktionen von Microsoft auf Sicherheitslücken. Zudem seien verpfuschte und verschwiegene Updates ein Risiko.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 127 Beiträge
Aufmacher Kritik an Microsofts Update-Verhalten

(Bild: heise online)

Von
  • Dirk Knop

In einem Beitrag auf Linkedin beschwert sich der CEO des IT-Sicherheitsdienstleisters Tenable, Amit Yoran, über Microsofts Umgang mit Sicherheitslücken. Das Unternehmen setze Kunden unnötigen Risiken aus: Fehlende Transparenz in der Cyber-Sicherheit bedeute für uns alle eine Gefahr. Es zeichnet sich ein Bild aus verpfuschten Updates, fehlerhafter Einschätzung des Schweregrads von Sicherheitslücken und teils sogar fehlender Kommunikation zu (geschlossenen) Schwachstellen ab.

Yoran erläutert das Problem an einem konkreten Fall. So hätten IT-Sicherheitsforscher von Tenable in Microsofts Azure Synapse, einem Big-Data-Datenanalysedienst, im März Sicherheitslücken entdeckt. Darunter eine, die sie als kritisch einstufen. Microsoft habe eine der Lücken nach einer Evaluierung stillschweigend behoben und das potenzielle Risiko heruntergespielt.

Erst, nachdem Tenable Microsoft informierte, dass sie Details zur Lücke veröffentlichen, änderte sich etwas: Microsoft bestätigte im privaten Rahmen den Schweregrad der Lücke, 89 Tage nach Meldung. Kunden von Microsoft hätten jedoch noch keine Nachricht dazu erhalten.

Das Problem hierbei sei, dass diese Intransparenz eines IT-Infrastruktur- oder Cloud-Dienste-Anbieters die Gefahrenlage exponentiell erhöhe, führt Yoran weiter aus. Ohne rechtzeitige und detaillierte Informationen hätten Kunden keine Idee, ob sie verwundbar für Angriffe waren oder noch immer sind. Oder ob sie bereits Opfer einer Attacke auf eine abgedichtete Sicherheitslücke wurden. Wenn die Kunden keine Benachrichtigung über Schwachstellen erhalten, hätten diese keine Chance, nach Beweisen dafür zu suchen, dass sie kompromittiert wurden oder eben nicht – eine überaus unverantwortliche Politik, ergänzt Yoran.

Nicht nur Tenable, sondern auch weitere IT-Sicherheitsunternehmen wie Wiz, Positive Security und Fortinet beschrieben demzufolge ähnliche Beispiele. Auch OrcaSecurity kann so eine Erfahrung beisteuern. Die IT-Forscher des Unternehmens haben ebenfalls eine Sicherheitslücke in Azure Synapse entdeckt, mit der Angreifer unter anderem bei Kenntnis des Namens eines Workspaces einfach an die Zugangsdaten gelangen konnten. Damit wären weiterreichende Zugriffe und die Kontrolle des Workspace möglich. Zudem hätten sie eigenen Code auf den Kundenmaschinen im Azure Synapse Analysedienst ausführen können.

Der Zeitverlauf der Schwachstellen-Meldung und -Behebung fügt sich nahtlos in das Bild ein. Zusammenfassend schreibt OrcaSecurity: Über 100 Tage für die finale Fehlerbehebung. Drei Patches, die ersten beiden ließen sich überwinden. Das Zertifikat zum internen Kontrollserver wurde erst nach 96 Tagen zurückgezogen und invalidiert. Auf der positiven Seite ist hier jedoch anzumerken, dass sowohl Microsoft als auch OrcaSecurity nach den 100 Tagen in ihren Blogs Hintergründe und Details zu den Schwachstellen veröffentlicht haben. Zu einer aktiven Benachrichtigung von Azure-Kunden finden sich jedoch keine Hinweise.

Lesen Sie dazu auch:

Themenseite zu Microsoft auf heise online

(dmk)