Amit Yoran, de ceo van het cybersecuritybedrijf Tenable, heeft in een post op LinkedIn zijn negatieve ervaringen gedeeld met betrekking tot de digitale beveiliging van Microsoft. De kritiek komt na een Chinese hack op Azure, waarbij de emailservers van verschillende Amerikaanse organisaties en overheidsinstellingen zijn getroffen.
Yoran spreekt uit eigen ervaring: in maart heeft zijn bedrijf een ander beveiligingslek ontdekt in Azure, waardoor gevoelige gegevens van een bank kunnen worden benaderd. Tenable heeft dan ook direct contact opgenomen met Microsoft, dat meer dan 90 dagen nodig had om een fix te implementeren.
Het gaat echter om een halve oplossing, aangezien alleen nieuw toegevoegde applicaties niet kwetsbaar zijn. De voornoemde bank en verschillende andere organisaties kunnen dus nog steeds getroffen worden – zonder dat ze ervan op de hoogte zijn. Volgens Yoran belooft Microsoft om het gat definitief te dichten in september, meer dan vier maanden na de eerste meldingen. Hij noemt het zeer onverantwoordelijk of misschien zelfs overduidelijk nalatig gedrag.
Tot dusver heeft Microsoft geen idee hoe de Chinese cyberspionagegroep Storm-0558 de Azure Active Directory-ondertekeningssleutels heeft kunnen bemachtigen.
Volgens de Tenable-topman is Microsoft niet transparant genoeg op het gebied van zijn cybersecurity. “Het bedrijf vraagt om vertrouwen, terwijl er veel informatie achter de hand wordt gehouden”. Hij wijst ook op het feit dat producten van de ontwikkelaar 42,5% van alle zero-days vertegenwoordigen die ontdekt zijn sinds 2014 (op basis van data van Google Project Zero).
Microsofts Senior Program Manager Jeff Jones heeft in een statement aan The Verge gereageerd op de kritiek:
“We waarderen de samenwerking met de beveiligingsgemeenschap om op verantwoorde wijze problemen openbaar te maken. We volgen een uitgebreid proces dat grondig onderzoek, de ontwikkeling van updates voor alle versies van de getroffen producten en compatibiliteitstests met andere besturingssystemen en toepassingen omvat. Uiteindelijk is het ontwikkelen van een beveiligingsupdate een delicaat evenwicht tussen snelheid en kwaliteit, waarbij we willen zorgen voor maximale bescherming en tegelijkertijd minimale overlast voor de klant.”
