Microsoft kritiseres for ikke å ta sårbarheter i skyløsningen sin alvorlig nok

Brukte et halvt år på å fikse sårbarhet i Azure.

Microsoft kritiseres for ikke å ta sårbarheter i skyløsningen sin alvorlig nok
Azure er ikke bare Microsofts skyplattform, men også en blåfarge. Dette bildet er generert av en kunstig intelligens, basert på ordet. Foto: Midjourney AI/Digi.no

Microsoft høster kritikk fra flere hold, både for mangelfull åpenhet overfor kunder, og for å være for treige med å utbedre sårbarheter som kundene har meldt inn til dem.

Orca security offentliggjorde nylig på sine nettsider at de hadde oppdaget en kritisk sårbarhet i Micorosft Azure. Denne gjorde at hvem som helst med en Azure-konto kunne skaffe seg tilgang til andre brukeres ressurser.

Problemet er at Orca gjorde Microsoft oppmerksom på feilen i januar – det vil si for over et halvt år siden.

Microsoft på sin side fikset ikke sårbarheten før 30. mars, nesten tre måneder etter at den ble rapportert. Fem dager senere melder Orcas tilbake at fiksen fra Microsoft kunne omgås, og at de ennå hadde uberettiget tilgang til systemene.

Microsoft slapp en ny fiks en drøy uke senere, men også denne klarte Orca å omgå - allerede samme dag.

Først i slutten av mai kom Microsoft med oppdateringen som endelig fikset problemet og stengte sikkerhetshullet Orca hadde oppdaget.

Les også

Ikke lenge etter kom nyheten om at Follina-sårbarheten ble påpekt allerede i 2020, og at Microsoft tilsynelatende tok lett på det hele, selv om sårbarheten ble påvist å ha vært utnyttet «i det fri» i over syv uker. Like etterpå ble enda en beslektet sårbarhet påpekt.

Bagatelliserte risikoen

Også sikkerhetsselskapet Tenable oppdaget i mars to ulike sårbarheter i Azure. Den ene betrakter de selv som kritisk.

Heller ikke Tanable er fornøyd med Microsofts respons til slike sårbarheter. Amit Yoran, selskapets styreformann og administrerende direktør, mener Microsoft lappet ett av problemene i det stille og deretter bagatelliserte risikoen.

– Det var først etter å ha blitt fortalt at vi skulle offentliggjøre informasjonen at holdningen deres endret seg – 89 dager etter den første sårbarhetsvarslingen – da de på privaten erkjente problemets alvorlighetsgrad. Til dags dato har ikke Microsoft-kunder blitt varslet.

Microsoft forsvarer seg

Microsoft har siden publisert detaljer om hva de gjorde for å håndtere sårbarheten Orca rapporterte om. De forsvarer sin praksis, og har blant annet kommet med følgende uttalelse:

– Vi er forpliktet til å beskytte kundene våre, og vi mener sikkerhet er en lagsport. Vi setter pris på våre partnerskap med sikkerhetsmiljøet, som gjør oss i stand til å beskytte kunder. En sikkerhetsoppdatering er en balanse mellom kvalitet og aktualitet, og vi vurderer behovet for å minimere forstyrrelser og samtidig forbedre beskyttelsen.

Les også