Meerdere securitybedrijven zijn ontevreden met het patchbeleid van Microsoft. De techgigant zou ernstige kwetsbaarheden ondermijnen en verzwijgen.

De meeste kritiek komt van Orca Security en Tenable, twee securityonderzoekers. Orca Security informeerde Microsoft in januari over twee ernstige kwetsbaarheden in Azure Synapse Analytics. Het duurde maanden voordat de patches verschenen. Microsoft verklaarde niet waarom. De techgigant verzweeg het probleem.

Amit Yoran, de CEO van securitybedrijf Tenable, vindt het schandalig. “Beide kwetsbaarheden waren te misbruiken door iedere gebruiker van Azure Synapse”, deelde hij onlangs in een blog. “Microsoft besloot om een van de problemen stilletjes te patchen. Pas nadat we dreigden met een bekendmaking veranderde de toon. 89 dagen na de eerste melding besloot de Microsoft de ernst te erkennen. Ondanks alles zijn Microsoft-klanten tot op heden niet op de hoogte gebracht.”

Follina

De kwetsbaarheden in Azure Synapse zijn niet het enige probleem. Ook Microsofts reactie op Follina (grootschalige kwetsbaarheid in Windows) wordt aan de kaak gesteld. Securitybedrijf Shadow Chaser Group vond de kwetsbaarheid en trok in april bij Microsoft aan de bel. Vijf weken later maakte de techgigant het probleem bekend. De patch is sinds enkele dagen beschikbaar. Dit betekent dat de kwetsbaarheid zeven weken lang door cybercriminelen misbruikt kon worden.

Het is niet duidelijk waarom de techgigant het probleem zo laat erkende. Wel liet Microsoft weten waarom sommige patches later dan verwacht beschikbaar worden. “De release van een beveiligingsupdate is een balans tussen snelheid en kwaliteit”, deelde een woordvoerder over de patch van Azure Synapse. “We willen verstoringen voor klanten minimaliseren en tegelijkertijd bescherming verbeteren.”

Microsoft staat erom bekend

Eerder in het jaar presenteerde Google een rapport over de snelheid waarmee techgiganten kwetsbaarheden en bugs oplossen. Project Zero, een securityteam van Google, vond met verloop van 2021 zestien bugs in software van Microsoft. Het duurde gemiddeld 76 dagen voordat de techgigant een bug oploste. Apple deed het in 64 dagen en Google in 53.

De cijfers bevestigen de kritiek van Orca Security en Tenable. Ook Google riep softwarebedrijven op om transparanter te communiceren over de ontwikkelingstijd van patches. De organisatie noemde geen namen, maar Microsoft mag zich aangesproken voelen.

Tip: Nieuwe Microsoft Office zero day gebruikt voor PowerShell-commando’s