Een ‘kritische’ kwetsbaarheid in Azure AD wordt door Microsoft maar niet aangepakt. De techgigant blijkt al sinds maart op de hoogte, maar blijft het oplossen maar uitstellen. De CEO van het cybersecuritybedrijf dat de kwetsbaarheid meldde, uit zijn frustraties over deze trage reactie nu online.
Het cybersecuritybedrijf Tenable stelde Microsoft in maart op de hoogte van een ‘kritische’ kwetsbaarheid in Azure AD. Het geeft hackers toegang tot data en apps die beheerd worden op de clouddienst van Microsoft.
Microsoft zou voor een eerste keer gereageerd hebben op de vondst, zestien weken nadat het probleem gemeld werd. Het bracht Tenable toen op de hoogte de kwetsbaarheid opgelost te hebben. De onderzoekers van het cybersecuritybedrijf gingen dat na en ontdekten dat de kwetsbaarheid slechts deels was opgelost.
‘Gewoonweg onverantwoord’
De techgigant wil het probleem nu volledig aanpakken tegen 28 september. Een gekende kwetsbaarheid in Azure AD blijft daardoor een half jaar bestaan. Volgens de CEO van Tenable is dat ‘gewoonweg onverantwoord’: “Heeft Microsoft snel het probleem opgelost dat effectief kon leiden tot de inbreuk op de netwerken en services van meerdere klanten? Natuurlijk niet. Ze hadden meer dan 90 dagen nodig om een gedeeltelijke oplossing te implementeren, en alleen voor nieuwe applicaties die in de service waren geladen”, schrijft Amit Yoran, CEO van Tenable, op LinkedIn.
Het vlammende bericht zal Microsoft geen goed doen, nu de cyberbeveiliging van de techgigant ook wordt onderzocht in verband met het Chinese e-mailhack.
Lees ook: ‘Chinese e-mailhack treft West-Europese overheden’
Vorige week duidde Amerikaans Senator Ron Wyden, voorzitter van het Justice Department, Federal Trade Commission en de Cybersecurity and Infrastructure Security Agency, Microsoft als schuldige aan voor het incident. De techgigant heeft volgens de senator geen goede cyberhygiëne en “een enkele skeletsleutel die, wanneer deze onvermijdelijk wordt gestolen, kan worden gebruikt om toegang te krijgen tot de privécommunicatie van verschillende klanten.”
Yoran weet de conclusie gevat te brengen: “De track record van Microsoft brengt ons allemaal in gevaar. En het is nog erger dan we dachten.”
20 uur geleden
