מייקרוסופט נמצאת "תחת אש" בגלל ניהול אבטחה קלוקל

This post is also available in: English (אנגלית)

האקרים סינים פרצו לאחרונה לחשבונות הדוא"ל של ממשלת ארה"ב, ומייקרוסופט נמצאת תחת מטח ביקורת כבד מאוד.

מנכ"ל Tenable  עמית יורן טען כי החברה שלו גילתה בעיה רצינית בפלטפורמת Azure של מייקרוסופט המאפשרת לתוקף לא מאומת לגשת ליישומים בין משתמשים ולנתונים רגישים כמו סודות אימות, ואף לאחד שנודע להם על כך לקח למיקרוסופט מעל 90 יום ליישם תיקון חלקי בלבד.

בפוסט שפרסם בדף הלינקדאין שלו, יורן מתח ביקורת נוספת על חוסר השקיפות של מייקרוסופט בנוגע לפריצות אבטחה, נוהלי אבטחה לא אחראיים וחולשות, כך חשפו את לקוחותיהם לסיכונים לגביהם "הם נשארים בחשיכה". הוא טוען שהאמת היא "אפילו יותר גרועה ממה שאנחנו חושבים", שכן הבנק אליו התייחס עדיין בעל אותן החולשות יותר מ-120 יום מאז הדיווח הראשון על הבעיה.

הפוסט של יורן הוביל למפולת תגובות התומכות בטענות אלה, ובמקביל מספר חברות אבטחה דיווחו על דרכי התקפה חדשות שניתן למנף נגד פלטפורמת Azure.

כמה דוגמאות כוללות וקטור התקפה נגדAzure Active Directory המאפשר תנועה לרוחב בין משתמשים אחרים של Microsoft ולמספר וקטורים ב- Azure AD Connect המאפשרים לתוקפים ליירט אישורי מחבר באמצעות התקפות man-in-the-middle או להזריק קוד זדוני.

על פי Cybernews, שבוע לפני כן הסוכנות לאבטחת סייבר ותשתיות, משרד המשפטים וועדת הסחר הפדרלית קיבלו מכתב מסנאטור רון ווידן שביקש מהם לדרוש ממייקרוסופט שייתנו את הדין על דפוס חוזר ונשנה של התנהגות רשלנית בתחום אבטחת הסייבר שאפשרה ריגול סיני נגד ממשלת ארצות הברית.

במכתב, הסנטור דרש ממיקרוסופט שייקחו אחריות על מאות אלפי הודעות הדואר האלקטרוני הממשלתיות וחשבונות הדוא"ל שנחשפו, והזכיר כי התקפות דומות התרחשו בעבר, אך גם אז מיקרוסופט מעולם לא לקחה אחריות והאשימה סוכנויות פדרליות.

גורמים במיקרוסופט טוענים כי החברה מנהלת תהליך יסודי ורחב הכולל חקירה יסודית, ואמרו ש-"בפיתוח עדכון אבטחה יש איזון עדין בין דייקנות ואיכות, תוך הבטחת הגנה מרבית על הלקוחות עם הפרעה מינימלית ללקוח".