Güvenlik dünyasında, araştırmacılar genellikle keşfettikleri bir kusurun ayrıntılarını açıklamadan önce en az 90 gün beklemeyi kabul ederler. Özellikle Google Project Zero ekibi tarafından benimsenen takvime dayanan bir son tarih.
Ama bazen bir kusuru düzeltmek uzun zaman alabilir…
SynLapse
Siber güvenlik şirketi Orca için çalışan güvenlik araştırmacısı Tzah Pahima keşfetti Azure Synapse Analytics’i etkileyen kritik bir güvenlik açığıMicrosoft’tan bulut tabanlı bir veri analizi hizmeti.
Araştırmacı tarafından keşfedilen ve “SynLapse” olarak adlandırılan güvenlik açığı, şirket dışındaki saldırganların Azure Synapse Analytics hizmetinde barındırılan bilgilere ve hizmet kullanıcılarına ait gizli bilgilere erişmesine izin verdi.
“Bir Azure Synapse çalışma alanının basit adını bilerek, o alana erişimi olan birden çok kullanıcı hesabına erişebiliyor, o çalışma alanının müşterilerinin erişim kimlik bilgilerini sızdırabiliyor, diğer müşteri çalışma alanlarıyla iletişim kurabiliyor ve tüm Azure’un kontrolünü ele geçirebiliyoruz. paylaşılan çalışma alanlarını çalıştırmak için kullanılan toplu iş havuzu. »
Üç olmadan asla iki
Araştırmacının 4 Ocak’ta Microsoft’a bildirdiği oldukça ciddi bir kusur. Ancak, araştırmacı tarafından yayınlanan zaman çizelgesine göre, sorunu çözmenin beklenenden daha karmaşık olduğu ortaya çıktı.
Sonraki iki ay boyunca Microsoft, Mart ayının sonunda ilk kısmi yamayı dağıtmadan önce güvenlik açığı hakkında daha fazla bilgi ister. Orca araştırmacılarının atlatmayı başardığı ve Microsoft ile yeni toplantılara ve açıklamalara neden olan ilk yama.
Nisan ayının başında, Orca araştırmacılarının da atlatmayı başardığı ikinci bir yama önerildi. Nisan ortasında geliştirilen üçüncü bir yama, bu sefer güvenlik açığının çoğunu düzeltir ve Mayıs ayında Microsoft ekipleri tarafından ek korumalar uygulanarak bu güvenlik açığının düzeltilmesi etkin bir şekilde tamamlanır. Müşteriler, kusurun varlığı ve düzeltilmesi konusunda Mayıs ayına kadar bilgilendirilmeyecek.
seri kanunu
Bu nedenle, sorunu tamamen düzeltmek dört ila beş ay sürdü. Orca araştırmacıları, Microsoft tarafından sunulan hata ödülü için 60.000 dolarlık bir ödül aldıklarını söylüyorlar.
Ancak Microsoft’un Azure Synapse’de bildirilen kusurları düzeltme konusundaki zorluklarını vurgulayanlar yalnızca Orca araştırmacıları değil. Tenable şirketi açıkladı bir blog yazısında Mart ayının başlarında Microsoft’un hizmetinde iki kusur bildirdikten sonra benzer zorluklarla karşılaştığını bu ayın başlarında yayınladı.
Tenable’ın sorunları, düzeltme süreleriyle ilgili değil, güvenlik açıklarını karakterize etmek ve bu güvenlik açıklarını ve düzeltmelerini halka iletmekle ilgili. Tenable, bu nedenle, bulutu etkileyen güvenlik açıklarının, yazılımdaki güvenlik açıklarını belirlemek için geleneksel olarak kullanılan yöntem olan bir CVE tanımlayıcısına sahip olmadığı gerçeğini vurgular.
30 Nisan itibarıyla Microsoft, Tenable tarafından bildirilen güvenlik açıklarını, müşterilere yamanın yürürlükte olduğunu bildirmeden yamaladı. Kısmi de olan bir yama, Tenable, güvenlik açığının bir kısmından yararlanmaya devam edilebileceğini bildiriyor. Ve şirket, bu rapor için herhangi bir ikramiye almadığını belirtiyor.