Birkaç siber güvenlik firması, Microsoft’u yavaş ve anlaşılmaz yama uygulamaları olduğunu iddia ettikleri için eleştirdi.
Orca Security ve Tenable, Microsoft’un yüksek önemdeki güvenlik açıklarını nasıl ele aldığı konusunda oldukça sesliydi. İlki, Microsoft’un Ocak 2022’nin başından bu yana Azure’ın Synapse Analytics’teki kritik bir sorunu çözmesini sağlamaya çalıştığını ve birçok ileri geri ve iki başarısız girişimin ardından şirketin nihayet kullanıcı için bir yama sağlamayı başardığını söylüyor. uç noktalar (yeni sekmede açılır)düzgün, sadece 15 Nisan’da.
Yayın ayrıca, Tenable’ın Synapse sorununun nasıl çözüldüğü konusundaki memnuniyetsizliğini de dile getirdiğini belirtti. Bir LinkedIn gönderisinde (yeni sekmede açılır)şirketin Yönetim Kurulu Başkanı ve CEO’su Amit Yoran, Microsoft’un özel olarak ifşa edilen güvenlik açıklarına yönelik ambargonun kaldırılmasından sadece bir gün önce gösterdiği “şeffaflık eksikliği” olduğunu söyledi.
Yavaş Follina yaması
“Bu güvenlik açıklarının ikisi de Azure Synapse hizmetini kullanan herkes tarafından kullanılabilir durumdaydı. Durumu değerlendirdikten sonra Microsoft sessizce yama yapmaya karar verdi. (yeni sekmede açılır) sorunlardan biri, riski küçümsemek,” dedi Yoran. “Yalnızca halka açacağımız söylendikten sonra hikayeleri değişti… İlk güvenlik açığı bildiriminden 89 gün sonra… güvenliğin ciddiyetini özel olarak kabul ettiklerinde (yeni sekmede açılır) sorun. Bugüne kadar Microsoft müşterilerine bilgi verilmedi.”
Microsoft ayrıca, görünüşe göre yalnızca “vahşi doğada yedi haftadan fazla bir süredir aktif olarak sömürüldükten” sonra yamalanan Follina güvenlik açığını ele alma biçimi nedeniyle eleştirildi.
Shadow Chaser Group’tan araştırmacılar, Follina’nın vahşi doğada kullanıldığını bildirmek için Nisan ayında Microsoft’a ulaştı, ancak şirket bunu bir güvenlik açığı olarak ilan etmedi. (yeni sekmede açılır) iki hafta öncesine kadar, bilinmeyen nedenlerle.
Yavaş olsun ya da olmasın Microsoft, Azure kusurunu nasıl düzelttiğiyle ilgili ayrıntılara girdi: “Müşterilerimizi korumaya son derece bağlıyız ve güvenliğin bir ekip oyunu olduğuna inanıyoruz. Güvenlik güncellemesinin yayınlanması, kalite ve güncellik arasında bir denge oluşturuyor ve korumayı iyileştirirken müşteri kesintilerini en aza indirme ihtiyacını düşünüyoruz.”
Aracılığıyla: Ars Teknik (yeni sekmede açılır)
