Уходящий президент обвиняет Microsoft в угрозе безопасности клиентов Azure

Microsoft обвиняли в отсутствии прозрачности в своих методах работы с уязвимостями, а фирма по обеспечению безопасности Tenable утверждала, что эти методы подвергают риску клиентов софтверного гиганта.

Председатель и главный исполнительный директор Tenable Амит Йоран сообщил в своем блоге, что его компания обнаружила две уязвимости, одну из которых она считает критической, в платформе Microsoft Azure, и обе они находятся в части Synapse Analytics в Azure.

Synapse Analytics используется для машинного обучения, агрегации данных и подобных вычислительных задач.

Одним из таких недостатков был недостаток повышения привилегий в контексте виртуальной машины Spark. Второй позволял отравить файл hosts на всех нодах в пуле Spark.




уран Написал Microsoft решила незаметно исправить ошибку повышения привилегий, минимизировав при этом риски. “Только после того, как нам сказали, что мы будем публиковать, их история изменилась… через 89 дней после первоначального уведомления об уязвимости… когда они в частном порядке признали серьезность проблемы с безопасностью. На сегодняшний день клиенты Microsoft не были уведомлены, ” добавил он.

Стабильный исследователь Джеймс Сибри Написал Что компания оценила проблему как очень серьезную, основываясь на концепции самой Spark VM.

Он сказал: «Во время процесса раскрытия информации представители Microsoft первоначально, казалось, согласились с тем, что это были критические проблемы. Исправление для проблемы с повышением привилегий было разработано и внедрено без дополнительной информации или разъяснений со стороны Tenable Research».

“Эта коррекция также была сделана молча, и Tenable не была уведомлена. Мы должны были выяснить эту информацию сами.

В последние недели процесса раскрытия информации MSRC [Microsoft Security Research Centre] Он начал с того, что попытался преуменьшить значение этой проблемы как «рекомендации по передовой практике», а не проблемы безопасности. Их команда заявила следующее (опечатки от Microsoft):[W]Вы не считаете это серьезной проблемой безопасности, но это лучшая практика».

Джоран сказал, что это не единичный случай. “Это повторяющаяся модель поведения, — сказал он. — Многие компании, занимающиеся безопасностью, писали о взаимодействиях Microsoft с уведомлениями об уязвимостях и о пренебрежительном отношении Microsoft к рискам, которые уязвимости представляют для их клиентов”.

«Для поставщика ИТ-инфраструктуры или поставщика облачных услуг, который не является прозрачным, риски возрастают в геометрической прогрессии.

«Без подробного и своевременного раскрытия информации клиенты не имеют ни малейшего представления о том, были ли они уязвимы для атаки… или стали ли они жертвами атаки до того, как уязвимость была исправлена.

«Неспособность уведомить клиентов лишает их возможности искать доказательства того, находятся ли они в опасности, и это глубоко безответственная политика».

Джоран сослался на дело FireEye/Mandiant, которое, по его словам, является «идеальной моделью для ответственного раскрытия информации, когда компания раскрыла свое нарушение, даже до судебно-медицинской экспертизы, которая привела к раскрытию информации о SolarWinds в 2020 году».

Ответ, по его словам, заключается не только в том, чтобы просить продавцов работать лучше. “Крайне важно, чтобы поставщик облачных или технологических услуг соблюдал стандарт осторожности и прозрачности. Независимый аудит и оценка ИТ-инфраструктуры и поставщиков облачных услуг должны быть обязательными.

«Лиса охраняет курятник. Доверяй, но проверяй. Простые уроки, которые мы усвоили с начальной школы, по-прежнему применимы к Интернету».

Отчет о киберугрозах 2022 года от SONICWALL

В прошлом году во всем мире наблюдался массовый рост числа инцидентов с программами-вымогателями.

В течение последних 12 месяцев исследователи SonicWall Capture Labs внимательно следили за стремительным ростом числа кибератак, а также за тенденциями и активностью по всем векторам угроз, включая:

программа-вымогатель
криптоджекинг
зашифрованные угрозы
Вредоносное ПО Интернета вещей
Атаки нулевого дня и многое другое

Эти эксклюзивные выводы теперь доступны в отчете SonicWall о киберугрозах за 2022 год, который гарантирует, что малый и средний бизнес, государственные учреждения, фонды и другие организации имеют полезную информацию об угрозах, необходимую для борьбы с растущей волной киберпреступности.

Нажмите кнопку ниже, чтобы получить отчет.

Получите отчет!

Продвигайте свой вебинар на ITWIRE

Все о вебинарах.

Маркетинговые бюджеты теперь сосредоточены на вебинарах наряду с лидогенерацией.

Если вы хотите продвигать вебинар, мы рекомендуем проводить кампанию как минимум за 3-4 недели до вашего мероприятия.

Кампания iTWire будет включать в себя обширную рекламу на нашем новостном сайте itwire.com и широкое продвижение информационного бюллетеня https://itwire.com/itwire-update.html, рекламных новостей и редакционных статей. В дополнение к видеоинтервью основного докладчика на iTWire TV https://www.youtube.com/c/iTWireTV/videos, которое будет использоваться в рекламных сообщениях на главной странице iTWire.

Теперь, когда мы вышли из карантина, iTWire сосредоточится на оказании помощи в проведении ваших вебинаров и кампаний, а также на помощи с частичными платежами и расширенными условиями, пакетом Webinar Business Booster и другим вспомогательным программным обеспечением. Мы также можем создавать рекламу и письменный контент, а также форматировать ваше видео-интервью.

Мы с нетерпением ждем возможности обсудить с вами цели вашей кампании. Пожалуйста, нажмите на кнопку ниже.

Больше информации здесь!

Leave a Comment