Plusieurs sociétés de cybersécurité ont critiqué Microsoft pour ce qu'elles qualifient de pratiques de correctifs lentes et opaques.
Orca Security et Tenable ont beaucoup parlé de la façon dont Microsoft gère les vulnérabilités de gravité élevée. Le premier dit qu'il essaie d'amener Microsoft à résoudre un problème critique dans Azure Synapse Analytics depuis début janvier 2022, et après de nombreux allers-retours, ainsi que deux tentatives infructueuses, la société a finalement réussi à fournir un correctif pour le utilisateurs finaux. (ouvre un nouvel onglet), correctement, uniquement le 15 avril.
Tenable a également exprimé son mécontentement quant à la façon dont le problème Synapse a été résolu, selon le message. Dans un message sur LinkedIn (ouvre dans un nouvel onglet), le président-directeur général de la société, Amit Yoran, a déclaré qu'il y avait un "manque de transparence" que Microsoft montrait juste un jour avant l'embargo sur les vulnérabilités divulguées en privé.
Patch lent Follina
« Toute personne utilisant le service Azure Synapse pourrait exploiter les deux vulnérabilités. Après avoir évalué la situation, Microsoft a décidé de résoudre discrètement (ouvre un nouvel onglet) l'un des problèmes, en minimisant le risque », a déclaré Yoran. "Ce n'est que lorsqu'ils ont su que nous allions rendre public que leur histoire a changé... 89 jours après la notification de vulnérabilité initiale... lorsqu'ils ont reconnu en privé la gravité du problème de sécurité (ouvre dans un nouvel onglet). À ce jour, Les clients de Microsoft n'ont pas été informés.
Microsoft a également été critiqué pour sa gestion de la vulnérabilité Follina, qui n'a apparemment été corrigée qu'après avoir été "activement exploitée pendant plus de sept semaines".
Des chercheurs du Shadow Chaser Group ont apparemment contacté Microsoft en avril pour signaler que Follina était utilisé dans la nature, mais la société ne l'a déclaré vulnérable qu'il y a deux semaines, pour des raisons inconnues.
Lentement ou non, Microsoft est entré dans les détails sur la façon dont il a corrigé la faille Azure : « Nous sommes profondément engagés à protéger nos clients et pensons que la sécurité est un sport d'équipe. Nous apprécions nos partenariats avec la communauté de la sécurité, ce qui contribue à notre travail de protection des clients. La publication d'une mise à jour de sécurité est un équilibre entre qualité et rapidité, et nous considérons la nécessité de minimiser les perturbations pour les clients tout en améliorant la protection."
Via : Ars Technica (Ouvre dans un nouvel onglet)