Amit Yoran, CEO der Sicherheitsfirma Tenable, nennt das Verhalten von Microsoft in Sachen Sicherheit "äußerst unverantwortlich". Seine Firma Tenable hatte im Cloud-Verzeichnisdienst Azure AD vor mehr als drei Monaten eine kritische Sicherheitslücke gefunden und gemeldet. Microsoft hat diese Sicherheitslücke geschlossen, allerdings erst, nachdem Tenable öffentlich über dieses Problem sprach.

Angreifer konnten sich unter bestimmten Voraussetzungen über die neue Lücke im Azure AD Zugang zu Credentials wie Token oder Passwörtern verschaffen. Das Problem wurde mit einem ersten Update von Microsoft nicht vollständig beseitigt. Für den 28. September kündigte Microsoft dann einen Fix an, was Tenable dazu veranlasste, das Problem öffentlich zu machen. Nannte dazu aber keine Details zu der Lücke.

Microsoft meldete kurze Zeit später, dass die Lücke bereits im Juni für die meisten betroffenen Kunden geschlossen wurde und nun alle Kunden geschützt seien. Kunden müssten keine weiteren Aktionen vornehmen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE