Nach Tenable Kritik: Microsoft hat Azure-Schwachstelle nun doch schneller (im August 2023) gefixt

[English]Microsoft hat zum 4. August 2023 überraschend eine Schwachstelle in der Azure-Umgebung beseitigt, deren Patch ursprünglich für Ende September 2023 vorgesehen war. Bekannt ist Microsoft die Schwachstelle seit März 2023. Die harsche Kritik des CEO von Tenable, Amit Yoran, an der Sicherheitskultur bei Microsoft und das öffentliche Echo hat wohl bewirkt, dass Microsoft in Bewegung kam. Ergänzung: Allerdings scheint der Patch "Nebenwirkungen" zu haben.


Anzeige

Schwachstelle seit März 2023 bekannt

Am 30. März 2023 wurde Microsoft vom Sicherheitsanbieter Tenable über eine Schwachstelle über ein Sicherheitsproblem unter Microsoft Azure im Zusammenhang mit benutzerdefinierten Power Platform-Konnektoren informiert. Mit der Funktion können Kunden Code für benutzerdefinierte Konnektoren schreiben.

Die von Tenable entdeckte Schwachstelle könnte laut Microsoft zu einem unberechtigtem Zugriff auf Custom Code-Funktionen führen, die für benutzerdefinierte Power Platform-Konnektoren verwendet werden. Im Ergebnis würde die Schwachstelle eine unbeabsichtigte Offenlegung von Informationen ermöglichen, wenn vertrauliche Informationen (Schlüssel, Kennwörter etc.) oder andere sensible Informationen in die Custom Code-Funktion eingebettet sind.

Microsoft hat das Problem untersucht und festgestellt, dass nur der Sicherheitsforscher, der den Vorfall gemeldet hat, (und niemand sonst)anormalen Zugriff hatte. Alle betroffenen Kunden wurden von dem Forscher über das Microsoft 365 Admin Center (MC665159) über diesen anomalen Zugriff informiert, schreibt Microsoft.

Zähes Patchen durch Microsoft

Am 7. Juni 2023 veröffentlichte Microsoft eine erste Korrektur zum Beheben der Schwachstelle. Als Tenable sich den Fix ansah, stellte man fest, dass eine, laut Microsoft, sehr kleine Teilmenge des benutzerdefinierten Codes im Status "soft deleted" weiterhin betroffen war.

Dieser "soft deleted"-Status dient laut Microsoft der schnellen Wiederherstellung im Falle einer versehentlichen Löschung von benutzerdefinierten Konnektoren und stellt einen Ausweichmechanismus dar.

Also erfolgte zum 10. Juli 2023 eine weitere Meldung von Tenable an Microsoft. Da die Erstellung eines Patches eine gewisse Zeit benötigt, hatte Microsoft Ende September 2023 als Ziel für den finalen Fix für die Schwachstelle vorgesehen und dies Tenable mitgeteilt. Das führt zum nachfolgenden beschriebenen Vorgang, bei dem der CEO von Tenable Microsoft ein unverantwortliches handeln vorwarf.

Am 2. August 2023 war Microsoft dann so weit, dass der Fix für die Schwachstelle fertig war. Laut diesem Microsoft-Beitrag vom 4. August 2023 wurde der Patch ausgerollt.

Ergänzung: Allerdings scheint der Patch "Nebenwirkungen" zu haben. Beachtet den nachfolgenden Kommentar von Tom 801, dass berechtigte Benutzer von anderen Tenants nach dem Patch schlicht nicht mehr auf freigegebene Ressourcen zugreifen können.

Harsche öffentliche Kritik von Tenable

Dass Microsoft bereits Anfang August 2023 die Schwachstelle beseitigt, statt wie ursprünglich geplant im September, hängt mit der öffentlichen Kritik von Tenable zusammen. Microsofts Beitrag vom 4. August 2023 liest sich so, als ob nix passiert sei und man zum Tagesgeschäft übergehen könne – Patch kommt ja, irgendwann. Und überhaupt habe ja niemand, bis auf den Sicherheitsforscher von Tenable, auf diese Schwachstelle zugegriffen. Und nur ganz wenige Kunden seien überhaupt betroffen.


Anzeige

Die Sicherheitsforscher von Tenable gaben an, dass Angreifer über die Schwachstelle in die Netzwerke und (Azure-) Dienste diverser Kunden eindringen könnten. Es heißt dazu, dass das Tenable Team sehr schnell mittels der Schwachstelle die Authentifizierungsgeheimnisse einer Bank entdeckte. Die Bank wurde informiert, die dann sofort Microsoft benachrichtigte, aber es passierte nicht wirklich was, um das Problem zeitnah final zu beheben.

Angesichts der Reaktionen Microsofts und des Vorfalls, dass Angreifer der chinesischen Hackergruppe Storm-0558 in Mail-Konten von Microsoft-Konten eindringen konnte (hatte ich im Beitrag Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1 angesprochen), ging Tenable an die Öffentlichkeit. Amit Yoran, Chairman und Chief Executive Officer (CEO) bei Tenable, hat dann zum 2. August 2023 einen geharnischten Post Microsoft…The Truth Is Even Worse Than You Think auf LinkedIn veröffentlicht, in dem er die Sicherheitskultur bei Microsoft und den Umgang mit Schwachstellen kritisierte.

Ich hatte im Blog-Beitrag Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2 darüber berichtet. Der LinkedIn-Post hat dann Wellen geschlagen und zu einem weltweiten Echo in IT-Medien geführt. Die Wellen waren so hoch, dass der Fix bei Microsoft just am 2. August 2023 fertig wurde. Laut dem Microsoft-Beitrag vom 4. August 2023 wurde der Fix dann auch unverzüglich ausgerollt.

Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Azure, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Nach Tenable Kritik: Microsoft hat Azure-Schwachstelle nun doch schneller (im August 2023) gefixt

  1. Daniel sagt:

    Wo ist eigentlich das BSI wenn es mal gebraucht wird? Anstatt immer nur den Zertifizierungszirkus abzuziehen und zu empfehlen ja immer ein Antivirusprogramm zu installieren könnten die ja mal Microsoft auf die Füße treten und auf das zeitnahe patchen von Sicherheitslücken bestehen und ansonsten Bußgelder zu verhängen. Anders wird das bei Microsoft nichts mehr. Wenn alles nichts hilft muss eben der Betrieb untersagt werden. Bei Huawei wird ja schon ohne Beweise der Betrieb untersagt.

  2. Andy sagt:

    Mich beschleicht das Gefühl, dass Microsoft nicht mehr wie eine normale Firma funktioniert, sondern eher wie die Regierung eines realsozialistischen Landes.
    Die Zufriedenheit des Kunden und/oder die Sicherheit dessen Daten und damit das Geschäftsmodell sind offensichtlich nicht mehr der Handlungsauslöser. Das sind nur noch eigene strategische Ziele und im Ausnahmefall ausreichend öffentlichkeitswirksamer Druck.
    Auch die Produktpolitik scheint nur noch in internen Expertengremien ausgeklügelt zu werden, während Kundeninteressen kaum einen Nebenschauplatz abgeben.

    Falls also jemand wissen will, wie sich Sozialismus als Bürger im Alltag angefühlt hat: einfach Microsoft-Cloud-Kunde werden.
    In Anlehnungan einen Buchtitel über den Osten entsende ich einen Gruß an alle Microsoft-Cloud-Kunden:
    Genießt die heile Welt der Diktatur, ist ja schließlich nicht alles schlecht.

    (Sorry, das wollte mal raus ;))

    • Heiko sagt:

      Sicherheit hat ihren Preis. Nur, wie lautet der Preis? 🤔

      Aus Unternehmenssicht:
      Es wird eine Risikokarte erstellt. Eine für das Unternehmen selbst und eine für den Bereich IT. Nun werden peu à peu die Prozesse (Kernprozesse, Unterstützungs- und Managementprozesse) auseinandergenommen und – je nach gewähltem Risikomatrix (3×3, 4×4, 5×5) – einerseits die "Eintrittswahrscheinlichkeit", andererseits das "Schadensausmaß" in eine Übersicht gegossen. In der IT werden dann noch die einzelnen Workloads betrachtet.

      Ich persönlich unterscheide dabei stets zwischen "Nicht-kritische Ressourcen und Dienste", "Sicherheitsrelevante Resourcen und Dienste" und "Sicherheitskritische Ressourcen und Dienste". Diese Kategorisierung nehme ich z. B. auch für die Landkarte der unternehmensweit eingesetzten Systeme und Applikationen, für den Aufbau einer Domänenstruktur oder das IT-Risikomanagement. Das ist für mich schon die halbe Arbeit für das IT-Notfallhandbuch und das betriebliche Kontinuitätsmanagement (BKM), weil ich dann weiß, welche Systeme und Applikationen welche Priorität haben. Hier müssen dann aber die verantwortlichen Stellen entscheiden, was ihnen wichtiger ist. Häufig entscheidet man sich für "So billig, aber sicher wie möglich.". Blöderweise funktioniert das bisweilen nicht. Warum auch immer. 🥸

      Strategisch denkende Führungskräfte sind heutzutage rar gesät. Schließlich müssen die Interessen der Investoren / Anleger / Gesellschafter schnellstmöglich bedient werden. Da sind Entscheidungen für langfristige Ergebnisse fehl am Platze.

      Du musst nur Windows 11 in der Gesamtheit betrachten. Da siehst du deutlich, dass selbst innerhalb der Entwicklungsabteilung von Microsoft das Qualitätsmanagement versagt. Die UI ist schlicht inkonsistent und im Netz findest du dazu viele Beispiele. Auch hier lag der Fokus möglicherweise im schnelleren Release als in einem Produkt, dass für eine langfristige Strategie entwickelt wurde. Die Fehleranfälligkeit ist – was ich aus Supporterfahrungen heraus beurteile – deutlich gestiegen. Testen kostet Zeit, aber vor allem Geld.

      Und während noch weiter fleißig an Windows 11 gebastelt wird, werden schon weitere "Features" wie Copilot und Co. implementiert. Für die IT-Sicherheit und das IT-Risikomanagement bedeutet das jede Menge Mehrarbeit: Prüfen, testen, analysieren, ggf. "unter Vorbehalt" gewähren oder "aus Sicherheitsgründen" deaktivieren.

    • Fritz sagt:

      Das ist ab einer bestimmten Größe bei allen Meta, Alphabet, X, Oracle, Adobe nicht anders.

  3. Bernd sagt:

    Geht doch, warum nicht gleich? Es ist wie bei allen globalen Unternehmen – ab einer gewissen Größe hat mein die Prozesse nicht mehr so im Griff wie es sein müsste. DEM BSI war das nicht mal ne Meldung wert. Die CISA ist dem BSI um Lichtjahre voraus…

  4. Fritz sagt:

    Wer weiß welcher Software-Guru da plötzlich aus dem Urlaub geholt wurde 😯

  5. Tom801 sagt:

    Wir haben seit letzter Woche einen Case offen, welcher auf das stopfen dieser Lücke zurückzuführen ist. Berechtigte Benutzer von anderen Tenants können schlicht nicht mehr auf freigegebene Ressourcen zugreifen.
    Laut MS betrifft es anscheinend einige.
    Sind gespannt wie sie dies lösen werde .

    • Andy sagt:

      "Sind gespannt wie sie dies lösen werde ."

      Zum "wie" kann ich nichts sagen.
      Ich vermute aber mal ein "wann": im September.

      Dann wird wohl der eigentlich angekündigte Fix kommen, der die Nebenwirkung dann wohl nicht mehr enthält.
      Nach dem öffentlichen Debakel war wohl doch erstmal Zumachen die Prio und noch kein sauberer Fix da…

      • R.S. sagt:

        So sieht es wohl aus.
        Microsoft hat nicht ohne Grund September genannt.
        Auf Grund des öffentlichen Drucks haben die jetzt eine unfertige Version des Patches in die Welt entlassen und müssen nachflicken.
        Gewonnen hat damit eigentlich niemand.

        Zum Stopfen einer Sicherheitslücken gehört es nämlich nicht nur, die Sicherheitslücke selbst zu stopfen, sondern auch, zu ermitteln, ob es Nebenwirkungen gibt und wenn ja, welche.
        Und wenn es welche gibt, ob man das auch lösen kann.

        • Rolf sagt:

          Das ist keine Sicherheitslücke sondern im Konzept für die "Dienste" so vorgesehen und genutzt. Ein simples Abschalten gefährdet aus US Sicht die nationale Sicherheit. Wenn Generalschlüssel jetzt auch von unerwünschten Diensten (mit)genutzt werden, ist das ärgerlich, wird aber nicht zum sofortigen Zukleben von Schössern ohne Ersatzlücke führen, weil man sich sonst selbst mit aussperren würde.. Das dauert Zeit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.