Microsoft, Yavaş Güvenlik Düzeltme Ekine Çarptı

Birkaç siber güvenlik firması, Microsoft’u yavaş ve anlaşılmaz yama uygulamaları olduğunu iddia ettikleri için eleştirdi.

Orca Security ve Tenable, Microsoft’un yüksek önemdeki güvenlik açıklarını nasıl ele aldığı konusunda oldukça sesliydi. İlki, Microsoft’un Ocak 2022’nin başından bu yana Azure’ın Synapse Analytics’teki kritik bir sorunu çözmesini sağlamaya çalıştığını ve birçok ileri geri ve iki başarısız girişimin ardından şirketin nihayet kullanıcı için bir yama sağlamayı başardığını söylüyor.

Yayın ayrıca, Tenable’ın Synapse sorununun nasıl çözüldüğü konusundaki memnuniyetsizliğini de dile getirdiğini belirtti. Bir LinkedIn gönderisinde, şirketin Yönetim Kurulu Başkanı ve CEO’su Amit Yoran, Microsoft’un özel olarak ifşa edilen güvenlik açıklarına yönelik ambargonun kaldırılmasından sadece bir gün önce gösterdiği “şeffaflık eksikliği” olduğunu söyledi.

Yavaş Follina yaması

Microsoft “Bu güvenlik açıklarının ikisi de Azure Synapse hizmetini kullanan herkes tarafından kullanılabilir durumdaydı. Durumu değerlendirdikten sonra Microsoft, riski küçümseyerek sorunlardan birini sessizce düzeltmeye karar verdi, ”dedi.

Microsoft, görünüşe göre yalnızca “vahşi doğada yedi haftadan fazla bir süredir aktif olarak sömürüldükten” sonra yamalanan Follina güvenlik açığını ele alma biçimi nedeniyle eleştirildi.

Shadow Chaser Group’tan araştırmacılar, Follina’nın vahşi doğada kullanıldığını bildirmek için Nisan ayında Microsoft’a ulaştı. Ancak şirket bilinmeyen nedenlerle iki hafta öncesine kadar bunu bir güvenlik açığı olarak ilan etmedi.

Yavaş olsun ya da olmasın Microsoft, Azure kusurunu nasıl düzelttiğiyle ilgili ayrıntılara girdi: “Müşterilerimizi korumaya son derece bağlıyız ve güvenliğin bir ekip oyunu olduğuna inanıyoruz. Bir güvenlik güncellemesinin yayınlanması, kalite ve güncellik arasında bir denge oluşturuyor ve korumayı iyileştirirken müşteri kesintilerini en aza indirme ihtiyacını düşünüyoruz.”