Una vulnerabilità “critica” in Azure AD non viene affrontata da Microsoft. Il gigante tecnologico sembra esserne a conoscenza da marzo, ma continua a rimandare la correzione. L’amministratore delegato della società di cybersicurezza che ha segnalato la vulnerabilità esprime ora online la sua frustrazione per la lentezza della risposta.
La società di cybersicurezza Tenable ha notificato a Microsoft a marzo una vulnerabilità “critica” in Azure AD. Tale vulnerabilità consente agli hacker di accedere ai dati e alle applicazioni gestite dal servizio cloud di Microsoft.
Secondo quanto riferito, Microsoft ha risposto alla scoperta per la prima volta 16 settimane dopo la segnalazione del problema. Ha quindi comunicato a Tenable di aver risolto la vulnerabilità. I ricercatori della società di cybersicurezza hanno controllato e hanno scoperto che la vulnerabilità era stata risolta solo parzialmente.
Grossolanamente irresponsabile
Il gigante tecnologico prevede ora di risolvere completamente il problema entro il 28 settembre. Di conseguenza, una vulnerabilità nota in Azure AD rimarrà attiva per sei mesi. Secondo il CEO di Tenable, si tratta di una “grave irresponsabilità”: “Microsoft ha risolto rapidamente il problema che poteva effettivamente portare alla violazione delle reti e dei servizi di numerosi clienti? Certo che no. Hanno impiegato più di 90 giorni per implementare una correzione parziale, e solo per le nuove applicazioni caricate nel servizio”, scrive Amit Yoran, CEO di Tenable, su LinkedIn.
Le parole di distruzione non serviranno a Microsoft, ora che anche la sicurezza informatica del gigante tecnologico è sotto inchiesta in relazione all’hacking delle e-mail cinesi.
La scorsa settimana, il senatore statunitense Ron Wyden, presidente del Dipartimento di Giustizia, della Federal Trade Commission e della Cybersecurity and Infrastructure Security Agency, ha indicato Microsoft come il colpevole dell’incidente. Secondo il senatore, il gigante tecnologico non aveva un’adeguata igiene informatica e “una singola chiave scheletrica che, se inevitabilmente rubata, poteva essere utilizzata per accedere alle comunicazioni private di diversi clienti”.
Yoran scrive una conclusione succinta sull’intera situazione: “I precedenti di Microsoft ci mettono tutti a rischio. Ed è anche peggio di quanto pensassimo”.
