Microsoft-Sicherheitslücke steht seit Monaten offen
Eine kritische Sicherheitslücke in Azure AD bedroht Microsoft-Kunden seit Monaten. Potenzielle Angreifer haben Zugriff auf sensible Daten. Der Konzern weiss seit März 2023 davon, will die Schwachstelle aber erst bis Ende September beheben.
In Azure Active Directory, Microsofts Lösung zur Identitätsverwaltung in 365 und Azure, klafft eine kritische Sicherheitslücke - und das scheinbar schon seit Monaten. Bereits seit März soll Microsoft über die Schwachstelle Bescheid wissen. Nun sei sie immer noch nicht vollständig geschlossen, schreibt Amit Yoran, CEO der IT-Security-Firma Tenable, in einem Kommentar.
Zugriff auf sensible Daten
Im März habe ein Mitglied eines Forschungsteams von Tenable die Azure-Plattform untersucht und dabei die Lücke gefunden. Nicht authentifizierte Angreifer hätten dadurch auf mandantenübergreifende Anwendungen und sensible Daten, etwa Authentifizierungsgeheimnisse, zugreifen können. "Um Benutzern eine Vorstellung davon zu geben, wie kritisch das ist, entdeckte das Team sehr schnell die Authentifizierungsgeheimnisse einer Bank", schreibt Yoran. Die Bank habe umgehend Microsoft verständigt. Der Konzern weiss laut Tenable seit dem 30. März Bescheid.
"Grob fahrlässig"
Microsoft habe mehr als 90 Tage gebraucht, um eine Teilbehebung durchzuführen. Dies aber auch nur für neu in den Dienst geladene Anwendungen, erklärt der Tenable-CEO. Die erwähnte Bank sei damit heute noch angreifbar, mehr als vier Monate nach dem Bekanntwerden der Schwachstelle. Auch alle anderen Unternehmen, die den Dienst vor der Behebung in Betrieb genommen haben, seien noch gefährdet, und zwar ohne dies zu wissen. Sie könnten daher keine risikomindernden Schritte setzen. Microsoft wolle das Problem bis Ende September beheben, also viele Monate nach dem ersten Bekanntwerden. "Das ist grob unverantwortlich, wenn nicht gar grob fahrlässig", schreibt Yoran.
Übrigens: Microsoft war eines von sieben Unternehmen, die sich Ende Juli 2023 im Weissen Haus auf Richtlinien für die sichere KI-Entwicklung geeinigt haben. Hier erfahren Sie mehr dazu.