{"id":284650,"date":"2023-08-06T09:19:44","date_gmt":"2023-08-06T07:19:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=284650"},"modified":"2023-08-07T09:59:17","modified_gmt":"2023-08-07T07:59:17","slug":"nach-tenable-kritik-microsoft-hat-azure-schwachstelle-nun-doch-schneller-im-august-2023-gefixt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/06\/nach-tenable-kritik-microsoft-hat-azure-schwachstelle-nun-doch-schneller-im-august-2023-gefixt\/","title":{"rendered":"Nach Tenable Kritik: Microsoft hat Azure-Schwachstelle nun doch schneller (im August 2023) gefixt"},"content":{"rendered":"

[English<\/a>]Microsoft hat zum 4. August 2023 \u00fcberraschend eine Schwachstelle in der Azure-Umgebung beseitigt, deren Patch urspr\u00fcnglich f\u00fcr Ende September 2023 vorgesehen war. Bekannt ist Microsoft die Schwachstelle seit M\u00e4rz 2023. Die harsche Kritik des CEO von Tenable, Amit Yoran, an der Sicherheitskultur bei Microsoft und das \u00f6ffentliche Echo hat wohl bewirkt, dass Microsoft in Bewegung kam. Erg\u00e4nzung:<\/strong> Allerdings scheint der Patch \"Nebenwirkungen\" zu haben.<\/p>\n

<\/p>\n

Schwachstelle seit M\u00e4rz 2023 bekannt<\/h2>\n

\"\"Am 30. M\u00e4rz 2023 wurde Microsoft vom Sicherheitsanbieter Tenable \u00fcber eine Schwachstelle \u00fcber ein Sicherheitsproblem unter Microsoft Azure im Zusammenhang mit benutzerdefinierten Power Platform-Konnektoren informiert. Mit der Funktion k\u00f6nnen Kunden Code f\u00fcr benutzerdefinierte Konnektoren schreiben.<\/p>\n

Die von Tenable entdeckte Schwachstelle k\u00f6nnte laut Microsoft zu einem unberechtigtem Zugriff auf Custom Code-Funktionen f\u00fchren, die f\u00fcr benutzerdefinierte Power Platform-Konnektoren verwendet werden. Im Ergebnis w\u00fcrde die Schwachstelle eine unbeabsichtigte Offenlegung von Informationen erm\u00f6glichen, wenn vertrauliche Informationen (Schl\u00fcssel, Kennw\u00f6rter etc.) oder andere sensible Informationen in die Custom Code-Funktion eingebettet sind.<\/p>\n

Microsoft hat das Problem untersucht und festgestellt, dass nur der Sicherheitsforscher, der den Vorfall gemeldet hat, (und niemand sonst)anormalen Zugriff hatte. Alle betroffenen Kunden wurden von dem Forscher \u00fcber das Microsoft 365 Admin Center (MC665159) \u00fcber diesen anomalen Zugriff informiert, schreibt<\/a> Microsoft.<\/p>\n

Z\u00e4hes Patchen durch Microsoft<\/h2>\n

Am 7. Juni 2023 ver\u00f6ffentlichte Microsoft eine erste Korrektur zum Beheben der Schwachstelle. Als Tenable sich den Fix ansah, stellte man fest, dass eine, laut Microsoft, sehr kleine Teilmenge des benutzerdefinierten Codes im Status \"soft deleted\" weiterhin betroffen war.<\/p>\n

Dieser \"soft deleted\"-Status dient laut Microsoft der schnellen Wiederherstellung im Falle einer versehentlichen L\u00f6schung von benutzerdefinierten Konnektoren und stellt einen Ausweichmechanismus dar.<\/p><\/blockquote>\n

Also erfolgte zum 10. Juli 2023 eine weitere Meldung von Tenable an Microsoft. Da die Erstellung eines Patches eine gewisse Zeit ben\u00f6tigt, hatte Microsoft Ende September 2023 als Ziel f\u00fcr den finalen Fix f\u00fcr die Schwachstelle vorgesehen und dies Tenable mitgeteilt. Das f\u00fchrt zum nachfolgenden beschriebenen Vorgang, bei dem der CEO von Tenable Microsoft ein unverantwortliches handeln vorwarf.<\/p>\n

Am 2. August 2023 war Microsoft dann so weit, dass der Fix f\u00fcr die Schwachstelle fertig war. Laut diesem Microsoft-Beitrag<\/a> vom 4. August 2023 wurde der Patch ausgerollt.<\/p>\n

Erg\u00e4nzung:<\/strong> Allerdings scheint der Patch \"Nebenwirkungen\" zu haben. Beachtet den nachfolgenden Kommentar von Tom 801<\/a>, dass berechtigte Benutzer von anderen Tenants nach dem Patch schlicht nicht mehr auf freigegebene Ressourcen zugreifen k\u00f6nnen.<\/p>\n

Harsche \u00f6ffentliche Kritik von Tenable<\/h2>\n

Dass Microsoft bereits Anfang August 2023 die Schwachstelle beseitigt, statt wie urspr\u00fcnglich geplant im September, h\u00e4ngt mit der \u00f6ffentlichen Kritik von Tenable zusammen. Microsofts Beitrag<\/a> vom 4. August 2023 liest sich so, als ob nix passiert sei und man zum Tagesgesch\u00e4ft \u00fcbergehen k\u00f6nne – Patch kommt ja, irgendwann. Und \u00fcberhaupt habe ja niemand, bis auf den Sicherheitsforscher von Tenable, auf diese Schwachstelle zugegriffen. Und nur ganz wenige Kunden seien \u00fcberhaupt betroffen.<\/p>\n

Die Sicherheitsforscher von Tenable gaben an, dass Angreifer \u00fcber die Schwachstelle in die Netzwerke und (Azure-) Dienste diverser Kunden eindringen k\u00f6nnten. Es hei\u00dft dazu, dass das Tenable Team sehr schnell mittels der Schwachstelle die Authentifizierungsgeheimnisse einer Bank entdeckte. Die Bank wurde informiert, die dann sofort Microsoft benachrichtigte, aber es passierte nicht wirklich was, um das Problem zeitnah final zu beheben.<\/p>\n

Angesichts der Reaktionen Microsofts und des Vorfalls, dass Angreifer der chinesischen Hackergruppe Storm-0558 in Mail-Konten von Microsoft-Konten eindringen konnte (hatte ich im Beitrag Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1 angesprochen), ging Tenable an die \u00d6ffentlichkeit. Amit Yoran, Chairman und Chief Executive Officer (CEO) bei Tenable, hat dann zum 2. August 2023 einen geharnischten Post Microsoft\u2026The Truth Is Even Worse Than You Think<\/a> auf LinkedIn ver\u00f6ffentlicht, in dem er die Sicherheitskultur bei Microsoft und den Umgang mit Schwachstellen kritisierte.<\/p>\n

Ich hatte im Blog-Beitrag Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2 dar\u00fcber berichtet. Der LinkedIn-Post hat dann Wellen geschlagen und zu einem weltweiten Echo in IT-Medien gef\u00fchrt. Die Wellen waren so hoch, dass der Fix bei Microsoft just am 2. August 2023 fertig wurde. Laut dem Microsoft-Beitrag vom 4. August 2023 wurde der Fix dann auch unverz\u00fcglich ausgerollt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Microsoft hat zum 4. August 2023 \u00fcberraschend eine Schwachstelle in der Azure-Umgebung beseitigt, deren Patch urspr\u00fcnglich f\u00fcr Ende September 2023 vorgesehen war. Bekannt ist Microsoft die Schwachstelle seit M\u00e4rz 2023. Die harsche Kritik des CEO von Tenable, Amit Yoran, an … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4375,4298,4328],"class_list":["post-284650","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-azure","tag-problemlosung","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284650","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=284650"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/284650\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=284650"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=284650"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=284650"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}