Microsoft-Sicherheitslücke steht seit Monaten offen
Eine kritische Sicherheitslücke in Azure AD bedroht Microsoft-Kunden seit Monaten. Potenzielle Angreifer haben Zugriff auf sensible Daten. Der Konzern weiss seit März 2023 davon, will die Schwachstelle aber erst bis Ende September beheben.

In Azure Active Directory, Microsofts Lösung zur Identitätsverwaltung in 365 und Azure, klafft eine kritische Sicherheitslücke - und das scheinbar schon seit Monaten. Bereits seit März soll Microsoft über die Schwachstelle Bescheid wissen. Nun sei sie immer noch nicht vollständig geschlossen, schreibt Amit Yoran, CEO der IT-Security-Firma Tenable, in einem Kommentar.
Zugriff auf sensible Daten
Im März habe ein Mitglied eines Forschungsteams von Tenable die Azure-Plattform untersucht und dabei die Lücke gefunden. Nicht authentifizierte Angreifer hätten dadurch auf mandantenübergreifende Anwendungen und sensible Daten, etwa Authentifizierungsgeheimnisse, zugreifen können. "Um Benutzern eine Vorstellung davon zu geben, wie kritisch das ist, entdeckte das Team sehr schnell die Authentifizierungsgeheimnisse einer Bank", schreibt Yoran. Die Bank habe umgehend Microsoft verständigt. Der Konzern weiss laut Tenable seit dem 30. März Bescheid.
"Grob fahrlässig"
Microsoft habe mehr als 90 Tage gebraucht, um eine Teilbehebung durchzuführen. Dies aber auch nur für neu in den Dienst geladene Anwendungen, erklärt der Tenable-CEO. Die erwähnte Bank sei damit heute noch angreifbar, mehr als vier Monate nach dem Bekanntwerden der Schwachstelle. Auch alle anderen Unternehmen, die den Dienst vor der Behebung in Betrieb genommen haben, seien noch gefährdet, und zwar ohne dies zu wissen. Sie könnten daher keine risikomindernden Schritte setzen. Microsoft wolle das Problem bis Ende September beheben, also viele Monate nach dem ersten Bekanntwerden. "Das ist grob unverantwortlich, wenn nicht gar grob fahrlässig", schreibt Yoran.
Übrigens: Microsoft war eines von sieben Unternehmen, die sich Ende Juli 2023 im Weissen Haus auf Richtlinien für die sichere KI-Entwicklung geeinigt haben. Hier erfahren Sie mehr dazu.

Betrüger locken mit vermeintlichen Kryptorückzahlungen

EDÖB verzeichnet Rekorde bei Zugangsgesuchen und Schlichtungsanträgen

"Citrix Bleed 2" gefährdet über 1200 Server

Bug Bounty Switzerland ernennt Director of Delivery & Customer Success

KI etabliert sich in der Cyberabwehr von Schweizer Unternehmen

Die lahmste Maus von Mexiko

Finma fordert besseren Cyberschutz von Swissquote

Wie Phisher ihren Opfern noch mehr Geld aus der Tasche ziehen

Herr der Ringe - aber mit Schmäh
