Güvenlik uzmanları, eleştirmenlerin, müşterilerini tehdit eden güvenlik açıklarına ilişkin raporlara yanıt verirken şeffaflık ve yeterli hız eksikliği olduğunu söyledikleri için Microsoft’un suçlamalarının arttığını söyledi.
Microsoft’un en son başarısızlığı Salı günü, Microsoft’un Azure’daki kritik bir güvenlik açığını başarılı bir şekilde düzeltmeden önce beş ay ve üç yama aldığını gösteren bir yayında ortaya çıktı. Orca Security, bulut hizmetinin Synapse Analytics bileşeninde bulunan ve aynı zamanda Azure Data Factory’yi de etkileyen kusur hakkında Microsoft’u ilk olarak Ocak ayının başlarında bilgilendirdi. Azure hesabı olan herkese diğer müşterilerin kaynaklarına erişme olanağı verdi.
Orca Security araştırmacısı Tzah Pahima, oradan bir saldırganın şunları yapabileceğini söyledi:
- Synapse çalışma alanı olarak hareket ederken diğer müşteri hesaplarında yetki kazanın. Yapılandırmaya bağlı olarak bir müşterinin hesabındaki daha fazla kaynağa erişebilirdik.
- Müşterilerin Synapse çalışma alanlarında depolanan kimlik bilgilerini sızdırın.
- Diğer müşterilerin entegrasyon çalışma zamanlarıyla iletişim kurun. Herhangi bir müşterinin entegrasyon çalışma zamanlarında uzak kod (RCE) çalıştırmak için bundan yararlanabiliriz.
- Tüm paylaşılan tümleştirme çalışma zamanlarını yöneten Azure toplu havuzunun kontrolünü elinize alın. Her örnekte kod çalıştırabiliriz.
Üçüncü kez çekicilik
Pahima, güvenlik açığının aciliyetine rağmen, Microsoft müdahale ekiplerinin ciddiyetini kavramakta yavaş olduğunu söyledi. Microsoft, ilk iki yamayı başarısızlığa uğrattı ve Salı gününe kadar Microsoft, kusuru tamamen düzelten bir güncelleme yayınlamadı. Pahima’nın sağladığı bir zaman çizelgesi, düzeltme sürecinde şirketini Microsoft’a yönlendirmek için ne kadar zaman ve emek harcadığını gösteriyor.
- 4 Ocak – Orca Security araştırma ekibi, çıkarabildiğimiz anahtarlar ve sertifikalarla birlikte Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) yönelik güvenlik açığını açıkladı.
- 19 Şubat ve 4 Mart – MSRC, soruşturmasına yardımcı olmak için ek ayrıntılar istedi. Her seferinde ertesi gün cevap verdik.
- Mart Sonu – MSRC ilk yamayı dağıttı.
- 30 Mart – Orca başardı yamayı atla. Sinaps savunmasız kaldı.
- 31 Mart – Azure, keşfimiz için bize 60.000 dolar ödül verdi.
- 4 Nisan (açıklamadan 90 gün sonra) – Orca Security, Microsoft’a anahtarların ve sertifikaların hala geçerli olduğunu bildirir. Orca hala Synapse yönetim sunucusu erişimine sahipti.
- 7 Nisan – Orca, güvenlik açığının sonuçlarını ve onu bütünüyle düzeltmek için gerekli adımları netleştirmek için MSRC ile bir araya geldi.
- 10 Nisan – MSRC bypass’ı yamaladı ve sonunda Synapse yönetim sunucusu sertifikasını iptal etti. Orca yapabildi yamayı tekrar atla. Sinaps savunmasız kaldı.
- 15 Nisan – MSRC, 3. yamayı dağıtarak RCE’yi ve rapor edilen saldırı vektörlerini düzeltti.
- 9 Mayıs – Hem Orca Security hem de MSRC, güvenlik açığını, azaltmaları ve müşteriler için önerileri özetleyen bloglar yayınlıyor.
- Mayıs Sonu – Microsoft, paylaşılan Azure Entegrasyon Çalışma Zamanları için kısa ömürlü örnekler ve kapsamlı belirteçler dahil olmak üzere daha kapsamlı kiracı yalıtımı dağıtır.
Sessiz düzeltme, bildirim yok
Hesap, güvenlik firması Tenable’ın benzer bir Microsoft hikayesini, Azure Synapse’i de içeren güvenlik açıklarını şeffaf bir şekilde düzeltemediğini anlatmasından 24 saat sonra geldi. Tenable Yönetim Kurulu Başkanı ve CEO’su Amit Yoran, Microsoft’un Güvenlik Açığı Uygulamaları Müşterileri Riske Atıyor başlıklı bir gönderide, Microsoft’un şirketinin özel olarak bildirdiği kritik güvenlik açıklarına yönelik 90 günlük ambargonun kaldırılmasından bir gün önce “siber güvenlikte şeffaflık eksikliğinden” şikayet etti.
O yazdı:
Bu güvenlik açıklarının her ikisi de Azure Synapse hizmetini kullanan herkes tarafından kullanılabilir durumdaydı. Durumu değerlendirdikten sonra Microsoft, riski küçümseyerek sorunlardan birini sessizce düzeltmeye karar verdi. Ancak halka açacağımız söylendikten sonra, hikayeleri değişti… ilk güvenlik açığı bildiriminden 89 gün sonra… güvenlik sorununun ciddiyetini özel olarak kabul ettiklerinde. Bugüne kadar, Microsoft müşterileri bilgilendirilmedi.
Tenable’ın burada teknik detayları var.
Eleştirmenler ayrıca Microsoft’u Follina adlı kritik bir Windows güvenlik açığını yedi haftadan fazla bir süredir aktif olarak istismar edilene kadar onaramadığı için de çağırdılar. Yararlanma yöntemi ilk olarak 2020 akademik makalesinde açıklanmıştır. Ardından Nisan ayında Shadow Chaser Group’tan araştırmacılar Twitter’da Microsoft’a Follina’nın devam eden kötü niyetli bir spam çalışmasında istismar edildiğini ve hatta kampanyada kullanılan istismar dosyasını dahil ettiklerini bildirdiler.
Microsoft’un henüz açıklamadığı nedenlerden dolayı, şirket iki hafta öncesine kadar bildirilen davranışı bir güvenlik açığı olarak ilan etmedi ve Salı gününe kadar resmi bir yama yayınlamadı.
Microsoft kendi adına uygulamalarını savunuyor ve Orca Security tarafından bulunan Azure güvenlik açığını düzeltmeye yönelik çalışmaları detaylandıran bu gönderiyi sağladı.
Şirket yetkilileri yaptığı açıklamada şunları yazdı: “Müşterilerimizi korumaya derinden bağlıyız ve güvenliğin bir takım sporu olduğuna inanıyoruz. Müşterilerimizi koruma çalışmalarımızı mümkün kılan güvenlik topluluğu ile ortaklığımızı takdir ediyoruz. Bir güvenlik güncellemesinin yayımlanması kalite ve dakiklik arasında bir denge ve korumayı geliştirirken müşteri kesintilerini en aza indirme ihtiyacını dikkate alıyoruz.”
