Các sản phẩm của Microsoft chiếm 42,5% tổng số lỗ hổng bảo mật zero-day được phát hiện kể từ năm 2014.
Theo dữ liệu từ Google Project Zero, các sản phẩm phần mềm của Microsoft chiếm 42,5% tổng số lỗ hổng bảo mật zero-day được phát hiện kể từ năm 2014. Giờ đây, một công ty bảo mật đang cáo buộc tập đoàn có trụ sở tại Redmond là vô trách nhiệm, tuyên bố rằng nó gây nguy hiểm cho tất cả người dùng của mình.
Giám đốc điều hành Tenable – ông Amit Yoran chỉ trích Microsoft vì các hoạt động bảo mật lỏng lẻo và thiếu minh bạch liên quan đến các vi phạm. Ông khẳng định rằng nền tảng Azure chứa đựng các lỗ hổng nghiêm trọng mà Microsoft đã cố tình giấu giếm khách hàng của mình.
Theo Yoran, công ty có trụ sở tại Redmond (Mỹ) bị cáo buộc đã bỏ qua các lỗ hổng Azure trong nhiều tháng, ngay cả khi các chuyên gia bảo mật đã biết về các vấn đề hiện có.
Yoran trích dẫn một bức thư mà Thượng nghị sĩ Ron Wyden đã gửi tới Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Bộ Tư pháp và Ủy ban Thương mại Liên bang (FTC) vào tuần trước. Trong bức thư này, Wyden kêu gọi các cơ quan liên bang buộc Microsoft phải chịu trách nhiệm về sự giám sát và các hoạt động an ninh mạng cẩu thả của họ, điều này đã vô tình tạo điều kiện cho các tác nhân nhà nước Trung Quốc theo dõi các quan chức Hoa Kỳ.
Vào tháng 3 năm 2023, Tenable đã khám phá một vấn đề nguy hiểm trên nền tảng Azure có thể đã cho phép những kẻ tấn công không được xác thực truy cập vào các ứng dụng thuê chéo và dữ liệu nhạy cảm. Yoran giải thích rằng tin tặc có thể đã thao túng lỗ hổng này để xâm phạm bí mật xác thực. Nhóm Tenable đã có thể “nhanh chóng” xác định những bí mật này gắn liền với một ngân hàng cụ thể.
Ngân hàng lo lắng về vấn đề này đến mức Tenable đã thông báo cho Microsoft “ngay lập tức”. Tuy nhiên, công ty đã không vá lỗ hổng này và quyết định thực hiện sửa chữa một phần vào khoảng 90 ngày sau đó. Bản vá này chỉ áp dụng cho các ứng dụng mới được tải lên Azure, khiến các ứng dụng cũ hơn vẫn gặp rủi ro.
Hơn 120 ngày kể từ lần phát hiện ban đầu của Tenable, ngân hàng và các tổ chức khác đã sử dụng nền tảng Azure trước khi sửa chữa một phần vẫn dễ bị tổn thương. Hơn nữa, Yoran cho rằng các thực thể này có thể vẫn chưa hiểu rõ về mức độ phơi nhiễm của họ, khiến họ không thể đưa ra quyết định sáng suốt về các biện pháp giảm thiểu tiềm năng.
“[Thái độ của Microsoft] hoàn toàn vô trách nhiệm, nếu không muốn nói là cẩu thả một cách trắng trợn,” Yoran nói.
Các nhà phân tích bảo mật nhận thức đầy đủ về vấn đề này. Microsoft có lẽ cũng nhận thức được lỗ hổng bảo mật, với hy vọng rằng các tác nhân đe dọa vẫn không biết gì. Các nhà cung cấp đám mây như Microsoft đã ủng hộ rất nhiều cho “mô hình trách nhiệm chung” đối với bảo mật đám mây. Tuy nhiên, mô hình này bị xâm phạm không thể khắc phục khi nhà cung cấp đám mây không thông báo cho khách hàng về các sự cố.
Giám đốc điều hành của Tenable cho rằng hồ sơ không nhất quán của Microsoft với việc khắc phục bảo mật sẽ gây nguy hiểm cho tất cả khách hàng Azure và bên thứ ba, đồng thời nói thêm rằng triết lý “chỉ cần tin tưởng chúng tôi” đã bị phá vỡ khi đổi lại, khách hàng nhận được sự minh bạch ít ỏi và “văn hóa che giấu độc hại”.