A Microsoft foi criticada por várias empresas de segurança cibernética sobre como a empresa está lidando com vulnerabilidades de alta gravidade.
De acordo com TechRadar (através da Ars Technica), Orca Security e Tenable dizem que a Microsoft é tão lenta e inadequada em liberar patches de segurança para vulnerabilidades detectadas, que algumas delas podem ser de alta gravidade.
De acordo com o relatório, uma dessas empresas está tentando informar a Microsoft sobre um problema crítico no Synapse Analytics do Azure. Eles fizeram isso no início de janeiro de 2022, e a Microsoft lançou um patch de segurança para endpoints de usuários em 15 de abril. Além disso, fazer a Microsoft resolver o problema não foi um processo simples e eles apresentaram muitas tentativas fracassadas.
As empresas de segurança cibernética acreditam que a Microsoft não é transparente e rápida na solução de vulnerabilidades de alta gravidade
O presidente e CEO da Tenable, Amit Yoran, disse que a Microsoft não conseguiu gerenciar o problema do Synapse corretamente. Além disso, ele acredita que a empresa está sofrendo de uma “falta de transparência”.
“Ambas as vulnerabilidades eram exploráveis por qualquer pessoa que usasse o serviço Azure Synapse. Depois de avaliar a situação, a Microsoft decidiu corrigir silenciosamente um dos problemas, minimizando o risco”, observou Yoran. “Foi só depois de ser informado de que iríamos a público que a história deles mudou… 89 dias após a notificação inicial de vulnerabilidade… quando eles reconheceram em particular a gravidade do problema de segurança. Até o momento, os clientes da Microsoft não foram notificados.”
A forma como a Microsoft lidou com a vulnerabilidade do Follina também deixou os especialistas em segurança cibernética chateados. Eles dizem que a empresa decidiu lançar um patch depois que o problema foi “ativamente explorado na natureza por mais de sete semanas”.
Pesquisadores do Shadow Chaser Group informaram a Microsoft sobre o escopo da expansão da vulnerabilidade Follina em abril. No entanto, a Microsoft não anunciou isso como uma vulnerabilidade até duas semanas atrás.
Em resposta às alegações, a Microsoft disse: “Estamos profundamente comprometidos em proteger nossos clientes e acreditamos que a segurança é um esporte de equipe”. Além disso, a empresa observou que “o lançamento de uma atualização de segurança é um equilíbrio entre qualidade e pontualidade, e consideramos a necessidade de minimizar as interrupções do cliente e melhorar a proteção”.