.
A Microsoft explicou por que aparentemente demorou para corrigir uma falha relatada pelo fornecedor de inteligência infosec Tenable.
Como Reportado por Strong The One, em março, a Tenable relatou uma falha na Power Platform da Microsoft. Em 10 de julho, a Tenable contatou novamente a Microsoft para relatar suas descobertas sobre o que considerava uma correção perigosamente incompleta.
Então, na semana passada, o CEO da Tenable, Amit Yoran, deu à Microsoft um chicoteando no LinkedIn sobre como lidou com a falha, argumentando que a resposta da Microsoft foi muito pequena, tarde demais, porque não resolveu o problema completamente.
Yoran rotulou a resposta da Microsoft de “grosseiramente irresponsável, se não flagrantemente negligente”.
Então ele continuou socando. “Os provedores de nuvem há muito adotam o modelo de responsabilidade compartilhada”, escreveu ele. “Esse modelo está irremediavelmente quebrado se o seu fornecedor de nuvem não o notificar sobre os problemas à medida que eles surgirem e aplicar as correções abertamente”.
Na sexta-feira, a Microsoft respondeu com um publicar explicando que investigou o relatório da Tenable de 10 de julho e descobriu que “um subconjunto muito pequeno” de código e os clientes estavam em risco. O colosso do software corrigiu a falha em 2 de agosto.
Os clientes foram notificados no centro de administração do Microsoft 365.
A postagem da Microsoft justifica sua resposta em duas fases afirmando: “Como parte da preparação de correções de segurança, seguimos um processo extenso que envolve investigação completa, desenvolvimento de atualizações e testes de compatibilidade. Em última análise, desenvolver uma atualização de segurança é um equilíbrio delicado entre velocidade e segurança de aplicar a correção e a qualidade da correção.”
Conforme explicado pelo Microsoft Security Response Center, “agir muito rapidamente pode resultar em mais interrupção do cliente (em termos de disponibilidade) do que o risco que os clientes assumem de uma vulnerabilidade de segurança embargada”.
“O objetivo de um período de embargo é fornecer tempo para uma correção de qualidade. Nem todas as correções são iguais. Algumas podem ser concluídas e aplicadas com segurança muito rapidamente, outras podem levar mais tempo.”
Independentemente do tempo necessário para construir uma correção, o post da Microsoft afirma: “também começamos a monitorar qualquer vulnerabilidade de segurança relatada de exploração ativa e agir rapidamente se virmos qualquer exploração ativa”.
O que parece ser o motivo pelo qual a falha detectada pela Tenable não foi completamente anulada.
“Como provedora de serviços e empresa de segurança, a Microsoft aprecia fazer parte de um ecossistema de organizações focadas em proteger os clientes como a mais alta prioridade sobre todos os outros objetivos”, diz a missiva da Microsoft.
A postagem continua: “A Microsoft também aprecia a pesquisa e a divulgação de vulnerabilidades da comunidade de segurança”, acrescentando “Pesquisa e mitigação responsáveis são essenciais para proteger nossos clientes e isso vem com uma responsabilidade compartilhada de ser factual, entender os processos e trabalhar em conjunto”.
Mas a Tenable claramente não entendeu o processo da Microsoft – ou achou apropriado.
“Qualquer desvio desse processo coloca os clientes e nossas comunidades em risco de segurança indevido”, continua o post da Microsoft. Ele conclui com uma afirmação de que a “principal prioridade do titã da tecnologia é proteger e ser transparente com nossos clientes e permanecemos firmes em nossa missão”.
Nesse caso, sendo transparente no centro de administração do Microsoft 365 baseado na Web.
Yoran, da Tenable, parece não ter respondido à resposta de Redmond no momento da escrita. ®
.
