网络安全公司Tenable的首席执行官在LinkedIn上严厉批评微软在修补高严重性缺陷和其他危险漏洞方面的做法。

(资料图片仅供参考)

在微软拥有的平台上发表的一篇文章(有点讽刺的是)中，阿米特·约兰(AmitYoran)表示，微软在违规和漏洞方面有着不透明行为的历史，“所有这些都让他们的客户面临被故意蒙在鼓里的风险”关于”。

这位首席执行官表示，他的公司于2023年3月在Azure平台中发现了一个高严重性缺陷，该缺陷可能使威胁行为者能够快速发现身份验证秘密。为了强调调查结果的重要性，Yoran表示，分析师发现了一家银行的秘密，不久之后，他们将这些问题通知了微软。

这家雷德蒙德软件巨头在几天内就承认了这一发现，但花了大约三个月的时间才发布了补丁，据Yoran称，该补丁是不完整的，并没有完全解决问题。它仅适用于服务中加载的新应用程序。

“这意味着截至今天，我上面提到的银行仍然容易受到攻击，距我们报告该问题已有120多天了，所有其他在修复之前启动该服务的组织也是如此，”他说。“而且，据我们所知，他们仍然不知道自己面临风险，因此无法就补偿控制和其他风险缓解措施做出明智的决定。”

根据Yoran的说法，微软承诺在9月底之前进行修复，他补充说，这“即使不是公然疏忽，也是非常不负责任的”。

他的文章在LinkedIn上引发了相当大的争论，有近百条不同的评论和评论。许多附和的人都同意Yoran的言论，其中一位愤世嫉俗地说：“所以你基本上是说30年来什么都没有改变?”。

微软尚未对这些指控发表评论。

微软声称他们将在9月底前修复该问题，即我们通知他们四个月后。这即使不是公然疏忽，也是极其不负责任的。我们知道这个问题，微软也知道这个问题，但愿威胁行为者不知道。

云提供商长期以来一直拥护共享责任模型。如果您的云供应商没有在出现问题时通知您并公开应用修复程序，那么该模型将无法挽回地被破坏。

你从微软那里听到的是“相信我们”，但你得到的却是很少的透明度和一种有毒的混淆文化。鉴于事实模式和当前行为，CISO、董事会或执行团队如何相信Microsoft会做正确的事情?微软的业绩记录让我们所有人都面临风险。而且情况比我们想象的还要糟糕。

标签：