De klant is in gevaar…

06 augustus 2023

Afgelopen week las ik een interessant artikel op LinkedIn waarin Amit Yoran (CEO van Tenable) zijn zorgen uit over de security van Microsoft en beschuldigt hij Microsoft van nalatigheid. De aanleiding van het artikel was de afhandeling van Microsoft van enkele kwetsbaarheden. Met de kritische kwetsbaarheid die door Tenable is gevonden, kon toegang worden verkregen tot gevoelige data, bijvoorbeeld de data van een bank via het Microsoft Power Platform.

Het heeft Microsoft uiteindelijk meer dan 90 dagen gekost om deze kwetsbaarheid op te lossen. Microsoft zelf geeft aan dat de kwetsbaarheid had kunnen leiden tot “onbedoelde openbaarmaking van informatie” en dat alleen Tenable in staat was het lek te misbruiken. Tenable heeft inmiddels meer details gepubliceerd over het probleem.

Ik loop zelf al een aardige tijd mee in de wereld van IT. Mijn eerste aanraking met Microsoft komt uit de tijd van MS-DOS en Windows 3.1. Met de komst van NT4 kwamen de eerste grote kwetsbaarheden, waarbij je eenvoudig een NT4 server kon overnemen via een RCE kwetsbaarheid. De security van Microsoft was dan al in de jaren 90 een veelbesproken onderwerp.

Verschillende security experts zeiden toen dat Microsofts security slechter was dan andere software providers. Bruce Schneier gaf eind jaren 90 aan dat Microsofts besturingssysteem nooit ontworpen was met beveiliging in gedachten. Voor Microsoft was beveiliging een bijzaak.

Daarin is gelukkig wel veel veranderd, alhoewel?

Amit Yoran geeft in een interview aan dat Microsoft een cultuur heeft die de ernst van kwetsbaarheden ontkent. Laten we eerlijk zijn, Microsoft ATP is toch gewoon een kleverige pleister op een wond die Microsoft zelf heeft gecreëerd? En iedere keer plakken we er weer een nieuwe pleister op. Volgens data van Google Project Zero zijn de producten van Microsoft verantwoordelijk voor 42,5% van alle zero days die gevonden zijn sinds 2014. Microsoft maakt al tientallen jaren onveilige producten, ik kan zo een lijst opnoemen met alle e-mail virussen e.d. die in de jaren ‘90 en 2000 rondgingen. 

In simpele woorden: Microsoft brengt klanten in gevaar. En als er een probleem is met hun kapotte architectuur, schuiven ze de schuld af op het slachtoffer in plaats van zelf verantwoordelijkheid te nemen. Er is geen eenvoudige oplossing voor een kapotte architectuur, kijk naar Active Directory. Ontwikkeld in 1999 en nog steeds in gebruik met alle bijbehorende kwetsbaarheden. Natuurlijk is Microsoft een van de grootste technologiebedrijven ter wereld en ligt daarom het meest onder vuur. Maar als je grootste bent, moet je ook je verantwoordelijkheid nemen en misschien zelfs het goede voorbeeld geven? 

Door de verschuiving naar de cloud wordt security meer een gedeelde verantwoordelijkheid. Het is daarom belangrijk dat organisaties transparant zijn als het gaat om kwetsbaarheden, lekken en configuratiefouten.

Ik ben bijvoorbeeld heel benieuwd naar alle feiten over China die een private encryption key (MSA key) heeft bemachtigd en deze heeft gebruikt om toegangstokens voor Outlook.com te vervalsen. Hiermee was China in staat om e-mails van de Amerikaanse overheid in te zien. Microsoft zelf geeft aan dat alleen Outlook.com en Exchange Online zijn getroffen. Onderzoek van Wiz Research laat zien dat de gecompromitteerde signing key veel sterker was en niet beperkt was tot deze twee services. De gecompromitteerde MSA key kon ook gebruikt worden voor verschillende Azure AD applicaties die gebruik maken van persoonlijke authenticatie, de “login met Microsoft” functie. Denk hierbij aan SharePoint en OneDrive. Microsoft doet dit onderzoek af als speculatief.

Ik denk dat we het ecosysteem van verschillende cybersecurity oplossingen nodig hebben om Microsofts enorme technologische basis te helpen beschermen. Microsoft zal doorgaan met het maken van incrementele veranderingen om hun security te verbeteren, maar ik geloof niet dat ze iets zullen doen waardoor het risico aanzienlijk zal verminderen. Daarom is het hebben van de juiste security oplossingen en -diensten voorlopig de beste manier om ervoor te zorgen dat je de beveiliging van Microsoft onder controle hebt.

Met vriendelijke groet,

Ronald Kingma

Microsoft-Cybercrime-Center