Microsoft telah mendapat kecaman oleh beberapa firma keselamatan siber berhubung cara syarikat itu mengendalikan kerentanan berketerukan tinggi.
Menurut TechRadar (melalui Ars Technica), Orca Security dan Tenable berkata Microsoft sangat lambat dan tidak mencukupi untuk mengeluarkan patch keselamatan untuk kelemahan yang dikesan , yang mana sesetengah daripadanya mungkin mempunyai tahap keterukan yang tinggi.
Seperti laporan, salah satu firma ini telah cuba memaklumkan kepada Microsoft tentang isu kritikal dalam Analitis Sinaps Azure. Mereka melakukan ini pada awal Januari 2022 dan Microsoft mengeluarkan tampung keselamatan untuk titik akhir pengguna pada 15 April. Selain itu, membuat Microsoft menyelesaikan isu ini bukanlah proses yang mudah dan mereka telah menghasilkan banyak percubaan yang gagal.
Firma keselamatan siber percaya Microsoft tidak telus dan pantas dalam menyelesaikan kerentanan yang teruk
Pengerusi dan Ketua Pegawai Eksekutif Tenaga Amit Yoran berkata Microsoft gagal mengurus isu Synapse dengan betul. Selain itu, beliau percaya syarikat itu mengalami”kekurangan ketelusan.”
“Kedua-dua kelemahan ini boleh dieksploitasi oleh sesiapa sahaja yang menggunakan perkhidmatan Azure Synapse. Selepas menilai keadaan, Microsoft memutuskan untuk menambal salah satu masalah secara senyap, mengurangkan risiko,”kata Yoran. “Hanya selepas diberitahu bahawa kami akan mendedahkannya kepada umum, cerita mereka berubah… 89 hari selepas pemberitahuan awal kerentanan…apabila mereka secara peribadi mengakui keterukan isu keselamatan. Sehingga kini, pelanggan Microsoft belum dimaklumkan.”
Cara Microsoft mengendalikan kerentanan Follina turut membuatkan pakar keselamatan siber kecewa. Mereka mengatakan syarikat itu memutuskan untuk mengeluarkan patch selepas isu itu”dieksploitasi secara aktif di alam liar selama lebih daripada tujuh minggu.”
Penyelidik dari Shadow Chaser Group memaklumkan kepada Microsoft tentang skop pengembangan kelemahan Follina pada bulan April. Walau bagaimanapun, Microsoft tidak mengumumkannya sebagai kelemahan sehingga dua minggu lalu.
Sebagai tindak balas kepada dakwaan, Microsoft berkata, “Kami amat komited untuk melindungi pelanggan kami, dan kami percaya keselamatan adalah sukan berpasukan. ” Selain itu, syarikat itu menyatakan bahawa”Pengeluaran kemas kini keselamatan adalah keseimbangan antara kualiti dan ketepatan masa, dan kami menganggap keperluan untuk meminimumkan gangguan pelanggan sambil meningkatkan perlindungan.”
