Microsoft, sadece geçen Nisan ayında, grubun şirkette ve ürünlerinde daha fazla güvenliği garanti etmesi gereken önlemlerin uygulanmasını kutladığı bir ilişki sundu. “Tasarımla Güvenli”, “İlk Güvenlik” – Tüm program. Bu, resmi anket komisyonunun (Siber Güvenlik İnceleme Kurulu) daha önce BT güvenliğinde sistematik bir eğim göstermiş olması gerçeğine bir tepkidir.
Gelecek Girişimi Güvenli (para) ile daha iyi olmalı ve ilişkiler gerçekten umut verici görünüyordu. Ama şimdi “saçmalık” deme zamanı. Geçit töreni, birçok uzmanın korktuğu Potemkin'in güvenlik cephesi olduğunu gösterdi.
Jürgen Schmidt – aka Ju – Haberler güvenliği ve Haberler -verlag'daki kıdemli güvencenin başkanıdır. 25 yılı aşkın bir süredir Haberler'de çalışıyor ve aynı zamanda ağlar, linux ve açık kaynak alanlarıyla da ilgileniyor. Mevcut projesi şirket ve kuruluşlardaki güvenlik yöneticileri için Haberler Security Pro'dur.
Bu güven verici dengenin nedeni, perde arkasına bir bakışa izin veren ve hiçbir şeyin değişmediğini ortaya koyan iki olaydır: Microsoft güvenlik ile tokatlar ve daha fazla kar vaat ederse güvenlik özelliklerini yok sayar.
SharePoint Flask
Mayıs ayında, iki Vietnamlı güvenlik araştırmacısı, Microsoft'un SharePoint sunucusunda gümüş tepsisinde, sunucuları nasıl alacağını gösteren örnekler de dahil olmak üzere iki güvenlik eleştirisine hizmet etti. Microsoft'un 8 Haziran'da bu boşlukları kaldırması gereken Patch'i yayınlamak için neredeyse iki aya ihtiyaç duymadı. CVE-2025-49706 yamasının o kadar aptal olduğu ortaya çıktı ki, sadece bir URL'ye saldırarak kaçınılabilir. Diğer yama da amatör bir sıcaklık olarak daha yakın bir görünüm olduğu ortaya çıktı. Sonuç: Birkaç saldırgan grubu bu boşlukları SharePoint sunucularını yakalamak için kullandı. Yüzlerce fidye yazılımı sunucusu aldılar ve bantlar aylarca toplanması kolay olan bu meyve tankından yararlanacak.
Microsoft 20 Temmuz'da gelişmek zorunda kaldı ve SharePoint'e yeni yamalar yazılımı sağladı. Bununla birlikte, yeni güvenlik güncellemelerinin içe aktarılması henüz daha önce tehlikeye atılan sistemlerin güvenli olmasını sağlamamıştır. Bunu yapmak için, en azından SO -CALLED IIS Server makinesini değiştirmek zorunda kaldınız. Aksi takdirde saldırganlar yardımlarına erişmeye devam ederler. Güvenlik güncellemesi neden bu önlemi hemen başlatmadı? Microsoft'a sorun! Muhtemelen bu SharePoint sorunu hakkında sorularımızı sorduğumuz kadar cevap alacaksınız.
Bulut frenleri
Bu SharePoint felaketine saatlerce bahis oynayabilirim ve bu SharePoint felaketinin gösterdiği güvenlik şeylerinin, aynı zamanda Microsoft'un derinlemesine açgözlülüğünü gösteren ikinci veri noktasına: SO -Conllied “Dijital Eskortlar”. Amerika Birleşik Devletleri hükümeti aslında ABD yetkililerinin bulut hizmetleri sunmak isteyen tedarikçiler için titiz yönergelere sahiptir. Federal Risk Yönetimi ve Yetkilendirme Programı (kısa süre içinde FedRamp), bu hizmetleri sağlayan sunucuların özel eğitimli personel ile ilgilenmesi gerektiğini belirler. Veriler ayrılmış ve güvenlik için alakalı olduğundan, bu yöneticiler de sadece ABD vatandaşlarını kullanan güvenlik için özel bir onay göstermelidir.
Bu personel ekilmiş ince ve sonuç olarak pahalıdır. Bu şekilde sağlanamaz: Bu durum fenomen emirlerine, gerekli kalite nedeniyle çok iyi ödenir: Bunlar, tüm bulut tedarikçilerinin parmaklarını yediklerine göre bulut pazarındaki fileto parçalarıdır. Peki Microsoft ne yapıyor? Son zamanlarda Publica'yı açıkladığı gibi, sunucunun yurtdışında yönetimi için gerekli sertifikalarla ekonomik yöneticileri aldılar. Ve asgari ücretler için işe aldıkları eski askeri onay onayını sağladılar.
Bu nedenle, eğitimli yöneticiler tarafından belirtilen eylemler yapılmalıdır. Aslında, ne yaptığınızı da kontrol etmelisiniz. Ama bunun için yeterince kalifiye değillerdi. “Windows Server Yönetimi, Domain Sunucusu, Destek Masaüstü, Masaüstü Uygulamaları ve Active Directory'de Bilgi Verilen” yalnızca “DoD Secret İptal Edilen Eskort” için bir çalışma reklamında “sahip olmak hoş” becerilerinden vazgeçilmiştir. Sonunda, kontrol dizilerinin bir kopyasını ve yapıştırdılar veya onlar için anlaşılmaz komut dosyaları haline getirdiler. “Yaptığınız şeyin kötülük olmadığına inanıyoruz, ama bunu kesin olarak söyleyemeyiz”, Publica onun tarafından röportaj yaptığı bir hisse senedi.
Bu yüzden Microsoft milyonlarca personele milyonlarca yedek atıyor ve görünüşe göre yeterli FedRamp mektubu vardı: sadece ABD yetkililerinin bulut sunucuları etrafında güvenlik onayına sahip ABD vatandaşları yönetiyor. Onları tekrar açgözlülüğüne borçlular. Kendilerini beş gözden veya belki de AB'den ucuz BT uzmanlarıyla sınırlamadılar. Görünüşe göre Çin'de yaşadıklarında bile daha ucuz olanları aldılar. Gerçekten okuyun: Çin Itler, diğerlerinin yanı sıra Amerika Birleşik Devletleri Savunma Bakanlığı'nın bulut sunucusunu yönetti. Ne yanlış gitmeli?
Şimdi açıkçası öfke olağanüstü; Amerikan Savunma Bakanı Pete Hegseth de “ucuz Çinli işçileri” kınıyor. Ve Microsoft'un Baş İletişim Görevlisi Frank Shaw, Çin'deki mühendislerin garanti edilmeyeceğini söylüyor. Ancak not: sadece Çinliler hariç tutulur; Hindistan, Vietnam ve benzeri işçiler iyi hissetmeye devam edeceklerdi. Gelecekte ezici dijital eskortlar için ezici dijital eskortların bir kenara bırakılacağı duyurusu için bir dakikam var.
Sonuç
İki somut örnek, ama kesinlikle izole edilmiş vakalar değil, ancak gösteren özenle kalabalık arka planların arkasına bakıyor: Geleceğin güvenli girişimi, görünüşü korumak için sadece daha fazla güvenlik tiyatrosu, başka bir şey değil. Para söz konusu olduğunda, Microsoft artık çok utanç verici bir hile değil, diğerlerinin etkilenmesi şartıyla hiçbir indirim çok üretken ve çok yüksek risk yok. Müşteri olarak bilmeli ve buna göre hareket etmelisiniz.
Jürgen Schmidt, bu yorumu ilk olarak, her hafta şirketlerde güvenlik yöneticileri için BT güvenliği dünyasındaki etkinlikleri sınıflandırdığı özel Haberler Security Pro bülteni için yazdı:
(Ju)
Bir yanıt yazın