Recallin sotkun jälkeen Microsoft ei lyö tietoturvaporsaanreikiä koskevaa väitettä lähiaikoina

Muistaminen oli sotkua.

Lukuajan kuvake 2 min. lukea


Lukijat auttavat tukemaan MSpoweruseria. Saatamme saada palkkion, jos ostat linkkien kautta. Työkaluvihje-kuvake

Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää

Keskeiset huomautukset

  • Ilmentäjä Andrew Harris paljasti AD FS:n kriittisen puutteen, joka jätettiin huomiotta sopimusten suojaamiseksi.
  • Tämä virhe johti SolarWindsin kyberhyökkäykseen, joka vaaransi Yhdysvaltain liittovaltion virastot.
  • Tämä ei ole ainoa viimeaikainen tietoturvaan liittyvä huolenaihe, jonka Microsoft on kohdannut viime aikoina.
Microsoftin rakennus

Microsoftin kunnianhimoinen tekoälytavoite Copilot+ PC-laitteistovaativista ominaisuuksistaan ​​huolimatta, on huomionarvoinen. Keskeisen ominaisuuden, Recall, avulla käyttäjät voivat etsiä mitä tahansa, mitä he ovat koskaan tehneet työpöydällään, mikä antaa heidän "muistaa" kaikki aiemmat toiminnot.

Mutta silloinkin tuhoisa vastaanotto yleisöltä ja huolenaihe ohi turvallisuuden porsaanreikiä ovat estäneet sen, mitä tästä ominaisuudesta olisi mahdollisesti voinut tulla. Microsoftin täytyi toimia nopeasti, he tekivät, mutta vahinko tapahtui, koska Redmondin yrityksellä ei ole parhaita kokemuksia siitä, mitä ihmiset haluavat.

Ja nyt entisen Microsoftin työntekijän äskettäinen paljastus on syyttänyt yritystä voiton priorisoimisesta kriittisen ohjelmistovirheen korjaamisen sijaan. Vaikka tällä ei ole mitään tekemistä Microsoftin tekoälyn kanssa, se kertoo silti suuren tarinan siitä, kuinka yritys priorisoi voitot turvallisuuden edelle.

Julkaisija ProPublica, ilmiantaja Andrew Harris väitti, että Microsoft jätti huomiotta varoitukset välttääkseen valtion sopimusten menettämisen. Hän sanoi löytäneensä ja raportoineensa Microsoftin ohjelmistossa olevan kriittisen virheen, jonka vuoksi hyökkääjät voivat esiintyä laillisina käyttäjinä.

Tämä Microsoftin Active Directory Federation Services (AD FS) -palvelussa löydetty virhe mahdollisti hyökkääjät väärentämään todennustunnuksia SAML-protokollan avulla todentamiseen, jolloin pahat ihmiset voivat esiintyä laillisina käyttäjinä ja päästä käsiksi arkaluonteisiin tietoihin ilman havaitsemista.

Haavoittuvuutta hyödynnettiin SolarWindsin kyberhyökkäyksessä, mikä vaaransi useita Yhdysvaltain liittovaltion virastoja, mukaan lukien National Nuclear Security Administration ja National Institutes of Health.

Sisäisistä huolenaiheista huolimatta Microsoftin toimimattomuus jätti monet järjestelmät haavoittuviksi, mikä johti suureen tietoturvaloukkaukseen ja venäläisten hakkerien hyväksikäyttöön.

Auts.

Jätä vastaus

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *