リコール騒動後、マイクロソフトはセキュリティの抜け穴疑惑をすぐには打ち破れないだろう

リコールは大混乱でした。

読書時間アイコン 2分。 読んだ


読者は MSpoweruser のサポートを支援します。私たちのリンクを通じて購入すると、手数料が発生する場合があります。 ツールチップアイコン

MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む

キーノート

  • 内部告発者のアンドリュー・ハリス氏は、契約を保護するために無視されていた AD FS の重大な欠陥を暴露しました。
  • この欠陥により、SolarWinds のサイバー攻撃が発生し、米国連邦政府機関が危険にさらされました。
  • これは、マイクロソフトが最近直面している唯一のセキュリティ関連の懸念事項ではありません。
マイクロソフトビル

マイクロソフトの野心的なAI目標は Copilot+ PCハードウェアは、要求の厳しい仕様にもかかわらず、注目に値します。重要な機能である Recall により、ユーザーはデスクトップで行ったすべての操作を検索でき、基本的に過去のすべてのアクティビティを「思い出す」ことができます。

しかし、それでも観客からの悲惨な反応と、 セキュリティの抜け穴 この機能の潜在的な可能性をいくらか妨げている。マイクロソフトは迅速に行動しなければならなかった。 彼らがやったことしかし、レドモンド社は人々の要望に応えることにあまり実績がないため、損害は発生しました。

そして最近、元マイクロソフト社員による暴露本が発表され、同社が重大なソフトウェアの欠陥に対処することよりも利益を優先していると非難された。これはマイクロソフトの AI 推進とはまったく関係がないが、企業がいかにしてセキュリティよりも利益を優先しているかを示す大きな物語である。

発行 ProPublica内部告発者のアンドリュー・ハリス氏は、マイクロソフトが政府との契約を失うことを避けるために警告を無視したと主張した。同氏は、攻撃者が正当なユーザーになりすますことを可能にする重大な欠陥をマイクロソフトのソフトウェアで発見し、報告したと述べた。

Microsoft の Active Directory Federation Services (AD FS) で発見されたこの欠陥により、攻撃者は認証に SAML プロトコルを使用して認証トークンを偽造することができ、悪意のある人物が正当なユーザーになりすまして、検出されることなく機密データにアクセスできるようになりました。

この脆弱性はSolarWindsのサイバー攻撃で悪用され、国家核安全保障局や国立衛生研究所を含む複数の米国連邦政府機関が侵害された。

社内の懸念にもかかわらず、マイクロソフトの不作為により多くのシステムが脆弱なままとなり、ロシアのハッカーによる大規模なセキュリティ侵害と悪用につながった。

ああ。