Grobe Sicherheitslücke in Cloud war Microsoft schon lange bekannt
Es wurde bekannt, dass Microsoft schon seit März von einer kritischen Sicherheitslücke im Identitätsdienst Azure Active Directory wusste.
Das Wichtigste in Kürze
- Microsofts Identitätsdienst Azure Active Directory hat eine kritische Sicherheitslücke.
- Kriminelle können Identitäten und Authentifizierungsgeheimnisse aus dem Dienst entwenden.
- Der Konzern weiss seit März von der Lücke, will sie aber erst September schliessen.
Azure Active Directory ist eine Plattform zur Identitätsverwaltung in Microsoft 365 und Azure für Unternehmen. Wie nun bekannt wurde, beherbergt ebenjener Dienst eine kritische Sicherheitslücke, über die sich höchst sensible Daten entwenden lässt.
Wie der CEO der IT-Sicherheitsfirma Tenable Amit Yoran erklärte, fand sein Team die Lücke. «Cetoday» zufolge konnte es bereits in kurzer Zeit sogar Authentifizierungsgeheimnisse einer Bank herausfischen.
Sicherheitslücke immer noch weit offen
Besonders pikant ist jedoch, dass Microsoft laut Yoran bereits seit März von dem Einfallstor gewusst hat. Genauer gesagt wisse der Konzern schon seit dem 30. März von der Sicherheitslücke und hätte erst nach 90 Tagen eine Teilbehebung erreicht.
Die betroffene Bank, die umgehend von Tenable informiert wurde und daraufhin Microsoft kontaktierte, ist auch vier Monate später noch angreifbar. Ebenso wie alle anderen Unternehmen, die den Dienst schon länger nutzen. Vollständig behoben haben wollen die Redmonder das Problem erst Ende September.
