В Соединённых Штатах Microsoft обвинили в халатном отношении к обеспечению ИБ государственных IT-систем, пишет в пятницу The Verge со ссылкой на заявление главы ИБ-компании Tenable Амита Йорена (Amit Yoran).

Напомним, в июле 2023 Microsoft сообщила о взломе её платформы Azure, который она увязала с действиями китайской хакерской группировки Storm-0558. Атака затронула около 25 различных организаций и позволила злоумышленникам заполучить конфиденциальные электронные письма правительственных чиновников США. В этой связи в американском сенате призвали привлечь Microsoft к ответственности за «халатные практики в области кибербезопасности».

Доказательства причастности к инциденту Китая Microsoft не опубликовала. Более того, степень уверенности Microsoft в том, что действовала именно Storm-0558 – «умеренная», сказано в другом документе.

По свидетельству Йорена, его компании удалось обнаружить ещё одну уязвимость Azure, о которой Tenable сообщила Microsoft. Однако у последней ушло слишком много времени на частичное устранение — более 90 дней.

Выявленная Tenable уязвимость могла позволить злоумышленникам получить доступ к конфиденциальным данным организаций, включая банки. При этом выпущенный Microsoft патч не устраняет уязвимость в случае, если организации запускали Azure до выпуска патча. Окончательно устранить проблему IT-гигант планирует к концу сентября, указывает Йорен.

Заметим, что ИБ-компетенций у Microsoft до недавнего времени не наблюдалось, если не считать компетенцией производство бесплатного антивируса. В 2015 году Microsoft купила несколько ИБ-компаний. Что такое поглощения Microsoft, хорошо известно, достаточно вспомнить, например, судьбу Skype и Yammer; впрочем, о судьбе купленных ИБ-компаний мы не знаем.

По части ИБ у Microsoft скверная предыстория. Контроль за кодом программных продуктов долгое время не осуществлялся вообще. Разработчики были вправе делать то, что считали нужным, вплоть до переписывания работающих, давно отлаженных фрагментов кода, известно корреспонденту D-Russia.ru из бесед с программистами компании в Редмонде. Это приводило к непредсказуемым последствиям. В ранние нулевые, например, в Windows и офисные продукты разработчики из озорства клали «пасхальные яйца» – недокументированные возможности. Так, в Ехсеl имелась довольно сложная игра, трёхмерная имитационная модель полёта на бреющей высоте над сложным ландшафтом. Уместна аналогия с незакрывающимися дверями кабины пилотов пассажирских самолётов до 9/11.

См. также: Microsoft получила подряд на облачный сервис для совместного использования Lockheed и Пентагоном >>>