บริษัทด้านความปลอดภัยทางไซเบอร์หลายแห่งวิจารณ์ Microsoft เกี่ยวกับสิ่งที่พวกเขากล่าวว่าเป็นแนวทางปฏิบัติในการแพตช์ที่ช้าและไม่ชัดเจน
ทั้ง Orca Security และ Tenable ได้พูดคุยกันมากมายเกี่ยวกับวิธีที่ Microsoft จัดการกับช่องโหว่ที่มีความรุนแรงสูง อดีตกล่าวว่าได้พยายามให้ Microsoft แก้ไขปัญหาที่สำคัญใน Azure Synapse Analytics ตั้งแต่ต้นเดือนมกราคม 2022 และหลังจากกลับมาหลายครั้งรวมถึงความพยายามที่ล้มเหลวสองครั้งในที่สุด บริษัท ก็สามารถแก้ไขปัญหาสำหรับ จุด ผู้ใช้ปลายทาง (เปิดในแท็บใหม่) ถูกต้อง เฉพาะวันที่ 15 เมษายน เท่านั้น
Tenable ยังแสดงความไม่พอใจกับวิธีการแก้ไขปัญหาไซแนปส์ตามโพสต์ ในโพสต์บน LinkedIn (เปิดในแท็บใหม่) ประธานและซีอีโอของบริษัท Amit Yoran กล่าวว่ามี "การขาดความโปร่งใส" ที่ Microsoft แสดงเพียงหนึ่งวันก่อนที่จะมีการคว่ำบาตรเกี่ยวกับช่องโหว่ที่เปิดเผยแบบส่วนตัว
ฟอลลิน่า สโลว์ พาร์ค
“ใครก็ตามที่ใช้บริการ Azure Synapse สามารถใช้ประโยชน์จากช่องโหว่ทั้งสองนี้ได้ หลังจากประเมินสถานการณ์แล้ว Microsoft ตัดสินใจแก้ไขปัญหาอย่างเงียบๆ (เปิดในแท็บใหม่) เพื่อลดความเสี่ยง” Yoran กล่าว "จนกระทั่งพวกเขารู้ว่าเรากำลังจะเปิดเผยต่อสาธารณะ เรื่องราวของพวกเขาก็เปลี่ยนไป... 89 วันหลังจากการแจ้งเตือนช่องโหว่ครั้งแรก... เมื่อพวกเขารับทราบถึงความร้ายแรงของปัญหาด้านความปลอดภัยเป็นการส่วนตัว (เปิดในแท็บใหม่) จนถึงปัจจุบัน ลูกค้าของ Microsoft ยังไม่ได้รับการแจ้งเตือน
Microsoft ยังถูกวิพากษ์วิจารณ์ถึงการจัดการช่องโหว่ Follina ซึ่งเห็นได้ชัดว่าได้รับการแก้ไขหลังจาก "ถูกโจมตีอย่างแข็งขันมานานกว่าเจ็ดสัปดาห์"
เห็นได้ชัดว่านักวิจัยจาก Shadow Chaser Group ได้ติดต่อ Microsoft ในเดือนเมษายนเพื่อรายงานว่า Follina ถูกใช้ในป่า แต่บริษัทเพิ่งประกาศว่ามันเป็นช่องโหว่เมื่อสองสัปดาห์ก่อนโดยไม่ทราบสาเหตุ
Microsoft ลงรายละเอียดเกี่ยวกับวิธีแก้ไขข้อบกพร่องของ Azure อย่างช้าๆ หรือไม่ก็ตาม: “เรามุ่งมั่นอย่างยิ่งที่จะปกป้องลูกค้าของเราและเชื่อว่าความปลอดภัยเป็นกีฬาที่เล่นเป็นทีม เราให้ความสำคัญกับความร่วมมือของเรากับชุมชนการรักษาความปลอดภัย ซึ่งช่วยปกป้องงานของเราปกป้องลูกค้า การเปิดตัวการอัปเดตความปลอดภัยคือความสมดุลระหว่างคุณภาพและความเร็ว และเราคำนึงถึงความจำเป็นในการลดความขัดข้องของลูกค้าให้เหลือน้อยที่สุดในขณะที่ปรับปรุงการป้องกัน"
ผ่าน: Ars Technica (เปิดในแท็บใหม่)