Microsoft falha críticamente: violação se expande sem patch de segurança
Falha da gigante de Redmond deixa sistemas expostos enquanto hackers avançam.
Subheader: O preço da negligência
Enquanto a Microsoft arrasta os pés para corrigir a vulnerabilidade, o raio de ataque cresce exponencialmente—e adivinhe quem vai pagar a conta? (Dica: não serão os acionistas.)
Subheader: O jogo da culpa
Equipes de segurança trabalham contra o relógio para criar mitigações caseiras, já que o patch oficial continua 'em desenvolvimento'. Enquanto isso, o preço das ações da Microsoft sofre menos que os sistemas dos clientes.
Closer: Mais um dia normal no paraíso da segurança cibernética—onde os lucros são privatizados e os riscos são socializados.
A Microsoft falha em emitir um patch em meio à expansão da violação
A agência de segurança de segurança cibernética e infraestrutura dos EUA e autoridades de segurança cibernética no Canadá e na Austrália estão investigando ativamente a violação. A Microsoft ainda não lançou um patch para a vulnerabilidade do servidor do SharePoint, forçando as organizações afetadas a confiar em correções temporárias - como ajustar as configurações do servidor ou levar os sistemas offline - para mitigar o risco.
A Microsoft confirmou a violação e postou um alerta, mas não disse nada publicamente. A empresa instou os usuários a aplicar configurações de bloqueio e remover servidores expostos da Internet para mitigar a exposição.
O Centro de Segurança da Internet, que trabalha com governos locais nos EUA, disse que enviou avisos a cerca de 100 organizações possivelmente afetadas, incluindo escolas públicas e universidades. A reação também foi dificultada por cortes mais recentes no financiamento, que reduziram o pessoal de inteligência e operações de resposta em pelo menos 60%.
Randy Rose, vicedent do Center for Internet Security, disse que levou seis horas no sábado à noite para concluir as notificações. Ele acrescentou que o processo teria sido muito mais rápido se suas equipes não tivessem sido cortadas.
A CISA, atualmente liderada por seu candidato ao diretor em uma capacidade de atuação enquanto aguarda confirmação, sustentou que sua equipe está trabalhando incansavelmente. Marci McCarthy, porta -voz da agência, disse que ninguém estava dormindo ao volante.
Falhas de segurança façam o aumento do escrutínio da Microsoft
O mais recentedent de uma onda de preocupação com a capacidade da Microsoft de proteger seu software, quando a empresa continua sendo a principal fornecedora de tecnologia para os governos em muitas partes do mundo.
O Departamento de Segurança Interna disse que os agressores podem ter girado de uma vulnerabilidade anteriormente corrigida do SharePoint. Isso ressalta a estratégia repetida da Microsoft de fornecer correções estreitamente focadas que não conseguem conectar orifícios relacionados ainda a serem explorados.
Os profissionais de segurança da informação estão preocupados com as implicações a longo prazo da violação. Uma vez dentro dos servidores internos do SharePoint, os invasores têm um caminho para os sistemas sensíveis nos quais você confia no local de trabalho, como Outlook, equipes e outros. Certos hackers, segundo ele, haviam roubado chaves criptográficas que poderiam ser usadas para reentrar servidores, mesmo após a instalação de patches.
Um pesquisador envolvido na resposta, que solicitou o anonimato devido à investigação federal em andamento, alertou que lançar um patch na segunda ou terça -feira não ajudaria a ninguém que já havia sido comprometido nas últimas 72 horas.
No ano passado, um painel designado pelo governo dos EUA criticou a Microsoft por lidar com um ataque cibernético chinês de sistemas federais de email, incluindo mensagens geradas pela então secretária de comércio Gina Raimondo. Nesse caso, a empresa disse que sua plataforma em nuvem foi explorada para acessar comunicações sensíveis ilegalmente.
A empresa enfrentou novas críticas na semana passada, depois que o ProPublica informou que a Microsoft havia contratado engenheiros na China para trabalhar em projetos de nuvem conectados às forças armadas dos EUA. Na sexta-feira, a Microsoft anunciou que não empregaria mais engenheiros em sistemas relacionados ao Pentágono na China.
Academia Cryptopolitan: Quer aumentar seu dinheiro em 2025? Aprenda a fazê -lo com DeFi em nossa próxima webclass. Salve seu lugar
