mysticfoxde
Goto Top

AZURE - Kritische Lücke seit Oktober 2023 ungepatcht!

Moin Zusammen,

so wie es aussieht, hat Microsoft seit über einem halben Jahr, eine kritische Lücke in ihrer Azure Plattform nicht geschlossen. 😔

"Sicherheitsforschern zufolge können Angreifer Schadcode auf Endpoints von Kunden ausführen."

"Sicherheitsforscher von Trend Micros Zero Day Initiaitive beschreiben die Lücke mit Höchstwertung (CVSS Score 10 von 10) in einem kurzen Beitrag. Eine CVE-Nummer gibt es offensichtlich aber noch nicht."
😭

"Die Sicherheitsforscher teilten mit, die Schwachstelle im Oktober 2023 an Microsoft kommuniziert zu haben. Nun habe man Details zur Lücke veröffentlicht. Sie geben an, dass es bereits einen Sicherheitspatch geben soll. Für weitere Informationen dazu verlinken sie in Microsofts Security Update Guide. Dort steht aber nichts von einem Update."

"Das Notfallteam CERT Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt wiederum an, dass es noch keine Lösung (Mitigation) für das Sicherheitsproblem gibt. Die Antwort auf eine Anfrage von heise Security an Microsoft steht derzeit noch aus."
😵‍💫

Weitere Infos:
https://www.heise.de/news/Kritische-Azure-Luecke-Patch-Status-derzeit-un ...
https://www.zerodayinitiative.com/advisories/ZDI-24-581/


Gruss Alex

Content-Key: 1924392053

Url: https://administrator.de/contentid/1924392053

Printed on: June 23, 2024 at 07:06 o'clock

Member: Delta9
Delta9 Jun 10, 2024 at 13:36:15 (UTC)
Goto Top
Bzw. ist bereits geschlossen:

Microsoft hat heise online nun auf Anfrage zum Status der Sicherheitslücke geantwortet. "Dies wurde im November 2023 angegangen und Kunden sind bereits geschützt", sagte ein Microsoft-Sprecher. "Da keine Kunden-Aktionen nötig waren, wurde auch kein CVE-Eintrag angelegt", erläutern die Redmonder weiter.

www.heise.de/news/Microsoft-Azure-Luecke-mit-bislang-unklarem-Status-ist-bereits-geschlossen-9755370.html
Member: MysticFoxDE
MysticFoxDE Jun 10, 2024 updated at 14:00:39 (UTC)
Goto Top
Moin @Delta9,

Bzw. ist bereits geschlossen:

ui, den Artikel von heute hatte ich noch nicht auf dem Schirm. 🙃
Daher, vielen Danke für die Info/das Update! 👍

Microsoft hat heise online nun auf Anfrage zum Status der Sicherheitslücke geantwortet. "Dies wurde im November 2023 angegangen und Kunden sind bereits geschützt", sagte ein Microsoft-Sprecher.

Ah ja und bei einem Schweregrad von CVE Score 10, hält man es dann nicht mal für nötig die Kunden darüber zu informieren, zumal es bisher überhaupt keine Infos gibt, wie lange diese Lücke schon da war. 😔

"Da keine Kunden-Aktionen nötig waren, wurde auch kein CVE-Eintrag angelegt", erläutern die Redmonder weiter.

@microsoft
Das kann doch nur ein schlechter Scherz sein, oder? 🤨

Gruss Alex
Member: ukulele-7
ukulele-7 Jun 11, 2024 at 07:12:37 (UTC)
Goto Top
Microsoft hat heise online nun auf Anfrage zum Status der Sicherheitslücke geantwortet. "Dies wurde im November 2023 angegangen und Kunden sind bereits geschützt", sagte ein Microsoft-Sprecher. "Da keine Kunden-Aktionen nötig waren, wurde auch kein CVE-Eintrag angelegt", erläutern die Redmonder weiter.
Das sagt alles.
- in 11/2023 entdeckt
- seit gestern gepatcht
- kein Grund, das öffentlich zu machen
Member: MysticFoxDE
MysticFoxDE Jun 11, 2024 updated at 07:37:24 (UTC)
Goto Top
Moin @ukulele-7,

Das sagt alles.
- in 11/2023 entdeckt
- seit gestern gepatcht
- kein Grund, das öffentlich zu machen

https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1 ...
😔

Und laut Günter ...

https://www.borncity.com/blog/2024/06/07/cert-bund-warnt-vor-schwachstel ...

"Die koordinierte Offenlegung erfolgte am 6. Juni 2024. Microsoft hat (laut Zero-Day-Initiative) zum 30. April 2024 die Schwachstelle mit einem Update geschlossen."

... hat MS die Schwachstelle erst zum 30.04.2024 geschlossen. 😬

Gruss Alex
Member: ThePinky777
ThePinky777 Jun 11, 2024 at 09:08:14 (UTC)
Goto Top
wen juckts.... ich erinner mich noch an open SSL bug wo z.B. Apple drin hatte...
nur weil dort das marketing besser geht, dort hiess es quasi "Bug sofort gefixt, wir sind die besten" nur das die geräte davor 3 Jahre offen waren hat keine sau interessiert....

Sind alle gleich schlecht... und linux bekleckert sich auch nicht mit ruhm die letzte zeit, nur das man mit zufall an totalen katastrophen vorbeischliddert zeugt nicht von vertrauenbelastbaren beziehungen...

also warten wir doch einfach ab wnns rummst... hab noch 20 jahre zur rente sieht also echt schlecht aus face-smile
Member: ABGler41
ABGler41 Jun 12, 2024 at 08:30:07 (UTC)
Goto Top
Hallo an alle,

aber Updates können gern auch mal das Gegenteil von gut sein wie ein Artikel bei Günter Born aufzeigt:

https://www.borncity.com/blog/2024/06/12/windows-juni-2024-updates-lsass ...

Ich glaube in Redmond gibt es keinen mehr der sich mit der eigenen Software auskennt.

Gruß aus Osthüringen
Member: MysticFoxDE
MysticFoxDE Jun 12, 2024 updated at 08:51:16 (UTC)
Goto Top
Moin @ABGler41,

Ich glaube in Redmond gibt es keinen mehr der sich mit der eigenen Software auskennt.

als alter Microsoft-Jünger würde ich dir hier gerne und am besten sehr lautstark widersprechen,
kann ich aber nicht, vor allem nicht nach den jüngsten Ereignissen. 😔

Um ehrlich zu sein, finde ich es nur noch beschämend, was die ganzen, meistens von der Technik selber nichts verstehenden Marketing- und Finanzheinis, mittlerweile aus Microsoft gemacht haben. 😭🤢🤮

Beste Grüsse aus BaWü

Alex