Problema crítico levou quase 6 meses para ser consertado
Desta vez, a vulnerabilidade saiu do consumidor final e foi para o mercado voltado às empresas, no Azure, um aglomerado de serviços e produtos em nuvem, cuja finalidade é disponibilizar soluções tecnológicas para os seus clientes.
O relato inicial do problema foi registrado pela Orca Security, uma empresa voltada para segurança em nuvem, que em janeiro relatou a falha para a equipe da MSCR (Centro de Respostas de Segurança da Microsoft).
Achar uma vulnerabilidade é algo normal no mundo da tecnologia, mas o que espantou os especialistas foi o tempo que a empresa levou para resolver o problema definitivamente.
Mesmo tendo todos os detalhes enviados pela Orca Security, a Microsoft levou mais de 5 meses, incluindo 3 patches de correções para resolver a vulnerabilidade crítica em sua plataforma.
Um tempo realmente anormal, principalmente considerando que a equipe da empresa de segurança havia reportado que a vulnerabilidade permitia tomar controle total de contas de clientes.
Equipe da Microsoft trabalhou devagar
Segundo o relato da Orca, feito em seu próprio blog, a equipe responsável por consertar o problema demorou mais de um mês apenas para pedir informações extras sobre o problema.
O primeiro patch só veio depois de quase 3 meses após o registro inicial da vulnerabilidade. Mesmo assim, a empresa de segurança voltou a relatar o problema no dia 30 de março, confirmando ter conseguido passar por cima do patch.
Depois de mais tentativas, a empresa, dona também do sistema operacional Windows, só veio dar uma solução mais definitiva para o problema no fim de maio.
Pior do que a vulnerabilidade é a falta de transparência da Microsoft
A maior preocupação é a conduta da Microsoft ao lidar com problemas que afetam seus clientes. O gigante Microsoft não só leva um tempo enorme para consertá-los, como não avisa seus usuários, de forma clara, sobre os riscos envolvidos.
A empresa pratica o que é chamado “shadow fix”, quando a medida para corrigir o problema é feita sem alardes, o que não seria ruim, se a situação fosse remediada de forma rápida e eficiente, o que não é o caso.
Um exemplo disso é o Follina, o exploit no Word, mencionado no início deste artigo, que vinha sendo amplamente usada em ataques.
O problema havia sido reportado para a empresa em 2020, em forma de um artigo acadêmico, mas só a algumas semanas atrás é que a empresa reportou o problema como uma “vulnerabilidade” e alertou os clientes de seu serviço sobre as consequências de alguém usando o exploit.
Mesmo assim, ainda não existe um patch oficial para corrigir o Follina. Uma coisa é certa: cada vez mais vem sendo necessário ter bastante cuidado com os produtos da Microsoft, incluindo seu sistema operacional, que também está sofrendo com problemas do tipo.
Por BitMagazine
