Skip To main content

Segir afsökun Microsoft lélega

„Per­sónu­lega finnst mér þetta lé­leg af­sök­un,“ seg­ir Theo­dór R. Gísla­son, stofn­andi Def­end Ice­land, þar sem hann gagn­rýn­ir Microsoft vegna viðbragða fyr­ir­tæk­is­ins við ör­ygg­is­bil­un sem olli stór­felldri trufl­un á föstu­dag­inn.

Microsoft kenn­ir samn­ing þeirra við ESB um að gölluð ör­ygg­is­upp­færsla hjá Crowd­Strike hafi getað valdið þess­ari trufl­un.

„Það er verið að vísa í sam­komu­lag sem á sér stað árið 2009, sem að Microsoft er gert skylt að opna stýri­kerfi sitt til að auka sam­keppni,“ seg­ir Theo­dór. Þetta er gert til að koma í veg fyr­ir ein­ok­un Microsoft, því þeir bjóði t.a.m. sjálf­ir upp á sams­kon­ar ör­ygg­is­lausn­ir og Crowd­Strike sem þá keyra með mik­il rétt­indi í þeirra stýri­kerfi.

Fyr­ir hon­um hljóm­ar þetta eins og að þeir séu að nota þetta sem ástæðu til að geta lokað stýri­kerfi sínu svo að önn­ur fyr­ir­tæki hafi ekki slík­an aðgang í stað þess að bæta við nauðsyn­legri virkni í þeirra stýri­kerfi svo að þeirra eig­in hug­búnaður þurfi ekki svona mik­il rétt­indi sem hon­um finnst eðli­legri nálg­un.

Hver er mun­ur­inn á not­enda- og stýrikjarna?

Til að skilja þetta bet­ur þurf­um við að vita mun­inn á not­enda­kjarna (userland) og stýrikjarna (ker­nel­l­and).

Við skul­um út­skýra þetta með því að bera sam­an við raf­magns­kerfi heim­il­is­ins.

Ímynd­um okk­ur að not­enda­kjarn­inn sé allt það sem þú ger­ir heima hjá þér, eins og að skipta um ljósa­per­ur eða setja upp snjall­ljósarofa til að bæta lýs­ingu heim­il­is­ins. Ef þú klúðrar ein­hverju þar, þá í versta falli virk­ar ekki sú pera eða rofi (það hug­búnaður). Þú hef­ur ennþá raf­magn ann­ars staðar á heim­il­inu og allt held­ur áfram að virka.

Stýrikjarn­inn er aft­ur á móti eins og raf­magnstafl­an heima hjá þér. Hún stjórn­ar öllu raf­magni sem fer um heim­ilið. Ef þú klúðrar ein­hverju þar, þá get­ur allt raf­magnið farið út, þurrk­ar­inn, elda­vél­in og allt heila klabbið hætta að virka. Þetta er því mik­il­væg­asti part­ur­inn og ef eitt­hvað fer úr­skeiðis þar, þá hryn­ur allt kerfið.

Microsoft get­ur gert það sama og Apple

Microsoft hef­ur verið skikkað með sam­komu­lagi sínu við ESB til að veita ör­ygg­is­veit­um aðgang að stýrikjarn­an­um líkt og þeir sjálf­ir nota í sín­um vör­um, en Theo­dór tel­ur að þeir gætu tak­markað aðgang­inn og boðið upp á sams­kon­ar virkni í not­enda­kjarna líkt og Apple hef­ur gert í gegn­um svo­kallaðar „kerfis­viðbæt­ur“ eða „system level extensi­ons“.

Theó­dór bend­ir á að Crowd­strike lausn­in keyr­ir á macOS stýri­kerfi án þess að hafa aðgang að stýrikjarn­an­um beint. Microsoft held­ur því fram að þeir geti ekki lokað fyr­ir aðgang að stýrikjarn­an­um líkt og Apple gerði árið 2020 til að bæta ör­yggi.

Enn frem­ur bend­ir hann á að Apple hafi búið til aðra leið fyr­ir ör­ygg­is­veit­ur til að selja sína þjón­ustu í not­enda­kjarna og að Microsoft gæti gert það sama en hef­ur kosið að gera það ekki.

Evr­ópu­sam­bandið hef­ur svarað þess­ari gagn­rýni Microsoft og af svar­inu að dæma finnst Theo­dóri mjög lík­legt að Evr­ópu­sam­bandið túlki þenn­an samn­ing þannig að Microsoft hefði vissu­lega getað gert breyt­ing­ar, sem ger­ir það að verk­um að þeir geti boðið upp á sams­kon­ar virkni fyr­ir ör­ygg­is­lausn­ir í gegn­um not­enda­kjarna.

Aðrar fréttir

Sjá allar fréttir

Is Your CTO Vibe-Coding?

Most of the conversation about AI and security runs in one direction: the barrier to entry for attackers is collapsing. A teenager with a chatbot can now scan, probe, and exploit at a level that used to require years of practice. That's a real problem, and it deserves the attention it gets.
Lesa meira

Scraping GitHub for Secrets in Icelandic Bug Bounty - Community Blog

The idea for this project came during bug bounty work on Icelandic companies. One of the first things I always do in recon is search for the target on GitHub and Gists, looking for leaked credentials, API keys, internal URLs, anything useful. But the reality is, interesting stuff almost never comes from just searching the company name.
Lesa meira

Multiple Landspitali Employee Domain Accounts at Risk of Compromise

This report details a critical security vulnerability discovered within Landspitalinn's systems through the Defend Iceland bounty program. A series of chained vulnerabilities and misconfigurations were identified, allowing attackers to compromise multiple employee credentials and register multi-factor authentication (MFA) to themselves.
Lesa meira

Public disclosure for a healthier cybersecurity culture

Landspitali is the leading hospital in Iceland and the largest workplace for employees in health care. It is funded by the Ministry of Welfare, supervised by the Directorate of Health and provides specialised and general care and has the capacity of approx. 700 beds. To say that it is an important organisation in Iceland is an understatement and almost every Icelander relies on their services in some way.
Lesa meira

How I found all corporate usernames in Iceland

One of my favorite methods to gain initial access to companies is finding valid credentials. If your target is just one employee, this might be near impossible. But what if you have hundreds, or even thousands of targets? What if the target victim is anyone in Iceland? Then gaining valid credentials goes from near impossible to near certain.
Lesa meira

When Retired Domains Come Back to Haunt: The Hidden Risk of Legacy Corporate Assets

Organizations evolve through mergers, acquisitions, and rebranding. Old domains get retired, but what happens when those domains can still receive password resets or act as the login email for third-party services for the previous owner? This post reveals an overlooked vulnerability we've seen through Defend Iceland's bug bounty platform: expired corporate domains that remain deeply embedded in third-party SaaS accounts. When these domains become available for registration, attackers can inherit access to SaaS accounts that still use the retired email domain for login or recovery. We'll show you exactly how this happens and why "just let it expire" is a dangerous domain retirement strategy.
Lesa meira

Þessi vefsíða notar vefkökur (e. cookies) til að bæta upplifun notenda af síðunni.