In nur sechs Monaten, von August 2021 bis Januar 2022, wurden acht kritische Schwachstellen bei großen Cloud-Anbietern entdeckt – davon sechs allein bei Azure und zwei bei AWS. Das ergibt zumindest die Auswertung des Security-Forschers Scott Piper, der eine umfassende Liste solcher Lücken pflegt. Da Schwachstellen in Infrastrukturen in der Regel keine CVE-Nummern erhalten und somit von den Herstellern oder den Entdeckerinnen und Entdeckern mit CVSS-Scores für die Kritikalität ausgewiesen werden, musste Piper die Einstufung dafür selbst vornehmen.
Zwar hatte “die Cloud” noch nicht ihren SolarWinds-Moment wie die Supply-Chain-Security im Dezember 2020, als über die Backdoor Solorigate/Sunburst in der Management-Software SolarWinds Orion sehr viele Firmen weltweit auf einmal akut betroffen waren. Doch zeigt die Aufstellung, dass es bereits diverse near misses gab, in denen großer Schaden hätte angerichtet werden können, wären Angreifer schneller als die Researcher gewesen.
Dass Microsofts Cloud-Dienst so stark überproportional betroffen ist, dürfte eher daran liegen, dass sich der Fokus der Sicherheitsforschung insbesondere auch auf Azure ausgeweitet hat, da sich die Plattform gerade im Business-Umfeld einen gewissen Marktanteil hat sichern können: Allein zwischen 2019 und 2021 legte Azure von 16,5 % auf 20,8 % zu, während Marktführer AWS bei rund 35 % verharrte.
https://www.protocol.com/enterprise/microsoft-azure-vulnerabilities-cloud-security