В петък Microsoft разкри, че е отстранила критичен недостатък в сигурността на платформата Power Platform, но не и преди да бъде критикувана за това, че не е предприела бързи действия.
„Уязвимостта може да доведе до неоторизиран достъп до функциите на потребителския код, използвани за потребителските конектори на Power Platform“, заяви технологичният гигант. „Потенциалното въздействие може да бъде непреднамерено разкриване на информация, ако във функцията Custom Code са вградени тайни или друга чувствителна информация.“
Компанията отбеляза още, че не се изискват действия от страна на клиентите и че не е открила доказателства за активна експлоатация на уязвимостта в дивата природа.
Компанията Tenable, която първоначално откри и съобщи за недостатъка на Редмънд на 30 март 2023 г., заяви, че проблемът може да даде възможност за ограничен, неоторизиран достъп до кръстосани приложения и чувствителни данни.
Фирмата за киберсигурност заяви, че недостатъкът възниква в резултат на недостатъчен контрол на достъпа до хостовете на Azure Function, което води до сценарий, при който заплахата може да прихване клиентските идентификатори и тайни на OAuth, както и други форми на удостоверяване.
Твърди се, че Microsoft е издала първоначална поправка на 7 юни 2023 г., но едва на 2 август 2023 г. уязвимостта е била напълно запушена.
Месечното забавяне на закърпването на дефекта привлече вниманието на главния изпълнителен директор на Tenable Амит Йоран, който упрекна производителя на Windows, че е „крайно безотговорен, ако не и откровено небрежен“.
„Доставчиците на облачни услуги отдавна подкрепят модела на споделената отговорност“, заяви Йоран в публикация, споделена в LinkedIn. „Този модел е безвъзвратно нарушен, ако вашият доставчик на облачни услуги не ви уведомява за възникнали проблеми и не прилага открито корекциите.“
„Това, което чувате от Microsoft, е „просто ни се доверете“, но получавате обратно много малко прозрачност и култура на токсично замазване.“
В собственото си предупреждение технологичният гигант заяви, че следва обширен процес на проучване и внедряване на поправки и че „разработването на актуализация на сигурността е деликатен баланс между скоростта и безопасността на прилагане и качеството на поправката“.
„Не всички поправки са еднакви“, добави още тя. „Някои от тях могат да бъдат завършени и безопасно приложени много бързо, а други могат да отнемат повече време. За да предпазим клиентите си от експлоатиране на ембаргова уязвимост в сигурността, започваме също така да следим всяка докладвана уязвимост в сигурността за активна експлоатация и действаме бързо, ако видим активна експлоатация.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
