Търсене
Close this search box.

Във вторник Microsoft информира клиентите си, че уязвимостите, засягащи облачни услуги, услуги с изкуствен интелект и други услуги, са поправени, включително недостатък, който е бил използван при атаки.

Технологичният гигант е поправил уязвимости в Azure, Copilot Studio и уебсайта на партньорската си мрежа – по една дупка в сигурността във всяка от тях – но клиентите не трябва да предприемат никакви действия. Идентификаторите на CVE и препоръките са публикувани само с цел прозрачност.

Microsoft публикува отделни съвети за всяка уязвимост. Всички те са описани като проблеми, свързани с ескалация на привилегиите, които имат максимална оценка на сериозността „критична“, но въз основа на тяхната CVSS оценка две от тях имат оценка „висока сериозност“ и само една е действително „критична“.

В своя уебсайт на партньорската мрежа, по-конкретно в домейна „partner.microsoft.com“, Microsoft адресира CVE-2024-49035 – уязвимост с висока степен на сериозност, свързана с неправилен контрол на достъпа, която позволява на неавтентифициран нападател да повиши привилегиите си в мрежата.

Уязвимостта е отбелязана като „експлоатирана“ и Microsoft потвърди, че наистина е открита експлоатация, но не сподели допълнителна информация.

„Този CVE адресира уязвимост само в онлайн версията на Microsoft Power Apps. Като такава, клиентите не трябва да предприемат никакви действия, тъй като версиите се разпространяват автоматично в продължение на няколко дни“, отбелязват от Microsoft в своята консултация.

Двама служители на Microsoft и един анонимен изследовател имат заслуга за откриването на уязвимостта.

Не изглежда да има публични доклади, описващи експлоатацията на дефекта, а някои членове на индустрията смятат, че проблемът може да е бил маркиран като експлоатиран по погрешка, особено след като в консултацията първоначално оценката на експлоатируемостта е била „Exploitation Detected“ (открита експлоатация), но стойността на полето „Exploited“ (експлоатиран) е била „No“ (не). Microsoft коригира стойността на „Exploited“ на „Yes“ в консултацията.

Домейнът partner.microsoft.com е посочен като необхванат в програмите на Microsoft за възнаграждение за грешки.

Проблемът с критична сериозност, разгледан тази седмица, е CVE-2024-49038 – уязвимост при скриптиране на кръстосани сайтове (XSS) в Copilot Studio, продукт, който използва генеративен AI, за да даде възможност на клиентите да персонализират или създават копилоти.

„Неправилното неутрализиране на входни данни по време на генерирането на уебстраници (Cross-site Scripting) в Copilot Studio от неоторизиран атакуващ води до повишаване на привилегиите в мрежата“, казва Microsoft в своята консултация.

Уязвимостта в Azure е CVE-2024-49052. Това е проблем с липсващо удостоверяване, засягащ критична функция в Azure PolicyWatch, който позволява на нападател да повиши привилегиите си по мрежата.

Microsoft също така обяви, че поправя XSS уязвимост в Dynamics 365 Sales, решение за управление на търговци. Дупката в сигурността позволява на нападателя да изпълни зловреден скрипт в браузъра на жертвата, като я накара да кликне върху специално създадена връзка.

Засегнати са приложенията за iOS и Android, но уязвимостта е в уеб сървъра. Може да се наложи потребителите да актуализират своите приложения, тъй като Microsoft не е посочила изрично в своята консултация, че не се изисква взаимодействие с потребителя.

По-рано тази година Microsoft обяви, че е решила да присвоява CVE идентификатори дори на уязвимости в облачни услуги, които не изискват никакви действия от страна на потребителите, с цел прозрачност. Въпреки това потребителите могат да филтрират тези видове уязвимости, в случай че не искат да губят време или енергия за тях.

Google Cloud също обяви наскоро, че е решила да присвоява CVE идентификатори на критични уязвимости, открити в нейните продукти, дори ако те не изискват от потребителя да внедрява кръпки или да предприема други действия.

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
11/12/2024

Atlassian и Splunk кърпят ...

Във вторник Atlassian и Splunk обявиха...
11/12/2024

SAP обяви пускането на 13 ...

Производителят на корпоративен софтуер SAP обяви...
10/12/2024

Пач вторник: Редмънд закърп...

Софтуерният гигант Microsoft разпространи във вторник...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!