Във вторник Microsoft информира клиентите си, че уязвимостите, засягащи облачни услуги, услуги с изкуствен интелект и други услуги, са поправени, включително недостатък, който е бил използван при атаки.
Технологичният гигант е поправил уязвимости в Azure, Copilot Studio и уебсайта на партньорската си мрежа – по една дупка в сигурността във всяка от тях – но клиентите не трябва да предприемат никакви действия. Идентификаторите на CVE и препоръките са публикувани само с цел прозрачност.
Microsoft публикува отделни съвети за всяка уязвимост. Всички те са описани като проблеми, свързани с ескалация на привилегиите, които имат максимална оценка на сериозността „критична“, но въз основа на тяхната CVSS оценка две от тях имат оценка „висока сериозност“ и само една е действително „критична“.
В своя уебсайт на партньорската мрежа, по-конкретно в домейна „partner.microsoft.com“, Microsoft адресира CVE-2024-49035 – уязвимост с висока степен на сериозност, свързана с неправилен контрол на достъпа, която позволява на неавтентифициран нападател да повиши привилегиите си в мрежата.
Уязвимостта е отбелязана като „експлоатирана“ и Microsoft потвърди, че наистина е открита експлоатация, но не сподели допълнителна информация.
„Този CVE адресира уязвимост само в онлайн версията на Microsoft Power Apps. Като такава, клиентите не трябва да предприемат никакви действия, тъй като версиите се разпространяват автоматично в продължение на няколко дни“, отбелязват от Microsoft в своята консултация.
Двама служители на Microsoft и един анонимен изследовател имат заслуга за откриването на уязвимостта.
Не изглежда да има публични доклади, описващи експлоатацията на дефекта, а някои членове на индустрията смятат, че проблемът може да е бил маркиран като експлоатиран по погрешка, особено след като в консултацията първоначално оценката на експлоатируемостта е била „Exploitation Detected“ (открита експлоатация), но стойността на полето „Exploited“ (експлоатиран) е била „No“ (не). Microsoft коригира стойността на „Exploited“ на „Yes“ в консултацията.
Домейнът partner.microsoft.com е посочен като необхванат в програмите на Microsoft за възнаграждение за грешки.
Проблемът с критична сериозност, разгледан тази седмица, е CVE-2024-49038 – уязвимост при скриптиране на кръстосани сайтове (XSS) в Copilot Studio, продукт, който използва генеративен AI, за да даде възможност на клиентите да персонализират или създават копилоти.
„Неправилното неутрализиране на входни данни по време на генерирането на уебстраници (Cross-site Scripting) в Copilot Studio от неоторизиран атакуващ води до повишаване на привилегиите в мрежата“, казва Microsoft в своята консултация.
Уязвимостта в Azure е CVE-2024-49052. Това е проблем с липсващо удостоверяване, засягащ критична функция в Azure PolicyWatch, който позволява на нападател да повиши привилегиите си по мрежата.
Microsoft също така обяви, че поправя XSS уязвимост в Dynamics 365 Sales, решение за управление на търговци. Дупката в сигурността позволява на нападателя да изпълни зловреден скрипт в браузъра на жертвата, като я накара да кликне върху специално създадена връзка.
Засегнати са приложенията за iOS и Android, но уязвимостта е в уеб сървъра. Може да се наложи потребителите да актуализират своите приложения, тъй като Microsoft не е посочила изрично в своята консултация, че не се изисква взаимодействие с потребителя.
По-рано тази година Microsoft обяви, че е решила да присвоява CVE идентификатори дори на уязвимости в облачни услуги, които не изискват никакви действия от страна на потребителите, с цел прозрачност. Въпреки това потребителите могат да филтрират тези видове уязвимости, в случай че не искат да губят време или енергия за тях.
Google Cloud също обяви наскоро, че е решила да присвоява CVE идентификатори на критични уязвимости, открити в нейните продукти, дори ако те не изискват от потребителя да внедрява кръпки или да предприема други действия.
