Новости Microsoft исправила ошибку после того, как генеральный директор Tenable назвал компанию безответственной

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
как Microsoft боролась с киберугрозой?


hyn4dkbj30reyj5oiuz7wq5fx8oh4m4n.jpg


Microsoft исправила уязвимость в системе пользовательских коннекторов Power Platform, которая позволяла злоумышленникам, не прошедшим проверку подлинности, получать доступ к межклиентским приложениям и конфиденциальным данным клиентов Azure после того, как генеральный директор Tenable назвал их «крайне безответственными».

Основная причина проблемы связана с неадекватными мерами контроля доступа к узлам функций Azure, запущенным соединителями в Power Platform. Эти соединители используют пользовательский код C#, интегрированный в функцию Azure, управляемую корпорацией Майкрософт, с триггером HTTP.

Хотя взаимодействие клиентов с настраиваемыми соединителями обычно происходит через API с проверкой подлинности, конечные точки API упрощают запросы к функции Azure без обязательной проверки подлинности.

В результате злоумышленники имеют возможность использовать незащищенные узлы функций Azure и перехватывать идентификаторы и секреты клиентов OAuth.

Уязвимость обнаружена компанией Tenable, но исправление заняло более чем пять месяцев, вызвав резкую критику со стороны экспертов по безопасности.

«Чтобы дать вам представление о том, насколько это плохо, наша команда очень быстро обнаружила секреты аутентификации в банке. Они были настолько обеспокоены серьезностью и этичностью проблемы, что мы немедленно уведомили Microsoft», — добавил генеральный директор Tenable Амит Для просмотра ссылки Войди или Зарегистрируйся .

Tenable также поделилась доказательством кода концептуального эксплойта и информацией о шагах, необходимых для поиска уязвимых имен хостов соединителя, и о том, как создавать POST запросы для взаимодействия с незащищенными конечными точками API. Первоначальный патч, выпущенный 7 июня, был признан Tenable неполным. Окончательное решение проблемы для всех клиентов было принято 2 августа.

"Уязвимость полностью исправлена, и клиентам не требуется предпринимать действий по устранению недостатков", - Для просмотра ссылки Войди или Зарегистрируйся Microsoft в пятницу.

Все затронутые клиенты были уведомлены через Microsoft 365 Admin Center начиная с 4 августа.

Тем не менее, Tenable считает, что исправление применяется только к недавно развернутым Power Apps и Power Automation custom connectors.

"Microsoft исправила проблему для вновь развернутых коннекторов, потребовав ключи Azure Function для доступа к хостам Function и их HTTP-триггеру", - говорится в заявлении Tenable.

В ответ на затянувшийся процесс исправления уязвимости CEO Tenable осудил подход Microsoft, назвав его "крайне безответственным" и "вопиюще халатным".

Этот случай добавил вопросов к своевременности реакции Microsoft на проблемы безопасности в своих продуктах, превысив ожидаемый срок в 90 дней для устранения уязвимостей безопасности, который обычно соблюдается большинством поставщиков.

"На сегодняшний день банк, о котором я упоминал выше, по-прежнему уязвим, более чем 120 дней с момента сообщения о проблеме, как и все другие организации, которые запустили сервис до исправления", - подчеркнул генеральный директор Tenable.
 
Источник новости
www.securitylab.ru

Похожие темы