Uma vulnerabilidade crítica da Microsoft Power Platform expôs os dados de autenticação das organizações e outros segredos, mas a gigante da tecnologia foi acusada de lidar mal com isso.
Em março, pesquisadores da empresa de gerenciamento de vulnerabilidades Tenable descobriram uma vulnerabilidade crítica na Power Platform da Microsoft. A plataforma, que pode ser conectada ao Microsoft 365, Azure e outros aplicativos, permite que as organizações analisem dados, criem aplicativos e automatizem processos.
A falha de segurança foi causada por “controle de acesso insuficiente aos hosts de funções do Azure, que são lançados como parte da criação e operação de conectores personalizados na Power Platform da Microsoft”.
“Era possível para um invasor que determinasse o nome de host da função Azure associada ao conector personalizado interagir com o código subjacente sem autenticação. Com um desses nomes de host, um invasor poderia determinar os nomes de host para funções Azure associadas aos conectores personalizados de outros clientes , pois diferiam apenas por um número inteiro”, explicou a Tenable em um comunicado.
A exploração da vulnerabilidade poderia permitir que um invasor acessasse aplicativos entre locatários e obtivesse segredos de autenticação e outros dados confidenciais.
Os pesquisadores da Tenable também alertaram que isso não era apenas um problema de divulgação de informações, “já que ser capaz de acessar e interagir com os hosts de função não seguros e o código do conector personalizado poderia ter um impacto ainda maior”.
A falha foi relatada à Microsoft no final de março, mas levou vários meses para a gigante da tecnologia lançar uma correção parcial, o que levou o veterano da indústria e CEO da Tenable, Amit Yoran, a criticar a empresa pela forma como lidou com a questão.
“Para se ter uma ideia de como isso é ruim, nossa equipe descobriu muito rapidamente os segredos de autenticação de um banco”, disse Yoran.
A Tenable publicou um consultivo com informações limitadas sobre a falha em 31 de julho porque a Microsoft tratou do problema apenas para novos aplicativos e prometeu lançar uma correção completa apenas até o final de setembro.
Então, logo depois que Yoran reclamou sobre o manuseio da vulnerabilidade pela gigante da tecnologia, a Microsoft implementou uma correção para os hosts afetados anteriormente e a Tenable atualizou seu comunicado para incluir informações técnicas e código de prova de conceito (PoC).
Yoran não é o único que criticou a Microsoft nos últimos dias por lidar com questões de segurança. A gigante da tecnologia também enfrentou acusações de alguns membros da comunidade de segurança cibernética.
: