Uma vulnerabilidade crítica da Microsoft Power Platform expôs os dados de autenticação das organizações e outros segredos, mas a gigante da tecnologia foi acusada de lidar mal com isso.

games em oferta

Em março, pesquisadores da empresa de gerenciamento de vulnerabilidades Tenable descobriram uma vulnerabilidade crítica na Power Platform da Microsoft. A plataforma, que pode ser conectada ao Microsoft 365, Azure e outros aplicativos, permite que as organizações analisem dados, criem aplicativos e automatizem processos.

A falha de segurança foi causada por “controle de acesso insuficiente aos hosts de funções do Azure, que são lançados como parte da criação e operação de conectores personalizados na Power Platform da Microsoft”.

“Era possível para um invasor que determinasse o nome de host da função Azure associada ao conector personalizado interagir com o código subjacente sem autenticação. Com um desses nomes de host, um invasor poderia determinar os nomes de host para funções Azure associadas aos conectores personalizados de outros clientes , pois diferiam apenas por um número inteiro”, explicou a Tenable em um comunicado.

A exploração da vulnerabilidade poderia permitir que um invasor acessasse aplicativos entre locatários e obtivesse segredos de autenticação e outros dados confidenciais.

Os pesquisadores da Tenable também alertaram que isso não era apenas um problema de divulgação de informações, “já que ser capaz de acessar e interagir com os hosts de função não seguros e o código do conector personalizado poderia ter um impacto ainda maior”.

A falha foi relatada à Microsoft no final de março, mas levou vários meses para a gigante da tecnologia lançar uma correção parcial, o que levou o veterano da indústria e CEO da Tenable, Amit Yoran, a criticar a empresa pela forma como lidou com a questão.

“Para se ter uma ideia de como isso é ruim, nossa equipe descobriu muito rapidamente os segredos de autenticação de um banco”, disse Yoran.

A Tenable publicou um consultivo com informações limitadas sobre a falha em 31 de julho porque a Microsoft tratou do problema apenas para novos aplicativos e prometeu lançar uma correção completa apenas até o final de setembro.

Então, logo depois que Yoran reclamou sobre o manuseio da vulnerabilidade pela gigante da tecnologia, a Microsoft implementou uma correção para os hosts afetados anteriormente e a Tenable atualizou seu comunicado para incluir informações técnicas e código de prova de conceito (PoC).

Yoran não é o único que criticou a Microsoft nos últimos dias por lidar com questões de segurança. A gigante da tecnologia também enfrentou acusações de alguns membros da comunidade de segurança cibernética.

:

games em oferta