Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Jun 01, 2023
Microsoft criticada por cronograma de patch ‘irresponsável’
A maneira como a Microsoft lidou com um problema de segurança que poderia permitir acesso limitado e não autorizado a aplicativos entre locatários e dados confidenciais colocou a empresa sob escrutínio sobre como ela lida com a segurança
A maneira como a Microsoft lidou com um problema de segurança que poderia permitir acesso limitado e não autorizado a aplicativos entre locatários e dados confidenciais colocou a empresa sob escrutínio sobre como ela lida com as falhas de segurança em sua plataforma.
O problema decorre da plataforma Power da Microsoft, que é sua linha de aplicativos de software de business intelligence, desenvolvimento de aplicativos e conectividade de aplicativos. De acordo com pesquisadores da Tenable que encontraram o problema, os hosts do Azure Function, que são lançados como parte da operação de conectores personalizados da plataforma, não têm controle de acesso suficiente.
A Tenable entrou em contato com a Microsoft pela primeira vez sobre o problema em 30 de março. Vários meses depois, em 6 de julho, a Microsoft informou à Tenable que o problema foi corrigido; no entanto, a Tenable descobriu que a correção estava incompleta. Depois de muitas idas e vindas, a Microsoft informou à Tenable em 21 de julho que uma correção completa para o problema não seria lançada até 28 de setembro. Em 31 de julho, a Tenable lançou um comunicado limitado sobre o problema. Então, na quinta-feira, a Tenable atualizou seu comunicado com mais detalhes depois que a Microsoft corrigiu o problema em seus conectores recém-implantados, exigindo chaves de função do Azure para acessar os hosts de função e seu gatilho HTTP.
No entanto, Amit Yoran, presidente e CEO da Tenable, em uma postagem no LinkedIn esta semana, classificou o longo cronograma de divulgação como uma medida “irresponsável” da Microsoft.
“A Microsoft corrigiu rapidamente o problema que poderia efetivamente levar à violação das redes e serviços de vários clientes? Claro que não. Foram necessários mais de 90 dias para implementar uma correção parcial – e apenas para novos aplicativos carregados no serviço”, disse Yoran.
O problema é sério e permitiu que pesquisadores descobrissem os segredos de autenticação de um banco, disse Yoran. Um invasor que conseguisse determinar o nome do host de uma Função do Azure associada ao conector personalizado poderia interagir com essa função sem autenticação. Isso poderia permitir que eles determinassem outros nomes de host do Azure Function e, como muitos conectores personalizados parecem lidar com fluxos de autenticação entre o Power Platform da Microsoft e serviços de terceiros, existe a possibilidade de os invasores interceptarem certas formas de autenticação (como IDs de cliente OAuth e segredos ).
“Deve-se observar que esta não é exclusivamente uma questão de divulgação de informações, pois ser capaz de acessar e interagir com os hosts de funções inseguros e acionar comportamento definido pelo código do conector personalizado pode ter um impacto adicional”, de acordo com os pesquisadores da Tenable em seu relatório. assessoria atualizada. “No entanto, devido à natureza do serviço, o impacto variaria para cada conector individual e seria difícil de quantificar sem testes exaustivos.”
A Tenable disse na quinta-feira que não pode mais acessar hosts anteriormente afetados e encaminhou os clientes que desejam detalhes adicionais sobre a natureza das correções implantadas à Microsoft “para respostas confiáveis”. Enquanto isso, a Microsoft disse que o problema já foi totalmente resolvido para todos os clientes e nenhuma ação adicional do cliente é necessária.
“Agradecemos a colaboração com a comunidade de segurança para divulgar de forma responsável os problemas do produto”, de acordo com um porta-voz da Microsoft. “Seguimos um extenso processo que envolve uma investigação minuciosa, desenvolvimento de atualizações para todas as versões dos produtos afetados e testes de compatibilidade entre outros sistemas operacionais e aplicativos. Em última análise, o desenvolvimento de uma atualização de segurança é um equilíbrio delicado entre pontualidade e qualidade, ao mesmo tempo que garante proteção maximizada ao cliente com interrupção minimizada”.
Além desta questão específica, a Microsoft tem sido alvo de um escrutínio cada vez maior nas últimas semanas devido às suas práticas de segurança. Na esteira de um ataque cibernético que afetou várias agências federais dos EUA, onde os invasores aproveitaram tokens de autenticação forjados para acessar os e-mails das vítimas com uma chave de assinatura de consumidor de conta da Microsoft adquirida, o senador Ron Wyden (D-Ore) instou a CISA, a FTC e o DoJ a “responsabilizar a Microsoft por sua negligência.”