Chyby zabezpečení zpřístupnění informací o vlastním kódu platformy Power byly zmírněny společností Microsoft jako technologickým gigantem se sídlem v Redmondu. informuje ve svém nejnovějším příspěvku na blogu. Toto rychlé řešení přichází týdny poté Microsoft byl ostře kritizován generálním ředitelem společnosti Tenable Amitem Yoranem, ohledně bezpečnostních otázek. Yoran ve svém příspěvku na blogu řekl:

Nedostatek transparentnosti společnosti Microsoft se týká porušení, nezodpovědných bezpečnostních postupů a zranitelností, které všechny vystavují jejich zákazníky rizikům, o kterých jsou záměrně drženi v nevědomosti.

Pokud nejste aktuální, Tenable objevil bezpečnostní problém, který by neověřenému útočníkovi umožnil přístup k ověřovacím informacím, jako jsou přihlašovací údaje k bankovnímu účtu, již v březnu, začátkem tohoto roku. Společnost poté tento problém adresovala Microsoftu, kterému podle účtu Tenable trvalo více než 90 dní, než implementoval částečnou opravu. Yoran řekl, že problém stále není vyřešen a zákazníci mohou být vážně ohroženi.

To znamená, že k dnešnímu dni je banka, kterou jsem zmiňoval výše, stále zranitelná, více než 120 dní od nahlášení problému, stejně jako všechny ostatní organizace, které spustily službu před opravou. A podle našich nejlepších znalostí stále netuší, že jsou ohroženi, a proto nemohou učinit informované rozhodnutí o kompenzačních kontrolách a dalších opatřeních ke zmírnění rizika.

Zdá se však, že problém nakonec v celém rozsahu řešil Microsoft.

Chyba zabezpečení zpřístupnění informací vlastního kódu platformy Power byla vyřešena

Problém se zabezpečením týkající se vlastních konektorů Power Platform pomocí vlastního kódu by mohl vést k neoprávněnému přístupu k funkcím vlastního kódu používaným pro vlastní konektory Power Platform. Pokud jsou v tomto celním kodexu obsažena citlivá data, jako jsou bankovní údaje apod., mohou být tyto informace potenciálně ohroženy.

Zdá se však, že vyšetřování společnosti Microsoft odhalilo, že o této zranitelnosti věděl pouze bezpečnostní výzkumník, který problém nahlásil jako první. To znamená to druhé aktéři hrozby, Jako Bouře-0558, o problému nevěděli.

Zatímco dotčení zákazníci byli upozorněni bezpečnostním výzkumníkem, Microsoft vyřešil 4. srpna 2023 zranitelnost zpřístupnění informací o vlastním kódu napájecí platformy v celém rozsahu.

Společnost Microsoft vydala 7. června 2023 počáteční opravu, aby tento problém u většiny zákazníků zmírnila. Vyšetřování následné zprávy společnosti Tenable ze dne 10. července 2023 odhalilo, že velmi malá podmnožina celního kódu ve stavu „soft delete“ byla stále ovlivněna. Tento stav měkkého odstranění existuje, aby umožnil rychlou obnovu v případě náhodného odstranění vlastních konektorů jako mechanismus odolnosti. Technici společnosti Microsoft podnikli kroky k zajištění a ověření úplného zmírnění dopadů pro všechny potenciálně zbývající zákazníky pomocí funkcí vlastního kódu. Tato práce byla dokončena 2. srpna 2023.

Technologický gigant se sídlem v Redmondu také povzbuzuje každého, aby za ním přišel s případnými bezpečnostními chybami, které by mohl najít, protože podle Microsoftu je kybernetická bezpečnost sdílená odpovědnost.

Microsoft také oceňuje výzkum a odhalení zranitelností bezpečnostní komunity. Odpovědný výzkum a zmírňování jsou zásadní pro ochranu našich zákazníků a to přichází se sdílenou odpovědností být věcný, rozumět procesům a spolupracovat. Jakákoli odchylka od tohoto procesu vystavuje zákazníky a naše komunity nepřiměřenému bezpečnostnímu riziku. Jako vždy je nejvyšší prioritou společnosti Microsoft chránit naše zákazníky a být vůči nim transparentní a v našem poslání zůstáváme neochvějní.

Tato chyba zabezpečení zpřístupnění informací o vlastním kódu platformy napájení byla vyřešena pro všechny zákazníky a není potřeba žádná vaše akce. 

Co si o tom myslíš? Má Microsoft pravdu, pokud jde o sdílenou odpovědnost za kybernetickou bezpečnost, nebo ne? Dejte nám vědět svůj názor v sekci komentářů níže.