Sårbarheder i forbindelse med afsløring af brugerdefineret kode i Power-platformen blev mildnet af Microsoft, som den Redmond-baserede teknologigigant rapporterer i sit seneste blogindlæg. Denne hurtige løsning kommer uger efter Microsoft blev hårdt kritiseret af Tenables administrerende direktør, Amit Yoran, vedrørende sikkerhedsspørgsmål. Yoran sagde i sit blogindlæg:

Microsofts manglende gennemsigtighed gælder brud, uansvarlig sikkerhedspraksis og sårbarheder, som alle udsætter deres kunder for risici, som de bevidst holdes i mørke om.

Hvis du ikke er opdateret, opdagede Tenable et sikkerhedsproblem, der ville gøre det muligt for en uautoriseret hacker at få adgang til godkendelsesoplysninger, såsom legitimationsoplysninger til en bankkonto, tilbage i marts tidligere i år. Virksomheden rettede derefter dette problem til Microsoft, som efter Tenables konto tog mere end 90 dage at implementere en delvis løsning på det. Yoran sagde, at problemet stadig ikke var løst, og kunderne kunne være i alvorlig risiko.

Det betyder, at fra i dag er banken, jeg refererede ovenfor, stadig sårbar, mere end 120 dage siden vi rapporterede problemet, ligesom alle de andre organisationer, der havde lanceret tjenesten før rettelsen. Og så vidt vi ved, har de stadig ingen anelse om, at de er i fare, og kan derfor ikke træffe en informeret beslutning om kompenserende kontroller og andre risikobegrænsende handlinger.

Det ser dog ud til, at problemet endelig blev løst af Microsoft i sin helhed.

Sårbarhed ved afsløring af oplysninger om tilpasset kode i Power-platformen er løst

Et sikkerhedsproblem vedrørende Power Platform Custom Connectors, der bruger brugerdefineret kode, kan føre til uautoriseret adgang til Custom Code-funktioner, der bruges til Power Platforms brugerdefinerede stik. Hvis følsomme data såsom bankoplysninger eller lignende er indlejret i denne brugerdefinerede kode, kan oplysningerne være potentielt i fare.

Det ser dog ud til, at Microsofts undersøgelse afslørede, at kun den sikkerhedsforsker, der først rapporterede problemet, var klar over denne sårbarhed. Det betyder den anden trusselsaktører, Såsom Storm-0558, var ikke klar over problemet.

Mens de berørte kunder blev underrettet af sikkerhedsforskeren, løste Microsoft sårbarheden i kraftplatformens tilpassede kodeoplysninger i sin helhed den 4. august 2023.

Microsoft udstedte en indledende rettelse den 7. juni 2023 for at afhjælpe dette problem for et flertal af kunder. Undersøgelse af den efterfølgende rapport fra Tenable den 10. juli 2023 afslørede, at en meget lille delmængde af Custom Code i en blød slettet tilstand stadig var påvirket. Denne bløde slettede tilstand eksisterer for at muliggøre hurtig gendannelse i tilfælde af utilsigtet sletning af brugerdefinerede konnektorer som en elasticitetsmekanisme. Microsofts engineering tog skridt til at sikre og validere fuldstændig afhjælpning for potentielle tilbageværende kunder, der bruger Custom Code-funktioner. Dette arbejde blev afsluttet den 2. august 2023.

Den Redmond-baserede teknologigigant opfordrer også alle til at komme til dem med eventuelle sikkerhedssårbarheder, de måtte finde, da cybersikkerhed ifølge Microsoft er et fælles ansvar.

Microsoft værdsætter også sikkerhedssamfundets forskning og offentliggørelse af sårbarheder. Ansvarlig forskning og afhjælpning er afgørende for at beskytte vores kunder, og dette kommer med et fælles ansvar for at være faktuel, forstå processer og arbejde sammen. Enhver afvigelse fra denne proces sætter kunder og vores samfund i unødig sikkerhedsrisiko. Som altid er Microsofts topprioritet at beskytte og være gennemsigtige over for vores kunder, og vi forbliver standhaftige i vores mission.

Denne sårbarhed i forbindelse med afsløring af oplysninger med tilpasset kode i kraftplatformen er blevet løst for alle kunder og ingen handling fra dig er nødvendig. 

Hvad tænker du om det her? Har Microsoft ret, når det kommer til det fælles ansvar for cybersikkerhed eller ej? Fortæl os din mening i kommentarfeltet nedenfor.