Las vulnerabilidades de divulgación de información de código personalizado de la plataforma de energía fueron mitigadas por Microsoft, como el gigante tecnológico con sede en Redmond informa en su última entrada de blog. Esta solución rápida llega semanas después Microsoft fue duramente criticado por el CEO de Tenable, Amit Yoran, en temas de seguridad. Yoran dijo en su blog:

La falta de transparencia de Microsoft se aplica a las infracciones, las prácticas de seguridad irresponsables y las vulnerabilidades, todo lo cual expone a sus clientes a riesgos sobre los que se mantienen deliberadamente en la oscuridad.

Si no está actualizado, Tenable descubrió un problema de seguridad que permitiría a un atacante no autenticado acceder a la información de autenticación, como las credenciales de una cuenta bancaria, en marzo, a principios de este año. Luego, la compañía abordó este problema a Microsoft, quien, según la cuenta de Tenable, tardó más de 90 días en implementar una solución parcial. Yoran dijo que el problema aún no se resolvió y que los clientes podrían correr un grave riesgo.

Eso significa que a partir de hoy, el banco al que me referí anteriormente sigue siendo vulnerable, más de 120 días desde que informamos el problema, al igual que todas las demás organizaciones que habían lanzado el servicio antes de la corrección. Y, hasta donde sabemos, todavía no tienen idea de que están en riesgo y, por lo tanto, no pueden tomar una decisión informada sobre los controles de compensación y otras acciones de mitigación de riesgos.

Sin embargo, parece que Microsoft finalmente abordó el problema en su totalidad.

Se resolvió la vulnerabilidad de divulgación de información del código personalizado de la plataforma de energía

Un problema de seguridad relacionado con los conectores personalizados de Power Platform que utilizan un código personalizado podría dar lugar a un acceso no autorizado a las funciones de código personalizado utilizadas para los conectores personalizados de Power Platform. Si los datos confidenciales, como los datos bancarios o similares, están integrados en este Código personalizado, entonces la información podría estar potencialmente en riesgo.

Sin embargo, parece que la investigación de Microsoft reveló que solo el investigador de seguridad que informó el problema por primera vez estaba al tanto de esta vulnerabilidad. Esto significa que el otro actores de amenaza, Tales como Tormenta-0558, no estaban al tanto del problema.

Si bien el investigador de seguridad notificó a los clientes afectados, Microsoft resolvió la vulnerabilidad de divulgación de información del código personalizado de la plataforma de energía en su totalidad el 4 de agosto de 2023.

Microsoft emitió una solución inicial el 7 de junio de 2023 para mitigar este problema para la mayoría de los clientes. La investigación del informe posterior de Tenable del 10 de julio de 2023 reveló que un subconjunto muy pequeño de código personalizado en un estado de eliminación temporal aún se vio afectado. Este estado de eliminación temporal existe para permitir una recuperación rápida en caso de eliminación accidental de conectores personalizados como mecanismo de resistencia. El departamento de ingeniería de Microsoft tomó medidas para garantizar y validar la mitigación completa para cualquier posible cliente restante que utilice las funciones de código personalizado. Este trabajo se completó el 2 de agosto de 2023.

El gigante tecnológico con sede en Redmond también está alentando a todos a acudir a ellos con cualquier vulnerabilidad de seguridad que puedan encontrar, ya que la ciberseguridad es una responsabilidad compartida, según Microsoft.

Microsoft también aprecia la investigación y divulgación de vulnerabilidades por parte de la comunidad de seguridad. La investigación y la mitigación responsables son fundamentales para proteger a nuestros clientes y esto conlleva una responsabilidad compartida de ser objetivos, comprender los procesos y trabajar juntos. Cualquier desviación de este proceso pone a los clientes y a nuestras comunidades en un riesgo de seguridad indebido. Como siempre, la máxima prioridad de Microsoft es proteger y ser transparentes con nuestros clientes y nos mantenemos firmes en nuestra misión.

Esta vulnerabilidad de divulgación de información de código personalizado de Power Platform se ha resuelto para todos los clientes y no se necesita ninguna acción de su parte. 

¿Qué piensas sobre esto? ¿Microsoft tiene razón cuando se trata de la responsabilidad compartida de la ciberseguridad o no? Háganos saber su opinión en la sección de comentarios a continuación.