Les vulnérabilités de divulgation d'informations de code personnalisé de la plate-forme Power ont été atténuées par Microsoft, en tant que géant de la technologie basé à Redmond rapporte dans son dernier article de blog. Cette solution rapide arrive des semaines après Microsoft a été sévèrement critiqué par le PDG de Tenable, Amit Yoran, concernant les problèmes de sécurité. Yoran a déclaré dans son article de blog :

Le manque de transparence de Microsoft s'applique aux violations, aux pratiques de sécurité irresponsables et aux vulnérabilités, qui exposent tous leurs clients à des risques dont ils sont délibérément tenus dans l'ignorance.

Si vous n'êtes pas à jour, Tenable a découvert un problème de sécurité qui permettrait à un attaquant non authentifié d'accéder aux informations d'authentification, telles que les informations d'identification d'un compte bancaire, en mars, plus tôt cette année. La société a ensuite adressé ce problème à Microsoft, qui, selon Tenable, a mis plus de 90 jours pour mettre en œuvre un correctif partiel. Yoran a déclaré que le problème n'était toujours pas résolu et que les clients pourraient courir un risque sérieux.

Cela signifie qu'à ce jour, la banque que j'ai mentionnée ci-dessus est toujours vulnérable, plus de 120 jours depuis que nous avons signalé le problème, tout comme toutes les autres organisations qui avaient lancé le service avant le correctif. Et, à notre connaissance, ils n'ont toujours aucune idée qu'ils sont à risque et ne peuvent donc pas prendre de décision éclairée sur les contrôles compensatoires et autres mesures d'atténuation des risques.

Cependant, il semble que le problème ait finalement été résolu par Microsoft dans son intégralité.

Vulnérabilité de divulgation d'informations sur le code personnalisé de la plate-forme Power résolue

Un problème de sécurité concernant les connecteurs personnalisés Power Platform utilisant un code personnalisé pourrait entraîner un accès non autorisé aux fonctions de code personnalisé utilisées pour les connecteurs personnalisés Power Platform. Si des données sensibles telles que des coordonnées bancaires ou autres sont intégrées dans ce code personnalisé, ces informations pourraient être potentiellement à risque.

Cependant, il semble que l'enquête de Microsoft ait révélé que seul le chercheur en sécurité qui a signalé le problème en premier était au courant de cette vulnérabilité. Cela signifie que l'autre acteurs de la menace tels que Tempête-0558, n'étaient pas au courant du problème.

Alors que les clients concernés ont été informés par le chercheur en sécurité, Microsoft a résolu la vulnérabilité de divulgation d'informations de code personnalisé de la plate-forme d'alimentation dans son intégralité le 4 août 2023.

Microsoft a publié un correctif initial le 7 juin 2023 pour atténuer ce problème pour la majorité des clients. L'enquête sur le rapport ultérieur de Tenable du 10 juillet 2023 a révélé qu'un très petit sous-ensemble de code personnalisé dans un état de suppression logicielle était toujours impacté. Cet état de suppression logicielle existe pour permettre une récupération rapide en cas de suppression accidentelle de connecteurs personnalisés en tant que mécanisme de résilience. L'ingénierie Microsoft a pris des mesures pour garantir et valider une atténuation complète pour tous les clients potentiellement restants utilisant les fonctions de code personnalisé. Ces travaux ont été achevés le 2 août 2023.

Le géant de la technologie basé à Redmond encourage également tout le monde à venir à lui avec toutes les vulnérabilités de sécurité qu'il pourrait trouver, car la cybersécurité est une responsabilité partagée, selon Microsoft.

Microsoft apprécie également la recherche et la divulgation des vulnérabilités par la communauté de la sécurité. La recherche et l'atténuation responsables sont essentielles pour protéger nos clients et cela s'accompagne d'une responsabilité partagée d'être factuel, de comprendre les processus et de travailler ensemble. Tout écart par rapport à ce processus expose les clients et nos communautés à un risque de sécurité indu. Comme toujours, la priorité absolue de Microsoft est de protéger et d'être transparent avec nos clients et nous restons fidèles à notre mission.

Cette vulnérabilité de divulgation d'informations de code personnalisé de la plate-forme d'alimentation a été résolue pour tous les clients et aucune action de votre part n'est nécessaire. 

Que penses-tu de cela? Microsoft a-t-il raison ou non en matière de responsabilité partagée de la cybersécurité ? Faites-nous part de votre opinion dans la section des commentaires ci-dessous.