パワー プラットフォームのカスタム コードの情報漏えいの脆弱性は、レドモンドを拠点とするテクノロジー大手である Microsoft によって軽減されました。 最新のブログ投稿で報告しています。 この迅速なソリューションは数週間後に登場します MicrosoftはTenableのCEO、アミット・ヨーラン氏から厳しく批判された、セキュリティの問題に関して。 ヨラン氏はブログ投稿で次のように述べた。

Microsoft の透明性の欠如は、侵害、無責任なセキュリティ慣行、および脆弱性に当​​てはまり、これらすべてが顧客を意図的に秘密にされているリスクにさらしています。

最新情報をご存じでない方のために説明すると、Tenable は今年初めの 90 月に、認証されていない攻撃者が銀行口座の資格情報などの認証情報にアクセスできる可能性があるセキュリティ問題を発見しました。 その後、同社はこの問題を Microsoft に報告したが、Tenable の説明によると、部分的な修正を実装するまでに XNUMX 日以上かかったという。 ヨラン氏は、この問題はまだ解決されておらず、顧客が深刻な危険にさらされる可能性があると述べた。

つまり、修正前にサービスを開始していた他のすべての組織と同様に、問題を報告してから 120 日以上が経過した今日の時点で、上で参照した銀行はまだ脆弱性を抱えています。 そして、私たちが知る限り、彼らは自分たちがリスクにさらされているという認識をまだ持っていないため、補償制御やその他のリスク軽減措置について十分な情報に基づいた決定を下すことができません。

しかし、この問題は最終的に Microsoft によって全面的に対処されたようです。

Power Platform のカスタム コードの情報漏えいの脆弱性が解決されました

カスタム コードを使用する Power Platform カスタム コネクタに関するセキュリティの問題により、Power Platform カスタム コネクタに使用されるカスタム コード機能への不正アクセスが発生する可能性があります。 銀行口座の詳細などの機密データがこのカスタム コードに埋め込まれている場合、その情報は潜在的に危険にさらされる可能性があります。

ただし、Microsoft の調査により、この問題を最初に報告したセキュリティ研究者のみがこの脆弱性を認識していたことが判明したようです。 これはもう一方を意味します 脅威アクター、 といった ストーム-0558、この問題を認識していませんでした。

影響を受ける顧客にはセキュリティ研究者から通知がありましたが、マイクロソフトは 4 年 2023 月 XNUMX 日にパワー プラットフォームのカスタム コードの情報漏えいの脆弱性を完全に解決しました。

Microsoft は、大多数のお客様に対してこの問題を軽減するための初期修正を 7 年 2023 月 10 日に発行しました。 2023 年 2 月 2023 日の Tenable からのその後のレポートの調査により、論理的に削除された状態にあるカスタム コードのごく少数のサブセットが依然として影響を受けていることが判明しました。 この論理的に削除された状態は、復元メカニズムとしてカスタム コネクタを誤って削除した場合に迅速に回復できるようにするために存在します。 Microsoft エンジニアリングは、カスタム コード機能を使用して残りの可能性がある顧客に対して完全な軽減策を確保し、検証するための措置を講じました。 この作業は XNUMX 年 XNUMX 月 XNUMX 日に完了しました。

Microsoftによると、レドモンドに本拠を置くテクノロジー大手は、サイバーセキュリティは共同の責任であるため、セキュリティ上の脆弱性を発見した場合は全員に相談するよう奨励しているという。

Microsoft は、セキュリティ コミュニティによる脆弱性の調査と公開にも感謝しています。 責任ある調査と緩和は顧客を守るために不可欠であり、これには事実を伝え、プロセスを理解し、協力するという共通の責任が伴います。 このプロセスから逸脱すると、お客様とコミュニティが過度のセキュリティ リスクにさらされることになります。 いつものように、Microsoft の最優先事項はお客様を保護し、透明性を保つことであり、その使命を堅持し続けます。

このパワー プラットフォームのカスタム コードの情報漏えいの脆弱性は、すべての顧客に対して解決されており、 あなたからのアクションは必要ありません。 

あなたはこのことについてどう思いますか？ サイバーセキュリティに対する共同責任に関してマイクロソフトは正しいのでしょうか? 以下のコメントセクションであなたの意見をお聞かせください。