Kwetsbaarheden voor het vrijgeven van aangepaste code-informatie op het Power-platform werden verholpen door Microsoft, als de in Redmond gevestigde technologiegigant meldt in zijn nieuwste blogpost. Deze snelle oplossing komt weken later Microsoft kreeg harde kritiek van de CEO van Tenable, Amit Yoran, met betrekking tot beveiligingskwesties. Yoran zei in zijn blogpost:

Het gebrek aan transparantie van Microsoft is van toepassing op inbreuken, onverantwoordelijke beveiligingspraktijken en kwetsbaarheden, die hun klanten allemaal blootstellen aan risico's waarover ze opzettelijk in het ongewisse worden gehouden.

Als je niet up-to-date bent, ontdekte Tenable in maart, eerder dit jaar, een beveiligingsprobleem waardoor een niet-geverifieerde aanvaller toegang kon krijgen tot authenticatie-informatie, zoals inloggegevens voor een bankrekening. Het bedrijf heeft dit probleem vervolgens aan Microsoft voorgelegd, die volgens Tenable's account meer dan 90 dagen nodig had om een ​​gedeeltelijke oplossing voor het probleem te implementeren. Yoran zei dat het probleem nog steeds niet is opgelost en dat klanten een ernstig risico kunnen lopen.

Dat betekent dat vanaf vandaag de bank waarnaar ik hierboven heb verwezen nog steeds kwetsbaar is, meer dan 120 dagen nadat we het probleem hebben gemeld, net als alle andere organisaties die de service hadden gelanceerd voorafgaand aan de oplossing. En voor zover wij weten, hebben ze nog steeds geen idee dat ze risico lopen en kunnen ze daarom geen weloverwogen beslissing nemen over compenserende controles en andere risicobeperkende maatregelen.

Het lijkt er echter op dat het probleem uiteindelijk volledig door Microsoft is aangepakt.

Beveiligingslek met betrekking tot openbaarmaking van aangepaste code van Power Platform opgelost

Een beveiligingsprobleem met betrekking tot aangepaste Power Platform-connectoren die aangepaste code gebruiken, kan leiden tot ongeautoriseerde toegang tot aangepaste codefuncties die worden gebruikt voor aangepaste Power Platform-connectoren. Als gevoelige gegevens, zoals bankgegevens of dergelijke, in dit douanewetboek zijn opgenomen, kan de informatie mogelijk gevaar lopen.

Het lijkt er echter op dat uit het onderzoek van Microsoft is gebleken dat alleen de beveiligingsonderzoeker die het probleem voor het eerst heeft gemeld, op de hoogte was van dit beveiligingslek. Dit betekent de ander bedreigingsactoren, zoals Storm-0558, waren niet op de hoogte van het probleem.

Terwijl de getroffen klanten op de hoogte werden gebracht door de beveiligingsonderzoeker, loste Microsoft op 4 augustus 2023 de kwetsbaarheid voor het vrijgeven van aangepaste code-informatie van het Power Platform volledig op.

Microsoft heeft op 7 juni 2023 een eerste oplossing uitgebracht om dit probleem voor de meeste klanten te verhelpen. Onderzoek naar het daaropvolgende rapport van Tenable op 10 juli 2023 onthulde dat er nog steeds sprake was van een zeer kleine subset van Custom Code in een voorlopig verwijderde status. Deze voorlopig verwijderde status bestaat om snel herstel mogelijk te maken in geval van onbedoelde verwijdering van aangepaste connectors als veerkrachtmechanisme. De engineering van Microsoft heeft stappen ondernomen om volledige risicobeperking te garanderen en te valideren voor mogelijk overgebleven klanten die Custom Code-functies gebruiken. Deze werkzaamheden zijn afgerond op 2 augustus 2023.

De in Redmond gevestigde technologiegigant moedigt ook iedereen aan om naar hen toe te komen met eventuele beveiligingsproblemen die ze tegenkomen, aangezien cyberbeveiliging volgens Microsoft een gedeelde verantwoordelijkheid is.

Microsoft waardeert ook het onderzoek en de openbaarmaking van kwetsbaarheden door de beveiligingsgemeenschap. Verantwoord onderzoek en mitigatie zijn van cruciaal belang voor het beschermen van onze klanten en dit gaat gepaard met een gedeelde verantwoordelijkheid om feitelijk te zijn, processen te begrijpen en samen te werken. Elke afwijking van dit proces brengt klanten en onze gemeenschappen met een onnodig veiligheidsrisico. Zoals altijd is de topprioriteit van Microsoft om onze klanten te beschermen en transparant te zijn en we blijven standvastig in onze missie.

Dit beveiligingslek met betrekking tot het vrijgeven van informatie over aangepaste codes op het Power Platform is opgelost voor alle klanten en er is geen actie van uw kant nodig. 

Wat vind je hiervan? Heeft Microsoft gelijk als het gaat om de gedeelde verantwoordelijkheid van cybersecurity of niet? Laat ons uw mening weten in de opmerkingen hieronder.