Luki w zabezpieczeniach platformy Power umożliwiające ujawnienie informacji o niestandardowym kodzie zostały złagodzone przez Microsoft, ponieważ gigant technologiczny z Redmond informuje w swoim najnowszym wpisie na blogu. To szybkie rozwiązanie pojawia się kilka tygodni później Microsoft został ostro skrytykowany przez dyrektora generalnego Tenable, Amita Yorana, dotyczące kwestii bezpieczeństwa. Yoran powiedział w swoim poście na blogu:

Brak przejrzystości firmy Microsoft dotyczy naruszeń, nieodpowiedzialnych praktyk w zakresie bezpieczeństwa i luk w zabezpieczeniach, z których wszystkie narażają ich klientów na ryzyko, o którym celowo nie są informowani.

Jeśli nie jesteś na bieżąco, Tenable wykrył problem bezpieczeństwa, który umożliwiłby nieuwierzytelnionemu atakującemu dostęp do informacji uwierzytelniających, takich jak dane uwierzytelniające do konta bankowego, w marcu, na początku tego roku. Następnie firma zwróciła się z tym problemem do firmy Microsoft, która według relacji Tenable potrzebowała ponad 90 dni na wdrożenie częściowej poprawki. Yoran powiedział, że problem nadal nie został rozwiązany, a klienci mogą być poważnie zagrożeni.

Oznacza to, że na dzień dzisiejszy bank, o którym wspomniałem powyżej, nadal jest podatny na ataki, minęło ponad 120 dni od zgłoszenia problemu, podobnie jak wszystkie inne organizacje, które uruchomiły usługę przed poprawką. I, zgodnie z naszą najlepszą wiedzą, nadal nie mają pojęcia, że ​​są zagrożeni i dlatego nie mogą podjąć świadomej decyzji dotyczącej kompensujących kontroli i innych działań ograniczających ryzyko.

Wygląda jednak na to, że problem został ostatecznie rozwiązany przez Microsoft w całości.

Usunięto lukę w zabezpieczeniach umożliwiającą ujawnienie informacji o niestandardowym kodzie platformy Power

Problem bezpieczeństwa dotyczący niestandardowych łączników Power Platform korzystających z kodu niestandardowego może prowadzić do nieautoryzowanego dostępu do funkcji kodu niestandardowego używanych w niestandardowych łącznikach Power Platform. Jeśli w tym kodzie celnym zawarte są dane wrażliwe, takie jak dane bankowe itp., informacje te mogą być potencjalnie zagrożone.

Wygląda jednak na to, że dochodzenie Microsoftu ujawniło, że tylko badacz bezpieczeństwa, który jako pierwszy zgłosił problem, był świadomy istnienia tej luki. To oznacza drugiego podmioty grożące, Takie jak Burza-0558, nie byli świadomi problemu.

Chociaż badacz bezpieczeństwa powiadomił klientów, których dotyczy problem, firma Microsoft w całości rozwiązała lukę w zabezpieczeniach platformy zasilania umożliwiającą ujawnienie informacji o niestandardowym kodzie 4 sierpnia 2023 r.

Firma Microsoft wydała wstępną poprawkę 7 czerwca 2023 r., aby złagodzić ten problem dla większości klientów. Dochodzenie w sprawie kolejnego raportu firmy Tenable z 10 lipca 2023 r. wykazało, że problem nadal dotyczył bardzo małego podzbioru kodu niestandardowego w stanie nietrwałego usunięcia. Ten nietrwały stan usunięcia istnieje, aby umożliwić szybkie odzyskiwanie w przypadku przypadkowego usunięcia łączników niestandardowych jako mechanizm odporności. Inżynierowie firmy Microsoft podjęli kroki, aby zapewnić i zweryfikować pełne ograniczenie dla wszystkich potencjalnie pozostałych klientów korzystających z funkcji kodu niestandardowego. Prace te zakończono 2 sierpnia 2023 r.

Gigant technologiczny z Redmond zachęca również wszystkich do zgłaszania się do nich z wszelkimi napotkanymi lukami w zabezpieczeniach, ponieważ według firmy Microsoft cyberbezpieczeństwo jest wspólną odpowiedzialnością.

Firma Microsoft docenia również badania i ujawnianie luk w zabezpieczeniach prowadzone przez społeczność zajmującą się bezpieczeństwem. Odpowiedzialne badania i łagodzenie skutków mają kluczowe znaczenie dla ochrony naszych klientów, a wiąże się to ze wspólną odpowiedzialnością za rzeczowość, zrozumienie procesów i współpracę. Wszelkie odstępstwa od tego procesu narażają klientów i nasze społeczności na nadmierne ryzyko związane z bezpieczeństwem. Jak zawsze, najwyższym priorytetem firmy Microsoft jest ochrona i przejrzystość wobec naszych klientów, a my pozostajemy niezłomni w naszej misji.

Ta luka w zabezpieczeniach platformy zasilania umożliwiająca ujawnienie informacji o niestandardowym kodzie została rozwiązana dla wszystkich klientów i nie jest wymagane żadne działanie z Twojej strony. 

Co o tym myślisz? Czy Microsoft ma rację, jeśli chodzi o wspólną odpowiedzialność za cyberbezpieczeństwo, czy nie? Daj nam znać swoją opinię w sekcji komentarzy poniżej.