Chyby v sprístupnení informácií o vlastnom kóde platformy Power boli zmiernené spoločnosťou Microsoft ako technologickým gigantom so sídlom v Redmonde. informuje vo svojom najnovšom blogovom príspevku. Toto rýchle riešenie prichádza niekoľko týždňov potom Microsoft bol ostro kritizovaný generálnym riaditeľom spoločnosti Tenable Amitom Yoranomo otázkach bezpečnosti. Yoran vo svojom blogovom príspevku uviedol:

Nedostatočná transparentnosť spoločnosti Microsoft sa vzťahuje na porušenia, nezodpovedné bezpečnostné postupy a zraniteľné miesta, ktoré vystavujú svojich zákazníkov rizikám, o ktorých sú zámerne držané v nevedomosti.

Ak nemáte aktuálne informácie, Tenable objavil bezpečnostný problém, ktorý by umožnil neoverenému útočníkovi získať prístup k overovacím informáciám, ako sú napríklad poverenia k bankovému účtu, už v marci, začiatkom tohto roka. Spoločnosť potom tento problém adresovala Microsoftu, ktorému podľa účtu Tenable trvalo viac ako 90 dní, kým implementovala čiastočnú opravu. Yoran povedal, že problém stále nie je vyriešený a zákazníci môžu byť vážne ohrození.

To znamená, že k dnešnému dňu je banka, ktorú som uviedol vyššie, stále zraniteľná, viac ako 120 dní od nahlásenia problému, rovnako ako všetky ostatné organizácie, ktoré spustili službu pred opravou. A podľa našich najlepších vedomostí stále nemajú potuchy, že sú ohrození, a preto nemôžu urobiť informované rozhodnutie o kompenzačných kontrolách a iných opatreniach na zmiernenie rizika.

Zdá sa však, že problém napokon v celom rozsahu riešil aj Microsoft.

Chyba zabezpečenia pri sprístupnení informácií vlastného kódu platformy Power je vyriešená

Bezpečnostný problém týkajúci sa vlastných konektorov Power Platform pomocou vlastného kódu by mohol viesť k neoprávnenému prístupu k funkciám vlastného kódu používaným pre vlastné konektory Power Platform. Ak sú do tohto colného kódexu začlenené citlivé údaje, ako sú bankové údaje alebo podobne, tieto informácie môžu byť potenciálne ohrozené.

Zdá sa však, že vyšetrovanie spoločnosti Microsoft odhalilo, že o tejto zraniteľnosti vedel iba bezpečnostný výskumník, ktorý problém nahlásil ako prvý. To znamená to druhé aktérov hrozieb, Ako sú Búrka-0558, nevedeli o probléme.

Zatiaľ čo dotknutí zákazníci boli upozornení bezpečnostným výskumníkom, Microsoft 4. augusta 2023 úplne vyriešil zraniteľnosť sprístupnenia informácií vlastného kódu napájacej platformy.

Spoločnosť Microsoft vydala 7. júna 2023 počiatočnú opravu na zmiernenie tohto problému pre väčšinu zákazníkov. Vyšetrovanie následnej správy od spoločnosti Tenable z 10. júla 2023 odhalilo, že veľmi malá podmnožina colného kódexu v mäkkom vymazanom stave bola stále ovplyvnená. Tento stav mäkkého vymazania slúži na umožnenie rýchleho obnovenia v prípade náhodného vymazania vlastných konektorov ako mechanizmu odolnosti. Technici spoločnosti Microsoft podnikli kroky na zabezpečenie a overenie úplného zmiernenia pre všetkých potenciálne zostávajúcich zákazníkov pomocou funkcií vlastného kódu. Tieto práce boli ukončené 2.

Technologický gigant so sídlom v Redmonde tiež povzbudzuje každého, aby za ním prišiel s akýmikoľvek bezpečnostnými chybami, ktoré by mohli nájsť, pretože podľa Microsoftu je kybernetická bezpečnosť spoločnou zodpovednosťou.

Microsoft tiež oceňuje výskum a odhalenie zraniteľností komunity zabezpečenia. Zodpovedný výskum a zmierňovanie sú rozhodujúce pre ochranu našich zákazníkov a to prichádza so spoločnou zodpovednosťou byť vecný, rozumieť procesom a spolupracovať. Akákoľvek odchýlka od tohto procesu vystavuje zákazníkov a naše komunity neprimeranému bezpečnostnému riziku. Ako vždy, najvyššou prioritou spoločnosti Microsoft je chrániť našich zákazníkov a byť vo vzťahu k nim transparentní a my zostávame neochvejní v našom poslaní.

Táto chyba zabezpečenia pri sprístupnení informácií vlastného kódu napájacej platformy bola vyriešená pre všetkých zákazníkov a z vašej strany nie je potrebná žiadna akcia. 

Čo si o tom myslíš? Má Microsoft pravdu, pokiaľ ide o spoločnú zodpovednosť za kybernetickú bezpečnosť, alebo nie? Dajte nám vedieť svoj názor v sekcii komentárov nižšie.