как Microsoft боролась с киберугрозой?
Microsoft исправила уязвимость в системе пользовательских коннекторов Power Platform, которая позволяла злоумышленникам, не прошедшим проверку подлинности, получать доступ к межклиентским приложениям и конфиденциальным данным клиентов Azure после того, как генеральный директор Tenable назвал их «крайне безответственными».
Основная причина проблемы связана с неадекватными мерами контроля доступа к узлам функций Azure, запущенным соединителями в Power Platform. Эти соединители используют пользовательский код C#, интегрированный в функцию Azure, управляемую корпорацией Майкрософт, с триггером HTTP.
Хотя взаимодействие клиентов с настраиваемыми соединителями обычно происходит через API с проверкой подлинности, конечные точки API упрощают запросы к функции Azure без обязательной проверки подлинности.
В результате злоумышленники имеют возможность использовать незащищенные узлы функций Azure и перехватывать идентификаторы и секреты клиентов OAuth.
Уязвимость обнаружена компанией Tenable, но исправление заняло более чем пять месяцев, вызвав резкую критику со стороны экспертов по безопасности.
«Чтобы дать вам представление о том, насколько это плохо, наша команда очень быстро обнаружила секреты аутентификации в банке. Они были настолько обеспокоены серьезностью и этичностью проблемы, что мы немедленно уведомили Microsoft», — добавил генеральный директор Tenable Амит Йоран .
Tenable также поделилась доказательством кода концептуального эксплойта и информацией о шагах, необходимых для поиска уязвимых имен хостов соединителя, и о том, как создавать POST запросы для взаимодействия с незащищенными конечными точками API. Первоначальный патч, выпущенный 7 июня, был признан Tenable неполным. Окончательное решение проблемы для всех клиентов было принято 2 августа.
"Уязвимость полностью исправлена, и клиентам не требуется предпринимать действий по устранению недостатков", — заявила Microsoft в пятницу.
Все затронутые клиенты были уведомлены через Microsoft 365 Admin Center начиная с 4 августа.
Тем не менее, Tenable считает, что исправление применяется только к недавно развернутым Power Apps и Power Automation custom connectors.
"Microsoft исправила проблему для вновь развернутых коннекторов, потребовав ключи Azure Function для доступа к хостам Function и их HTTP-триггеру", — говорится в заявлении Tenable.
В ответ на затянувшийся процесс исправления уязвимости CEO Tenable осудил подход Microsoft, назвав его "крайне безответственным" и "вопиюще халатным".
Этот случай добавил вопросов к своевременности реакции Microsoft на проблемы безопасности в своих продуктах, превысив ожидаемый срок в 90 дней для устранения уязвимостей безопасности, который обычно соблюдается большинством поставщиков.
"На сегодняшний день банк, о котором я упоминал выше, по-прежнему уязвим, более чем 120 дней с момента сообщения о проблеме, как и все другие организации, которые запустили сервис до исправления", — подчеркнул генеральный директор Tenable.
Источник: securitylab