06.08.2023 | Microsoft исправила ошибку после того, как генеральный директор Tenable назвал компанию безответственной |
Microsoft исправила уязвимость в системе пользовательских коннекторов Power Platform, которая позволяла злоумышленникам, не прошедшим проверку подлинности, получать доступ к межклиентским приложениям и конфиденциальным данным клиентов Azure после того, как генеральный директор Tenable назвал их «крайне безответственными». Основная причина проблемы связана с неадекватными мерами контроля доступа к узлам функций Azure, запущенным соединителями в Power Platform. Эти соединители используют пользовательский код C#, интегрированный в функцию Azure, управляемую корпорацией Майкрософт, с триггером HTTP. Хотя взаимодействие клиентов с настраиваемыми соединителями обычно происходит через API с проверкой подлинности, конечные точки API упрощают запросы к функции Azure без обязательной проверки подлинности. В результате злоумышленники имеют возможность использовать незащищенные узлы функций Azure и перехватывать идентификаторы и секреты клиентов OAuth. Уязвимость обнаружена компанией Tenable, но исправление заняло более чем пять месяцев, вызвав резкую критику со стороны экспертов по безопасности. «Чтобы дать вам представление о том, насколько это плохо, наша команда очень быстро обнаружила секреты аутентификации в банке. Они были настолько обеспокоены серьезностью и этичностью проблемы, что мы немедленно уведомили Microsoft», — добавил генеральный директор Tenable Амит Йоран . Tenable также поделилась доказательством кода концептуального эксплойта и информацией о шагах, необходимых для поиска уязвимых имен хостов соединителя, и о том, как создавать POST запросы для взаимодействия с незащищенными конечными точками API. Первоначальный патч, выпущенный 7 июня, был признан Tenable неполным. Окончательное решение проблемы для всех клиентов было принято 2 августа. "Уязвимость полностью исправлена, и клиентам не требуется предпринимать действий по устранению недостатков", - заявила Microsoft в пятницу. Все затронутые клиенты были уведомлены через Microsoft 365 Admin Center начиная с 4 августа. Тем не менее, Tenable считает, что исправление применяется только к недавно развернутым Power Apps и Power Automation custom connectors. "Microsoft исправила проблему для вновь развернутых коннекторов, потребовав ключи Azure Function для доступа к хостам Function и их HTTP-триггеру", - говорится в заявлении Tenable. В ответ на затянувшийся процесс исправления уязвимости CEO Tenable осудил подход Microsoft, назвав его "крайне безответственным" и "вопиюще халатным". Этот случай добавил вопросов к своевременности реакции Microsoft на проблемы безопасности в своих продуктах, превысив ожидаемый срок в 90 дней для устранения уязвимостей безопасности, который обычно соблюдается большинством поставщиков. "На сегодняшний день банк, о котором я упоминал выше, по-прежнему уязвим, более чем 120 дней с момента сообщения о проблеме, как и все другие организации, которые запустили сервис до исправления", - подчеркнул генеральный директор Tenable. |
Проверить безопасность сайта