Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogar
Jun 01, 2023
Microsoft criticado por cronograma de parches 'irresponsable'
El manejo por parte de Microsoft de un problema de seguridad que podría permitir el acceso limitado y no autorizado a aplicaciones de inquilinos cruzados y datos confidenciales ha puesto a la compañía bajo escrutinio sobre cómo maneja la seguridad.
El manejo por parte de Microsoft de un problema de seguridad que podría permitir un acceso limitado y no autorizado a aplicaciones multiusuario y datos confidenciales ha puesto a la compañía bajo escrutinio sobre cómo aborda las brechas de seguridad en su plataforma.
El problema surge de la plataforma Power de Microsoft, que es su línea de aplicaciones de software de inteligencia empresarial, desarrollo de aplicaciones y conectividad de aplicaciones. Según los investigadores de Tenable que encontraron el problema, los hosts de la función Azure, que se inician como parte del funcionamiento de los conectores personalizados de la plataforma, no tienen suficiente control de acceso.
Tenable se comunicó por primera vez con Microsoft sobre el problema el 30 de marzo. Varios meses después, el 6 de julio, Microsoft informó a Tenable que el problema estaba solucionado; sin embargo, Tenable descubrió que la solución estaba incompleta. Después de más idas y vueltas, Microsoft informó a Tenable el 21 de julio que no se publicaría una solución completa para el problema hasta el 28 de septiembre. El 31 de julio, Tenable publicó un aviso limitado sobre el problema. Luego, el jueves, Tenable actualizó su aviso con más detalles después de que Microsoft solucionó el problema en sus conectores recién implementados, al requerir claves de función de Azure para acceder a los hosts de funciones y su activador HTTP.
Sin embargo, Amit Yoran, presidente y director ejecutivo de Tenable, en una publicación de LinkedIn esta semana, calificó el largo cronograma de divulgación como una medida “irresponsable” por parte de Microsoft.
“¿Microsoft solucionó rápidamente el problema que podría conducir efectivamente a la vulneración de las redes y servicios de múltiples clientes? Por supuesto que no. Les llevó más de 90 días implementar una solución parcial, y sólo para las nuevas aplicaciones cargadas en el servicio”, dijo Yoran.
El problema es grave y permitió a los investigadores descubrir los secretos de autenticación de un banco, afirmó Yoran. Un atacante que pudiera determinar el nombre de host de una función de Azure asociada con el conector personalizado podría interactuar con esa función sin autenticación. Esto podría permitirles determinar otros nombres de host de funciones de Azure y, debido a que muchos conectores personalizados parecen manejar flujos de autenticación entre Power Platform de Microsoft y servicios de terceros, existe la posibilidad de que los atacantes puedan interceptar ciertas formas de autenticación (como ID de cliente de OAuth y secretos). ).
"Cabe señalar que esto no es exclusivamente una cuestión de divulgación de información, ya que poder acceder e interactuar con los hosts de funciones no seguros y desencadenar un comportamiento definido por un código de conector personalizado podría tener un mayor impacto", según los investigadores de Tenable en su informe. aviso actualizado. "Sin embargo, debido a la naturaleza del servicio, el impacto variaría para cada conector individual y sería difícil de cuantificar sin pruebas exhaustivas".
Tenable dijo el jueves que ya no puede acceder a hosts previamente afectados y remitió a los clientes que desean detalles adicionales sobre la naturaleza de las soluciones implementadas a Microsoft "para obtener respuestas autorizadas". Mientras tanto, Microsoft dijo que el problema ya se ha solucionado por completo para todos los clientes y que no se requiere ninguna otra acción por parte del cliente.
"Apreciamos la colaboración con la comunidad de seguridad para revelar de manera responsable los problemas de los productos", según un portavoz de Microsoft. “Seguimos un proceso extenso que involucra una investigación exhaustiva, desarrollo de actualizaciones para todas las versiones de los productos afectados y pruebas de compatibilidad entre otros sistemas operativos y aplicaciones. En última instancia, desarrollar una actualización de seguridad es un delicado equilibrio entre puntualidad y calidad, al mismo tiempo que se garantiza una máxima protección al cliente con una mínima interrupción”.
Más allá de este problema específico, Microsoft ha sido objeto de un mayor escrutinio en las últimas semanas por sus prácticas de seguridad. Inmediatamente después de un ciberataque que afectó a varias agencias federales de EE. UU., donde los atacantes aprovecharon tokens de autenticación falsificados para acceder a los correos electrónicos de las víctimas con una clave de firma de consumidor de cuenta de Microsoft adquirida, el senador Ron Wyden (D-Ore) instó a CISA, la FTC y el Departamento de Justicia a "Hacer responsable a Microsoft por su negligencia".
Las críticas también surgen cuando CISA presiona para que los fabricantes adopten los principios de Secure By Design para sus productos. La idea aquí no es sólo implementar la seguridad como un requisito empresarial central (en lugar de una característica técnica), sino también garantizar que los fabricantes comprendan su papel y sus responsabilidades en la protección de sus productos, de modo que esta responsabilidad de seguridad no recaiga únicamente en los hombros de los clientes.
“Los proveedores de la nube han adoptado durante mucho tiempo el modelo de responsabilidad compartida”, según Yoran el miércoles. "Ese modelo está irremediablemente roto si su proveedor de nube no le notifica los problemas a medida que surgen y aplica las soluciones abiertamente... ¿Cómo puede un CISO, una junta directiva o un equipo ejecutivo creer que Microsoft hará lo correcto teniendo en cuenta los patrones de hecho y las tendencias actuales? comportamientos?”
Investigadores de Microsoft dijeron el miércoles que el actor de amenazas ha utilizado un ataque de ingeniería social "altamente dirigido" para...
El grupo de amenazas utilizó tokens de autenticación falsificados, con una clave de firma de consumidor de cuenta de Microsoft adquirida, para acceder a...
La falla de día cero de Microsoft (CVE-2023-36884) está siendo aprovechada por un grupo cibercriminal con sede en Rusia en correos electrónicos de phishing enviados...