A Microsoft na sexta-feira revelou que corrigiu uma falha de segurança crítica afetando a Power Platform, mas não antes de receber críticas por não agir rapidamente sobre ela.
"A vulnerabilidade poderia levar a acesso não autorizado às funções de Código Personalizado usadas para conectores personalizados da Power Platform", disse a gigante da tecnologia.
"O impacto potencial poderia ser a divulgação não intencional de informações se segredos ou outras informações sensíveis estivessem incorporados na função de Código Personalizado."
A empresa ainda observou que nenhuma ação do cliente é necessária e que não encontrou evidências de exploração ativa da vulnerabilidade.
A Tenable, que inicialmente descobriu e relatou a falha à Redmond em 30 de março de 2023, disse que o problema poderia permitir acesso limitado e não autorizado a aplicativos e dados sensíveis entre contas.
A empresa de cibersegurança disse que a falha surge como resultado de controle de acesso insuficiente aos hosts do Azure Function, levando a um cenário em que um ator de ameaças poderia interceptar IDs de cliente OAuth e segredos, bem como outras formas de autenticação.
Diz-se que a Microsoft emitiu uma correção inicial em 7 de junho de 2023, mas não foi até 2 de agosto de 2023 que a vulnerabilidade foi completamente corrigida.
O atraso de meses na correção da falha atraiu o escrutínio do CEO da Tenable, Amit Yoran, que criticou o criador do Windows por ser "irresponsável em grau acentuado, se não negligente de forma flagrante".
"Os provedores de nuvem há muito defendem o modelo de responsabilidade compartilhada", disse Yoran em uma postagem compartilhada no LinkedIn.
"Esse modelo está irreversivelmente quebrado se o seu fornecedor de nuvem não informar você sobre problemas à medida que surgem e aplicar correções abertamente."
"O que você ouve da Microsoft é 'apenas confie em nós', mas o que você recebe de volta é muito pouca transparência e uma cultura de obstrução tóxica."
A gigante da tecnologia, em seu próprio alerta, disse que segue um processo extenso de investigação e implantação de correções e que "desenvolver uma atualização de segurança é um equilíbrio delicado entre a velocidade e a segurança da aplicação da correção e a qualidade da correção."
"Nem todas as correções são iguais", acrescentou.
"Algumas podem ser concluídas e aplicadas com segurança muito rapidamente, outras podem demorar mais.
A fim de proteger nossos clientes de uma exploração de uma vulnerabilidade de segurança embargada, também começamos a monitorar qualquer vulnerabilidade de segurança relatada de exploração ativa e agimos rapidamente se vemos qualquer exploração ativa."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...