Microsoft Aborda Falha Crítica na Plataforma Power após Atrasos e Críticas
7 de Agosto de 2023

A Microsoft na sexta-feira revelou que corrigiu uma falha de segurança crítica afetando a Power Platform, mas não antes de receber críticas por não agir rapidamente sobre ela.

"A vulnerabilidade poderia levar a acesso não autorizado às funções de Código Personalizado usadas para conectores personalizados da Power Platform", disse a gigante da tecnologia.

"O impacto potencial poderia ser a divulgação não intencional de informações se segredos ou outras informações sensíveis estivessem incorporados na função de Código Personalizado."

A empresa ainda observou que nenhuma ação do cliente é necessária e que não encontrou evidências de exploração ativa da vulnerabilidade.

A Tenable, que inicialmente descobriu e relatou a falha à Redmond em 30 de março de 2023, disse que o problema poderia permitir acesso limitado e não autorizado a aplicativos e dados sensíveis entre contas.

A empresa de cibersegurança disse que a falha surge como resultado de controle de acesso insuficiente aos hosts do Azure Function, levando a um cenário em que um ator de ameaças poderia interceptar IDs de cliente OAuth e segredos, bem como outras formas de autenticação.

Diz-se que a Microsoft emitiu uma correção inicial em 7 de junho de 2023, mas não foi até 2 de agosto de 2023 que a vulnerabilidade foi completamente corrigida.

O atraso de meses na correção da falha atraiu o escrutínio do CEO da Tenable, Amit Yoran, que criticou o criador do Windows por ser "irresponsável em grau acentuado, se não negligente de forma flagrante".

"Os provedores de nuvem há muito defendem o modelo de responsabilidade compartilhada", disse Yoran em uma postagem compartilhada no LinkedIn.

"Esse modelo está irreversivelmente quebrado se o seu fornecedor de nuvem não informar você sobre problemas à medida que surgem e aplicar correções abertamente."

"O que você ouve da Microsoft é 'apenas confie em nós', mas o que você recebe de volta é muito pouca transparência e uma cultura de obstrução tóxica."

A gigante da tecnologia, em seu próprio alerta, disse que segue um processo extenso de investigação e implantação de correções e que "desenvolver uma atualização de segurança é um equilíbrio delicado entre a velocidade e a segurança da aplicação da correção e a qualidade da correção."

"Nem todas as correções são iguais", acrescentou.

"Algumas podem ser concluídas e aplicadas com segurança muito rapidamente, outras podem demorar mais.

A fim de proteger nossos clientes de uma exploração de uma vulnerabilidade de segurança embargada, também começamos a monitorar qualquer vulnerabilidade de segurança relatada de exploração ativa e agimos rapidamente se vemos qualquer exploração ativa."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...