Microsoft reveló el viernes que ha abordado una grave vulnerabilidad de seguridad que afecta a Power Platform, pero no antes de recibir crÃticas por no actuar con prontitud.
"La vulnerabilidad podrÃa llevar a un acceso no autorizado a funciones de código personalizado utilizadas para conectores personalizados de Power Platform", dijo el gigante tecnológico. "El impacto potencial podrÃa ser la divulgación no intencionada de información si se incorporaran secretos u otra información sensible en la función de código personalizado".
La compañÃa también señaló que no se requiere ninguna acción por parte de los clientes y que no encontraron evidencia de explotación activa de la vulnerabilidad en el entorno. Tenable, que descubrió y reportó inicialmente la falla a Redmond el 30 de marzo de 2023, dijo que el problema podrÃa permitir un acceso limitado y no autorizado a aplicaciones y datos sensibles de varios inquilinos.
La firma de ciberseguridad explicó que la vulnerabilidad surge debido a un control de acceso insuficiente a los hosts de Azure Function, lo que permite que un actor malintencionado intercepte identificadores de cliente OAuth, secretos y otras formas de autenticación. Se dice que Microsoft emitió una solución inicial el 7 de junio de 2023, pero no fue hasta el 2 de agosto de 2023 que la vulnerabilidad quedó completamente corregida.
El retraso de varios meses en parchear la falla atrajo la atención del CEO de Tenable, Amit Yoran, quien criticó al fabricante de Windows por ser "gravemente irresponsable, si no flagrantemente negligente". "Los proveedores de servicios en la nube han abogado durante mucho tiempo por el modelo de responsabilidad compartida", dijo Yoran en una publicación compartida en LinkedIn. "Ese modelo está irremediablemente roto si su proveedor de nube no le notifica los problemas a medida que surgen y aplica correcciones de manera abierta".
"Lo que escuchas de Microsoft es 'confÃa en nosotros', pero lo que obtienes a cambio es muy poca transparencia y una cultura de oscurantismo tóxico". El gigante tecnológico, en su propio aviso, dijo que sigue un proceso extenso de investigación e implementación de correcciones y que "el desarrollo de una actualización de seguridad es un delicado equilibrio entre la velocidad y la seguridad de aplicar la corrección y la calidad de la misma".
"A veces, no todas las correcciones son iguales", agregó. "Algunas pueden completarse y aplicarse de manera segura muy rápidamente, otras pueden llevar más tiempo. Para proteger a nuestros clientes de la explotación de una vulnerabilidad de seguridad restringida, también comenzamos a monitorear cualquier vulnerabilidad de seguridad informada de explotación activa y actuamos rápidamente si vemos alguna explotación activa".
¿Quieres saber más?