Η Microsoft επιδιορθώνει το ελάττωμα αφού ο Διευθύνων Σύμβουλος της Tenable χαρακτηρίστηκε ανεύθυνος
Η Microsoft διόρθωσε ένα ελάττωμα ασφαλείας στη λειτουργία προσαρμοσμένων συνδέσεων Power Platform που επέτρεπε σε μη επιβεβαιωμένους εισβολείς να έχουν πρόσβαση σε εφαρμογές πολλαπλών μισθωτών και σε ευαίσθητα δεδομένα πελατών του Azure, αφού ο Διευθύνων Σύμβουλος της Tenable χαρακτήρισε «εξαιρετικά ανεύθυνους».
Η βασική αιτία του προβλήματος προήλθε από τα ανεπαρκή μέτρα ελέγχου πρόσβασης για τους κεντρικούς υπολογιστές Azure Function που κυκλοφόρησαν από υποδοχές εντός της Power Platform. Αυτές οι υποδοχές χρησιμοποιούν προσαρμοσμένο κώδικα C# ενσωματωμένο σε μια λειτουργία Azure που διαχειρίζεται η Microsoft και διαθέτει ένα κανόνα HTTP.
Παρόλο που η αλληλεπίδραση πελατών με προσαρμοσμένες συνδέσεις πραγματοποιείται συνήθως μέσω επαληθευμένων API, τα τελικά σημεία API διευκόλυναν τα αιτήματα προς τη λειτουργία Azure χωρίς να επιβάλλουν έλεγχο ταυτότητας.
Αυτό δημιούργησε μια ευκαιρία για τους εισβολείς να εκμεταλλευτούν μη ασφαλείς κεντρικούς υπολογιστές της λειτουργίας Azure και να υποκλέψουν αναγνωριστικά και μυστικά πελατών OAuth.
“Θα πρέπει να σημειωθεί ότι αυτό δεν είναι αποκλειστικά θέμα αποκάλυψης πληροφοριών, καθώς η δυνατότητα πρόσβασης και αλληλεπίδρασης με τους μη ασφαλείς κεντρικούς υπολογιστές Λειτουργίας και η συμπεριφορά ενεργοποίησης που ορίζεται από προσαρμοσμένο κωδικό σύνδεσης, θα μπορούσε να έχει περαιτέρω αντίκτυπο.”
λέει
Η εταιρεία κυβερνοασφάλειας Tenable η οποία ανακάλυψε το ελάττωμα και το ανέφερε στις 30 Μαρτίου.
“Ωστόσο, λόγω της φύσης της υπηρεσίας, ο αντίκτυπος θα ποικίλλει για κάθε μεμονωμένο σύνδεσμο και θα ήταν δύσκολο να ποσοτικοποιηθεί χωρίς εξαντλητικές δοκιμές.”
“Για να σας δώσουμε μια ιδέα για το πόσο κακό είναι αυτό, η ομάδα μας ανακάλυψε πολύ γρήγορα μυστικά ελέγχου ταυτότητας σε μια τράπεζα. Ανησυχούσαν τόσο πολύ για τη σοβαρότητα και τη δεοντολογία του ζητήματος που ενημερώσαμε αμέσως τη Microsoft”, ο Διευθύνων Σύμβουλος της Tenable, Amit Yoran
προστέθηκε
.
Η Tenable μοιράστηκε επίσης την απόδειξη της έννοιας του κώδικα εκμετάλλευσης και πληροφορίες σχετικά με τα βήματα που απαιτούνται για την εύρεση ευάλωτων ονομάτων κεντρικών υπολογιστών εφαρμογών σύνδεσης και τον τρόπο δημιουργίας των αιτημάτων POST για αλληλεπίδραση με τα μη ασφαλή τελικά σημεία του API.
Σφάλμα πλατφόρμας ισχύος ροής επίθεσης (ανεκτός)
Κατά τη διερεύνηση της αναφοράς του Tenable, η εταιρεία αρχικά διαπίστωσε ότι ο ερευνητής ήταν ο μόνος που εκμεταλλεύτηκε το ζήτημα. Μετά από περαιτέρω ανάλυση τον Ιούλιο, η Microsoft διαπίστωσε ότι υπήρχαν ορισμένες Λειτουργίες Azure σε κατάσταση “soft delete” που δεν είχαν μετριαστεί σωστά.
Η Microsoft επέλυσε τελικά το πρόβλημα για όλους τους πελάτες στις 2 Αυγούστου, αφού μια αρχική επιδιόρθωση που αναπτύχθηκε από το Redmond στις 7 Ιουνίου χαρακτηρίστηκε από την Tenable ως ελλιπής.
“Αυτό το ζήτημα έχει αντιμετωπιστεί πλήρως για όλους τους πελάτες και δεν απαιτείται καμία ενέργεια αποκατάστασης πελατών,” Microsoft
είπε
την Παρασκευή.
Η Redmond έχει ειδοποιήσει έκτοτε όλους τους πελάτες που επηρεάστηκαν μέσω του Κέντρου Διαχειριστή του Microsoft 365 από τις 4 Αυγούστου.
Παρόλο που η Microsoft λέει ότι το ζήτημα της αποκάλυψης πληροφοριών αντιμετωπίστηκε για όλους τους πελάτες του Azure, η Tenable πιστεύει ότι η επιδιόρθωση ισχύει μόνο για προσαρμοσμένες συνδέσεις Power Apps και Power Automation που αναπτύχθηκαν πρόσφατα.
“Η Microsoft έχει διορθώσει το πρόβλημα για τις νέες εφαρμογές σύνδεσης απαιτώντας τα πλήκτρα λειτουργίας Azure για πρόσβαση στους κεντρικούς υπολογιστές Function και την ενεργοποίηση HTTP τους”, λέει ο Tenable.
“Θα παραπέμψουμε πελάτες που απαιτούν πρόσθετες λεπτομέρειες σχετικά με τη φύση των εγκατεστημένων διορθώσεων στη Microsoft για έγκυρες απαντήσεις.”
Η διόρθωση ήρθε μόνο μετά από δημόσια κριτική
Η Microsoft αντιμετώπισε το ελάττωμα μετά από μια περίοδο πέντε μηνών, αλλά όχι πριν ο Διευθύνων Σύμβουλος της Tenable εκφράσει σφοδρή κριτική κατά της αρχικής απάντησης. Ο Yoran καταδίκασε την προσέγγιση της Microsoft ως «κατάφωρα ανεύθυνη» και «κατάφωρα αμέλεια».
Για να γίνουν τα πράγματα ακόμη χειρότερα, η αρχική δέσμευση του Redmond να διορθώσει το πρόβλημα τον Σεπτέμβριο παρέκκλινε κατά μεγάλο περιθώριο από την αναμενόμενη προθεσμία των 90 ημερών, την οποία συνήθως τηρούν οι περισσότεροι προμηθευτές όσον αφορά την επιδιόρθωση των τρωτών σημείων ασφαλείας.
Αυτή η εκτεταμένη καθυστέρηση πρόσθεσε τις ανησυχίες και δημιούργησε πρόσθετα ερωτήματα σχετικά με την επικαιρότητα της απάντησης της Microsoft σε ζητήματα ασφάλειας που επηρεάζουν τα προϊόντα της.
“Η Microsoft διόρθωσε γρήγορα το πρόβλημα που θα μπορούσε να οδηγήσει στην παραβίαση δικτύων και υπηρεσιών πολλών πελατών; Φυσικά όχι. Χρειάστηκαν περισσότερες από 90 ημέρες για να εφαρμόσουν μια μερική επιδιόρθωση – και μόνο για νέες εφαρμογές που φορτώθηκαν στην υπηρεσία,” Yoran είπε.
“Αυτό σημαίνει ότι από σήμερα, η τράπεζα στην οποία αναφέρθηκα παραπάνω είναι ακόμα ευάλωτη, περισσότερες από 120 ημέρες από τότε που αναφέραμε το ζήτημα, όπως και όλοι οι άλλοι οργανισμοί που είχαν ξεκινήσει την υπηρεσία πριν από την επιδιόρθωση.
“Και, από όσο γνωρίζουμε, εξακολουθούν να μην έχουν ιδέα ότι διατρέχουν κίνδυνο και επομένως δεν μπορούν να λάβουν τεκμηριωμένη απόφαση σχετικά με την αντιστάθμιση των ελέγχων και άλλες ενέργειες μετριασμού του κινδύνου.”
