A Microsoft divulgou na última sexta-feira que corrigiu uma falha crítica de segurança que afetava a Power Platform. A empresa vinha sendo muito criticada por não ter agido rapidamente e corrigido essa falha antes. Felizmente, o problema agora foi corrigido.
De acordo com a Microsoft, essa vulnerabilidade pode levar ao acesso não autorizado às funções de código personalizado usadas para conectores personalizados da Power Platform. “O impacto potencial pode ser a divulgação não intencional de informações se segredos ou outras informações confidenciais forem incorporadas à função de código personalizado”.
Falha crítica do Power Platform agora corrigida pela Microsoft
A empresa observou ainda que nenhuma ação do cliente é necessária e que não encontrou nenhuma evidência de exploração ativa da vulnerabilidade na natureza. A Tenable, que inicialmente descobriu e relatou a falha para Redmond em 30 de março de 2023, disse que o problema poderia permitir acesso limitado e não autorizado a aplicativos entre locatários e dados confidenciais.
A empresa de segurança cibernética disse que a falha surge como resultado do controle de acesso insuficiente aos hosts do Azure Function, levando a um cenário em que um agente de ameaça pode interceptar IDs e segredos do cliente OAuth, bem como outras formas de autenticação.
A Microsoft teria emitido uma correção inicial em 7 de junho de 2023, mas não foi até 2 de agosto de 2023 que a vulnerabilidade foi completamente corrigida. O atraso de meses na correção da falha atraiu o escrutínio do CEO da Tenable, Amit Yoran, que criticou a fabricante do Windows por ser “grosseiramente irresponsável, se não flagrantemente negligente”.
“Os provedores de nuvem há muito adotam o modelo de responsabilidade compartilhada”, disse Yoran em um post compartilhado no LinkedIn. “Esse modelo está irremediavelmente quebrado se o seu fornecedor de nuvem não o notificar sobre os problemas à medida que eles surgirem e aplicar as correções abertamente”.
O que você ouve da Microsoft é ‘apenas confie em nós’, mas o que você recebe é muito pouca transparência e uma cultura de ofuscação tóxica.
O alerta da empresa
A Microsoft, em seu próprio alerta, disse que segue um extenso processo de investigação e implantação de correções e que “desenvolver uma atualização de segurança é um equilíbrio delicado entre velocidade e segurança de aplicação da correção e qualidade da correção”. “Nem todas as correções são iguais”, acrescentou ainda.
Algumas podem ser concluídas e aplicadas com segurança muito rapidamente, outras podem levar mais tempo. Para proteger nossos clientes de uma exploração de uma vulnerabilidade de segurança embargada, também começamos a monitorar qualquer vulnerabilidade de segurança relatada de exploração ativa e agir rapidamente se virmos qualquer exploração ativa.