Microsoft je u petak otkrio da je riješio kritičnu sigurnosnu grešku koja utiče na Power Platformu , ali ne prije nego što je naišao na kritike zbog neuspjeha da brzo reaguje na nju.
“Ranjivost bi mogla dovesti do neovlaštenog pristupa funkcijama Custom koda koje se koriste za prilagođene konektore Power Platform”, rekao je tehnološki gigant . “Potencijalni uticaj mogao bi biti nenamjerno otkrivanje informacija ako su tajne ili druge osjetljive informacije ugrađene u funkciju Custom koda.”
Kompanija je dalje istakla da nije potrebna nikakva akcija korisnika i da nije pronašla dokaze o aktivnom iskorištavanju ranjivosti.
Tenable, koji je prvobitno otkrio i prijavio nedostatak Redmondu 30. marta 2023. godine, rekao je da bi problem mogao omogućiti ograničeni, neovlašteni pristup cross-tenant aplikacijama i osjetljivim podacima.
Firma za kibernetičku sigurnost je rekla da je nedostatak nastao kao rezultat nedovoljne kontrole pristupa hostovima Azure funkcije, što je dovelo do scenarija u kojem bi haker mogao presresti OAuth ID-ove i tajne klijenata, kao i druge oblike autentifikacije.
Rečeno je da je Microsoft izdao početnu ispravku 7. juna 2023. godine, ali je ranjivost potpuno uklonjena tek 2. avgusta 2023. godine.
Višemjesečno kašnjenje u otklanjanju greške privuklo je pažnju izvršnog direktora Tenablea Amita Yorana, koji je osudio proizvođača Windows-a da je “krajnje neodgovoran, ako ne i očigledno nemaran”.
„Provajderi u oblaku već dugo podržavaju model zajedničke odgovornosti“, rekao je Yoran u objavi objavljenoj na LinkedIn-u. “Taj model je nepovratno pokvaren ako vas dobavljač u oblaku ne obavijesti o problemima kako se pojave i otvoreno ne primijeni popravke.”
“Ono što čujete od Microsofta je ‘samo nam vjerujte’, ali ono što dobijete je vrlo malo transparentnosti i kultura toksičnog zamagljivanja.”
Tehnološki div, u vlastitom upozorenju, rekao je da prati opsežan proces istraživanja i postavljanja popravki i da je “razvijanje sigurnosnog ažuriranja delikatan balans između brzine i sigurnosti primjene popravka i kvaliteta popravka.”
“Nisu svi popravci jednaki”, dodaje se dalje. “Neki se mogu završiti i sigurno primijeniti vrlo brzo, drugi mogu potrajati duže. Kako bismo zaštitili naše klijente od iskorištavanja sigurnosne ranjivosti, također počinjemo pratiti sve prijavljene sigurnosne ranjivosti aktivne eksploatacije i brzo reagujemo ako ih uočimo.”
Izvor: The Hacker News
