Microsoft, geçen hafta Tenable CEO’su Amit Yoran tarafından şirketin güvenlik açığı raporlama ve açıklama süreçlerine yönelik tam ve açık bir saldırıya konu olan Azure genel bulut platformundaki potansiyel olarak tehlikeli bir kusurun, etkilenen tüm kullanıcılar için tam olarak ele alındığını kamuoyuna açıkladı. .
Microsoft, Computer Weekly’ye bir düzeltme yayınlandığını ve başka bir işlem yapılmasına gerek olmadığını zaten söylemişti. Ancak o zamandan beri konuyla ilgili daha geniş bir açıklama yaptı.
Microsoft, bu açıklamada, etkilenen tüm müşterilerin 4 Ağustos 2023 Perşembe gününden itibaren Microsoft 365 Yönetim Merkezi aracılığıyla sorun hakkında bilgilendirildiğini söyledi. Bu, yalnızca genel yönetici rolüne veya Mesaj Merkezi gizlilik okuyucu rolüne sahip kullanıcılar anlamına gelen bir Veri Gizliliği etiketi kullanılarak gönderildi görüntüleyebilirsiniz. Herhangi bir bildirim almayan müşteriler, daha fazla bir şey yapmaları gerekmediğini güvenle varsayabilirler.
Kusurun tam teknik detayları, bu yazının yazıldığı sırada Eylül ayı sonlarında yapılması planlanmış olan tam bir açıklama bekleyene kadar hala açıklanmadı. Hata, kullanıcıların özel bağlayıcılar için kendi kodlarını yazmalarına olanak tanıyan bir özellik olan Özel Kodu kullanan Power Platform Özel Bağlayıcılarında mevcuttur.
Güvenlik açığı, Power Platform özel bağlayıcıları için kullanılan Özel Kod işlevlerine yetkisiz erişime yol açabilir. Microsoft Güvenlik Yanıt Merkezi (MSRC) ekibi, Özel Kod işlevine sırlar veya diğer hassas bilgiler yerleştirilmişse potansiyel etki, istenmeyen bilgilerin ifşası olabilir.
“Raporla ilgili araştırmamız, yalnızca olayı bildiren güvenlik araştırmacısı tarafından anormal erişim tespit etti ve başka aktör yok” diye eklediler.
Tenable, kusuru ilk olarak Mart ayının sonunda Microsoft’a bildirmişti ve Yoran’ın – başlangıçta sosyal medya platformu LinkedIn’de yaptığı bir gönderide yaptığı – açık sözlü sözleri, kuruluşun bir düzeltme yayınlamak için geçen süre nedeniyle giderek daha fazla hüsrana uğramasının ardından geldi. güvenlik açığını ifşa edin.
Yoran, şu anda 120 günden fazla olan bu uzun sürecin Tenable’ın müşterilerini riske attığını söyledi. Sadece bu da değil, risk altında olduklarına dair “hiçbir fikirleri olmadığını” ve telafi edici kontroller veya diğer hafifletmeler hakkında bilinçli bir karar alamadıklarını da sözlerine ekledi.
“Microsoft, sorunu kendilerine bildirdikten dört ay sonra, Eylül ayı sonuna kadar çözeceklerini iddia ediyor. Bu, pervasızca ihmalkarlık değilse bile, büyük ölçüde sorumsuzluktur. Sorunu biz biliyoruz, Microsoft sorunu biliyor ve umarım tehdit aktörleri bilmiyor” dedi.
MSRC, 7 Haziran’da kullanıma sunulan ilk düzeltmenin, müşterilerin çoğu için sorunu hafiflettiğini, ancak daha sonra yapılan soruşturmanın, Özel Kodun küçük bir alt kümesinin geçici olarak silinmiş durumda olduğunu ortaya çıkardığını söyledi. birisi yanlışlıkla geri silme tuşuna bastı – yine de etkilenmişti. Bu sorunu çözmek için yapılan çalışmalar 2 Ağustos Çarşamba gününe kadar tamamlandı.
“Güvenlik düzeltmelerini hazırlamanın bir parçası olarak, kapsamlı araştırma, güncelleme geliştirme ve uyumluluk testi içeren kapsamlı bir süreç izliyoruz. Nihayetinde, bir güvenlik güncellemesi geliştirmek, düzeltmeyi uygulama hızı ve güvenliği ile düzeltmenin kalitesi arasındaki hassas bir dengedir” dedi Microsoft.
“Çok hızlı hareket etmek, kullanılabilirlik açısından, müşterilerin ambargolu bir güvenlik açığından kaynaklanan riskinden daha fazla müşteri aksamasına neden olabilir. Ambargo süresinin amacı, kaliteli bir düzeltme için zaman sağlamaktır. Tüm düzeltmeler eşit değildir. Bazıları çok hızlı bir şekilde tamamlanıp güvenli bir şekilde uygulanabilirken, bazıları daha uzun sürebilir.
“Müşterilerimizi ambargolu bir güvenlik açığının istismarından korumak için, aktif istismara ilişkin bildirilen herhangi bir güvenlik açığını da izlemeye başlıyoruz ve herhangi bir aktif istismar görürsek hızla harekete geçiyoruz.”
MSRC ekibi, Microsoft’un müşterileri korumaya odaklanan bir ekosistemin parçası olmayı ve güvenlik topluluğunun güvenlik açıklarını araştırmaya ve ifşa etmeye yardımcı olmak için yaptığı çalışmaları “takdir ettiğini” yineledi.
MSRC’nin açıklamasına yanıt veren Tenable’dan Amit Yoran, “Şimdi ya düzeltilmiş gibi görünüyor” dedi. [last week] veya test etmemiz engellendi. Düzeltmeyi veya hafifletmeyi bilmiyoruz, gerçekten düzeltilip düzeltilmediğini veya Microsoft’un bizi engellemek için bir güvenlik duvarı kuralı veya ACL gibi bir denetimi yerine getirip getirmediğini söylemek çok zor.
“Diğer ürünlerde güvenlik açıkları bulduğumuzda, satıcılar genellikle düzeltmeyi etkili bir şekilde doğrulayabilmemiz için bizi düzeltme hakkında bilgilendirir. Microsoft Azure’da bu olmaz, dolayısıyla bu bir kara kutudur ve bu da sorunun bir parçasıdır. ‘Sadece bize güvenin’ mevcut sicil ile güvenilirlikten yoksundur” diye ekledi.