Tenable CEO’su tarafından “ağır şekilde sorumsuz” ve “bariz bir şekilde ihmalkar” olmakla eleştirildikten sonra Microsoft, Power Platform Özel Bağlayıcılar özelliğinde, kimliği doğrulanmamış saldırganların Azure müşterilerinden gelen kiracılar arası uygulamalara ve hassas verilere erişmesine izin veren bir güvenlik açığını giderdi.
2 Ağustos’tandMicrosoft, Tenable’ın Redmond tarafından 7 Haziran’da teslim edilen daha önceki bir düzeltmeyi eksik olarak ilan etmesinden sonra sorunu tüm müşteriler için ele aldı.
Microsoft, “Bu sorun tüm müşteriler için tamamen ele alındı ve herhangi bir müşteri iyileştirme eylemi gerekmiyor” dedi.
Etkilenen tüm müşteriler, 4 Ağustos’tan itibaren Microsoft 365 Yönetim Merkezi aracılığıyla Redmond’dan bildirimler aldı.
Tenable, Microsoft’un bilgilerin açığa çıkması sorununun tüm Azure kullanıcıları için ele alındığını iddia etmesine rağmen, düzeltmenin yalnızca yakın zamanda dağıtılan Power Apps ve Power Automation özel bağlayıcıları için geçerli olduğunu iddia ediyor.
Tenable, “Microsoft, Azure İşlev anahtarlarının İşlev ana bilgisayarlarına ve bunların HTTP tetikleyicisine erişmesini gerektirerek yeni dağıtılan bağlayıcılar için sorunu çözdü” dedi.
“Dağıtılan iyileştirmelerin doğasıyla ilgili ek ayrıntılara ihtiyaç duyan müşterileri yetkili yanıtlar için Microsoft’a yönlendirirdik.”
Sayıya Genel Bakış
Tenable, 30 Mart’ta Özel Kod kullanan Power Platform Özel Bağlayıcıları içeren güvenlik sorununu Microsoft’a bildirdi.
Microsoft, 12 Temmuz’da önemli bir güvenlik açığı duyurdu ve bunu Çinli bir bilgisayar korsanı topluluğu olan Storm-0558 ile ilişkilendirdi. Saldırıdan yaklaşık 25 farklı kuruluş etkilendi ve bu da ABD hükümet yetkililerinden özel e-postaların çalınmasına yol açtı.
Senatör Ron Wyden geçen hafta ABD Adalet Bakanlığı’na yazdığı bir mektupta Microsoft’un “ihmalkar siber güvenlik uygulamalarından” sorumlu tutulmasını istedi.
Tenable CEO’su Amit Yoran’a göre Microsoft, Tenable’dan bir bildirim aldıktan sonra “kısmi bir düzeltme uygulamak için 90 günden fazla zaman” harcadı.
Ayrıca, düzeltmenin yalnızca “hizmete yüklenen yeni uygulamalara” uygulandığını iddia ediyor. Banka ve “hizmeti düzeltmeden önce başlatan” diğer tüm işletmeler sorundan hâlâ etkileniyor ve Yoran, muhtemelen bu tehlikenin farkında olmadıklarını iddia ediyor.
Tenable, “Güvenli olmayan İşlev ana bilgisayarlarına erişebilme ve bunlarla etkileşim kurabilme ve özel bağlayıcı kodu tarafından tanımlanan davranışı tetikleyebilmenin daha fazla etkisi olabileceğinden, bunun yalnızca bir bilgi ifşası sorunu olmadığına dikkat edilmelidir” dedi.
Tenable ayrıca, savunmasız bağlayıcı ana bilgisayar adlarını bulmak ve korumasız API uç noktalarıyla iletişim kurmak için POST istekleri hazırlamak için kavram kanıtı istismar kodunun yanı sıra talimatlar da sağladı.
Sonuç olarak, bir saldırgan, özel bağlayıcıya bağlı Azure İşlevinin ana bilgisayar adını biliyorsa, kimlik doğrulaması olmadan özel bağlayıcı kodu tarafından belirtilen işlevle iletişim kurabilir.
Düzeltme Sürümü
7 Haziran 2023’te Microsoft, kullanıcıların büyük çoğunluğu için bu güvenlik açığını gidermek için bir ön yama yayınladı. Tenable’ın 10 Temmuz 2023 tarihli ikinci raporuyla ilgili bir soruşturma, geçici olarak silinmiş durumdaki Özel Kodun çok küçük bir bölümünün hala etkilendiğini gösterdi.
Bu geçici olarak silinen durum, özel bağlantıların yanlışlıkla yok edilmesi durumunda hızlı kurtarmaya olanak tanıyan bir esneklik mekanizması olarak oluşturuldu.
Microsoft, hayatta kalması muhtemel tüm istemciler için toplam azaltmayı garanti etmek ve onaylamak için Özel Kod yordamlarını kullandı. 2 Ağustos 2023’te tamamlandı.
Microsoft, “Müşterilerimizi ambargolu bir güvenlik açığından yararlanmaya karşı korumak için, aktif kullanıma yönelik bildirilen güvenlik açıklarını da izlemeye başlıyoruz ve herhangi bir etkin açıktan yararlanma görürsek hızla harekete geçiyoruz”, Microsoft.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.