Cuma günü Microsoft, Microsoft’u etkileyen kritik bir güvenlik açığını giderdiğini açıkladı. Güç Platformuancak hızlı bir şekilde harekete geçmediği için eleştirilere maruz kalmadan önce değil.
Teknoloji devi, “Güvenlik açığı, Power Platform özel bağlayıcıları için kullanılan Özel Kod işlevlerine yetkisiz erişime yol açabilir” dedi. “Gizli bilgiler veya diğer hassas bilgiler Özel Kod işlevine yerleştirilmişse, potansiyel etki istenmeyen bilgilerin ifşası olabilir.”
Şirket ayrıca, herhangi bir müşteri eyleminin gerekli olmadığını ve güvenlik açığının vahşi ortamda aktif olarak kullanıldığına dair hiçbir kanıt bulamadığını kaydetti.
Eksikliği ilk olarak 30 Mart 2023’te keşfedip Redmond’a bildiren Tenable, sorunun kiracılar arası uygulamalara ve hassas verilere sınırlı, yetkisiz erişim sağlayabileceğini söyledi.
Siber güvenlik firması, kusurun Azure İşlevi ana bilgisayarlarına yetersiz erişim kontrolünün bir sonucu olarak ortaya çıktığını ve bu da bir tehdit aktörünün OAuth istemci kimliklerini ve sırlarını ve diğer kimlik doğrulama biçimlerini engelleyebileceği bir senaryoya yol açtığını söyledi.
Microsoft’un 7 Haziran 2023’te bir ilk düzeltme yayınladığı söyleniyor, ancak güvenlik açığının tamamen kapatıldığı 2 Ağustos 2023’e kadar değildi.
Kusurun yamalanmasında aylarca süren gecikme, Windows üreticisini “bariz bir şekilde ihmalkar değilse de büyük ölçüde sorumsuz” olmakla suçlayan Tenable CEO’su Amit Yoran’ın incelemesini çekti.
Yoran, LinkedIn’de paylaştığı bir gönderide “Bulut sağlayıcıları, paylaşılan sorumluluk modelini uzun süredir benimsiyor” dedi. “Bulut satıcınız sorunları ortaya çıktıkça size bildirmez ve düzeltmeleri açık bir şekilde uygularsa, bu model geri alınamaz bir şekilde bozulur.”
“Microsoft’tan duyduğunuz ‘bize güvenin’, ancak aldığınız yanıt çok az şeffaflık ve zehirli bir şaşırtma kültürü.”
Teknoloji devi, kendi uyarısında, düzeltmeleri araştırmak ve dağıtmak için kapsamlı bir süreç izlediğini ve “bir güvenlik güncellemesi geliştirmenin, düzeltmeyi uygulamanın hızı ve güvenliği ile düzeltmenin kalitesi arasında hassas bir denge olduğunu” söyledi.
Ayrıca, “Tüm düzeltmeler eşit değildir” diye ekledi. “Bazıları çok hızlı bir şekilde tamamlanıp güvenli bir şekilde uygulanabilirken, diğerleri daha uzun sürebilir. Müşterilerimizi ambargolu bir güvenlik açığının istismarından korumak için, aktif istismara ilişkin bildirilen tüm güvenlik açıklarını da izlemeye başlıyoruz ve herhangi bir güvenlik açığı görürsek hızla harekete geçiyoruz. aktif istismar.”