Microsoft corrige une faille critique de la plate-forme d'alimentation après des retards et des critiques

Microsoft a révélé vendredi avoir corrigé une faille de sécurité critique affectant Plate-forme de puissancemais pas avant d’avoir été critiqué pour son incapacité à agir rapidement.

« La vulnérabilité pourrait conduire à un accès non autorisé aux fonctions de code personnalisé utilisées pour les connecteurs personnalisés Power Platform », a déclaré le géant de la technologie. « L’impact potentiel pourrait être la divulgation involontaire d’informations si des secrets ou d’autres informations sensibles étaient intégrés dans la fonction de code personnalisé. »

La société a en outre noté qu’aucune action du client n’est requise et qu’elle n’a trouvé aucune preuve d’exploitation active de la vulnérabilité dans la nature.

Tenable, qui a initialement découvert et signalé la lacune à Redmond le 30 mars 2023, a déclaré que le problème pourrait permettre un accès limité et non autorisé aux applications interlocataires et aux données sensibles.

La société de cybersécurité a déclaré que la faille résulte d’un contrôle d’accès insuffisant aux hôtes Azure Function, conduisant à un scénario dans lequel un acteur malveillant pourrait intercepter les identifiants et les secrets des clients OAuth, ainsi que d’autres formes d’authentification.

Microsoft aurait publié un correctif initial le 7 juin 2023, mais ce n’est que le 2 août 2023 que la vulnérabilité a été complètement corrigée.

Le retard de plusieurs mois dans la correction de la faille a attiré l’attention du PDG de Tenable, Amit Yoran, qui a critiqué le fabricant de Windows pour être « grossièrement irresponsable, voire manifestement négligent ».

« Les fournisseurs de cloud ont depuis longtemps adopté le modèle de responsabilité partagée », a déclaré Yoran dans un message partagé sur LinkedIn. « Ce modèle est irrémédiablement rompu si votre fournisseur de cloud ne vous informe pas des problèmes au fur et à mesure qu’ils surviennent et applique ouvertement les correctifs. »

« Ce que vous entendez de Microsoft, c’est » faites-nous confiance « , mais ce que vous obtenez en retour, c’est très peu de transparence et une culture d’obscurcissement toxique. »

Le géant de la technologie, dans sa propre alerte, a déclaré qu’il suivait un processus approfondi d’enquête et de déploiement de correctifs et que « le développement d’une mise à jour de sécurité est un équilibre délicat entre la rapidité et la sécurité de l’application du correctif et la qualité du correctif ».

« Tous les correctifs ne sont pas égaux », a-t-il ajouté. « Certaines peuvent être complétées et appliquées en toute sécurité très rapidement, d’autres peuvent prendre plus de temps. Afin de protéger nos clients contre l’exploitation d’une vulnérabilité de sécurité sous embargo, nous commençons également à surveiller toute vulnérabilité de sécurité signalée d’exploitation active et intervenons rapidement si nous en voyons exploit actif. »

Microsoft corrige une faille critique de la plate-forme d’alimentation après des retards et des critiques

Ces 6 questions vous aideront à choisir la meilleure plateforme de gestion de surface d’attaque

Un chercheur révèle de nouvelles techniques pour contourner le pare-feu et la protection DDoS de Cloudflare

La société iranienne Cloudzy accusée d’avoir aidé des cybercriminels et des pirates informatiques d’États-nations

Des chercheurs découvrent une mauvaise utilisation de l’agent AWS SSM en tant que cheval de Troie d’accès à distance dissimulé

Des millions de personnes infectées par des logiciels espions cachés dans de fausses applications Telegram sur Google Play

Des cybercriminels vietnamiens ciblent les comptes professionnels Facebook avec de la publicité malveillante

A lire également