Nouvelles

Jun 01, 2023

Microsoft critiqué pour son calendrier de mise à jour « irresponsable »

La gestion par Microsoft d'un problème de sécurité qui pourrait permettre un accès limité et non autorisé aux applications multi-locataires et aux données sensibles a mis l'entreprise sous surveillance quant à sa manière de gérer la sécurité.

La gestion par Microsoft d'un problème de sécurité qui pourrait permettre un accès limité et non autorisé aux applications multi-locataires et aux données sensibles a soumis l'entreprise à un examen minutieux quant à la manière dont elle gère les failles de sécurité de sa plate-forme.

Le problème provient de la plate-forme Power de Microsoft, qui est sa gamme d'applications logicielles de business intelligence, de développement d'applications et de connectivité d'applications. Selon les chercheurs de Tenable qui ont découvert le problème, les hôtes Azure Function, qui sont lancés dans le cadre du fonctionnement des connecteurs personnalisés de la plateforme, ne disposent pas d'un contrôle d'accès suffisant.

Tenable a contacté Microsoft pour la première fois à propos du problème le 30 mars. Plusieurs mois plus tard, Microsoft a informé Tenable le 6 juillet que le problème avait été résolu ; cependant, Tenable a ensuite constaté que le correctif était incomplet. Après de nombreux échanges, Microsoft a informé Tenable le 21 juillet qu'un correctif complet pour le problème ne serait pas publié avant le 28 septembre. Le 31 juillet, Tenable a publié un avis limité sur le problème. Puis, jeudi, Tenable a mis à jour son avis avec plus de détails après que Microsoft a résolu le problème dans ses connecteurs nouvellement déployés, en exigeant que les clés de fonction Azure accèdent aux hôtes de fonction et à leur déclencheur HTTP.

Cependant, Amit Yoran, président-directeur général de Tenable, dans un article sur LinkedIn cette semaine, a qualifié le long délai de divulgation de décision « irresponsable » de Microsoft.

« Microsoft a-t-il rapidement résolu le problème qui pourrait effectivement conduire à une violation des réseaux et services de plusieurs clients ? Bien sûr que non. Il leur a fallu plus de 90 jours pour mettre en œuvre un correctif partiel – et uniquement pour les nouvelles applications chargées dans le service », a déclaré Yoran.

L'enjeu est grave et a permis aux chercheurs de découvrir les secrets d'authentification d'une banque, a expliqué Yoran. Un attaquant parvenu à déterminer le nom d’hôte d’une fonction Azure associée au connecteur personnalisé pourrait interagir avec cette fonction sans authentification. Cela pourrait leur permettre de déterminer éventuellement d'autres noms d'hôte de fonctions Azure, et comme de nombreux connecteurs personnalisés semblent gérer les flux d'authentification entre la Power Platform de Microsoft et les services tiers, il est possible que des attaquants interceptent certaines formes d'authentification (comme les identifiants et secrets des clients OAuth). ).

"Il convient de noter qu'il ne s'agit pas exclusivement d'un problème de divulgation d'informations, car la possibilité d'accéder aux hôtes de fonction non sécurisés et d'interagir avec eux, ainsi que de déclencher un comportement défini par le code du connecteur personnalisé, pourrait avoir un impact supplémentaire", selon les chercheurs de Tenable dans leur étude. avis mis à jour. "Cependant, en raison de la nature du service, l'impact varierait pour chaque connecteur individuel et serait difficile à quantifier sans tests exhaustifs."

Tenable a déclaré jeudi qu'il ne pouvait plus accéder aux hôtes précédemment concernés et a renvoyé les clients qui souhaitent des détails supplémentaires sur la nature des mesures correctives déployées à Microsoft « pour des réponses faisant autorité ». Microsoft, quant à lui, a déclaré que le problème était désormais entièrement résolu pour tous les clients et qu'aucune autre action du client n'était requise.

"Nous apprécions la collaboration avec la communauté de la sécurité pour divulguer de manière responsable les problèmes liés aux produits", a déclaré un porte-parole de Microsoft. « Nous suivons un processus approfondi impliquant une enquête approfondie, le développement de mises à jour pour toutes les versions des produits concernés et des tests de compatibilité entre d'autres systèmes d'exploitation et applications. En fin de compte, le développement d’une mise à jour de sécurité est un équilibre délicat entre rapidité et qualité, tout en garantissant une protection maximale des clients avec un minimum de perturbations pour les clients.

Au-delà de ce problème spécifique, Microsoft a fait l'objet d'une surveillance accrue ces dernières semaines en raison de ses pratiques de sécurité. Dans la foulée d'une cyberattaque qui a touché plusieurs agences fédérales américaines, où les attaquants ont utilisé de faux jetons d'authentification pour accéder aux e-mails des victimes avec une clé de signature de compte Microsoft acquise, le sénateur Ron Wyden (Démocrate-Ore) a exhorté la CISA, la FTC et le DoJ à "tenir Microsoft pour responsable de sa négligence."