Microsoft, eleştiri almasının ardından Power Platformundaki kritik bir açığı düzelttiğini duyurdu.
30 Mart 2023 tarihinde Tenable tarafından Microsoft’a bildirilen zafiyet, Power Platform Custom Connectors ile kullanılan Custom Code’u etkiliyor. Bu özellik, müşterilere kod yazma imkanı sağlar.
Microsoft, saldırganın Custom Code işlevlerine erişmek için bu zafiyeti tetikleyebileceğini doğruladı. Bu açık, Custom Code içerisindeki hassas bilgiler varsa bilgi sızdırılmasına neden olabilir.
Microsoft; “Bu zafiyet, Power Platform custom connector için kullanılan custom kod işlevlerine yetkisiz erişime yol açabilir. Eğer hassas bilgiler custom kod işlevine gömülüyse hassas bilgilerin açığa çıkmasına neden olabilir. Soruşturmamız, olayı bildiren güvenlik araştırmacısı tarafından yapılan anormal erişimi tespit etti. Etkilenen tüm müşterilere bu anormal erişim Microsoft 365 Yönetim Merkezi (MC665159) aracılığıyla bildirilmiştir.”
Microsoft, bu açığın şu anda aktif olarak sömürüldüğünden haberdar olmadıklarını belirtti. Tenable, açığın sömürülmesinin sınırlı, yetkisiz erişime izin verebileceğini ve bu erişim aracılığıyla kimlik doğrulama verileride dahil olmak üzere hassas verilere (ancak bunlarla sınırlı olmamak üzere) erişim sağlayabileceğini bildirdi.
Tenable, “Sorun, Azure Function merkezi server’a yetersiz erişim denetimi nedeniyle ortaya çıktı ve bu merkezi server, Microsoft’un Power Platform’daki custom connector oluşturulması ve çalıştırılmasının bir parçası olarak başlatılır” şeklinde açıklamada bulundu. “Power Platform için oluşturulan bazı connector’ler diğer hizmetlere bağlanmak ve iletişim kurmak için customC# kodu kullanır. Bu C# kodu, HTTP tetikleyicisi olan bir Azure Function olarak dağıtılır. Bu Azure Function, müşterinin ortamının bir parçası olarak değil, Microsoft tarafından dağıtılır ve yönetilir.”
Uzmanlar, bu açığın, untrusted Azure Function merkezi server’a etkileşim kurulduğunda, OAuth client kimlik bilgilerini ve dğer hassas kimlik doğrulama yöntemlerini ele geçirmeyi mümkün kılabileceğini açıkladılar.
6 Temmuz 2023 tarihinde Microsoft sorunu çözdüğünü bildirdi, ancak 10 Temmuz 2023 tarihinde Tenable, düzeltilmiş sürümde sorunlar olduğunu Microsoft’a bildirdi. Ancak, Tenable CEO’su Amit Yoran, Microsoft’u bu açığı düzeltmedeki gecikmesi nedeniyle “aşırı sorumsuz hatta açıkça ihmalkar” olmakla suçladı. Yoran şunları ekledi: “Microsoft’tan duyduğunuz şey ‘bize güvenin’, ancak geri aldığınız şey çok az şeffaflık ve toksik bir muğlaklık kültürü. CISO, yönetim kurulu veya yönetici ekibi, mevcut durum ve davranış kalıplarını göz önünde bulundurarak Microsoft’un doğru şeyi yapacağına nasıl inanabilir? Microsoft’un sicili hepimizi riske atıyor. Ve düşündüğümüzden de kötü durumda.” dedi.
Microsoft ise “Tüm düzeltmeler eşit değildir. Bazıları hızlı bir şekilde tamamlanıp güvenli bir şekilde uygulanabilir, diğerleri daha uzun sürebilir. Müşterilerimizi güvenlik açığının kötüye kullanımından korumak için, bildirilen güvenlik açığı aktif kötüye kullanımını takip etmeye başlıyor ve aktif bir kötüye kullanım görürsek hızlı bir şekilde harekete geçiyoruz.” yanıtını vererek eleştirilere cevap vermiş oldu.
Kaynak: securityaffairs.com