Microsoft corrige vulnerabilidad crítica de la plataforma de energía después de retrasos y críticas
Microsoft corrige vulnerabilidad crítica en la plataforma de energía
El pasado viernes, Microsoft dio a conocer que ha resuelto una vulnerabilidad de seguridad crítica que afectaba a Power Platform, aunque previamente recibió críticas por no actuar rápidamente al respecto.
Además, la compañía afirmó que no es necesario que los clientes tomen ninguna medida y que no encontraron evidencia de que la vulnerabilidad haya sido explotada activamente.
Tenable, quien descubrió y reportó inicialmente la deficiencia a Redmond el 30 de marzo de 2023, señaló que el problema podría permitir un acceso limitado y no autorizado a aplicaciones y datos sensibles de diferentes usuarios.
La empresa de ciberseguridad informó que el defecto surge debido a una falta de control de acceso suficiente a los hosts de Azure Function, lo que da lugar a una situación en la que un actor malintencionado podría interceptar IDs y claves secretas de clientes OAuth, así como otras formas de autenticación.
Se dice que Microsoft lanzó una solución inicial el 7 de junio de 2023, pero no fue hasta el 2 de agosto de 2023 que se corrigió completamente la vulnerabilidad.
El retraso de varios meses en parchar la falla atrajo la atención del CEO de Tenable, Amit Yoran, quien criticó duramente al fabricante de Windows por ser «sumamente irresponsable, si no totalmente negligente».
La compañía tecnológica, en su propia alerta, afirmó que sigue un proceso exhaustivo de investigación e implementación de correcciones y que «el desarrollo de una actualización de seguridad es una delicada combinación entre la velocidad y la seguridad de aplicar el parche y la calidad de la solución».