经过一次修补失败后,微软在上周终于成功修补了一个可让黑客跨租户窃取代码开发平台Power Platform别家公司重要信息的漏洞,不过是在资安厂商批判后才加速完成。
这漏洞是由资安厂商Tenable发现并通报,影响Power Platform的自定义连接器(Custom Connector)。 微软修补作业完全在Azure主机端,客户不需采取任何行动,也不会影响Azure用户。
Tenable解释,Power Platform(包括Power Apps、Power Automation)允许用户从自定义连接器撰写C#代码访问其他Azure主机,以便和其他服务串接或沟通。 正常情况下,部署C#程序的用户是经由API端点将HTTP呼叫,将程序部署到微软控制的Azure Function主机完成这任务,这段过程是不需验证的。
但研究人员发现,骇客可以传送呼叫,触发取得custom C# code,从中判断出和目标自定义连接器(Custom Connector)相关的Azure Function主机名称,以及其他连接器的Azure Function主机名称,因为都依整数排序。 他们测试发现,许多连接器作用是传送Power Platform和第三方服务的身份验证信息。 只要存取防护不周的Azure Function主机,就可能拦截OAuth用户ID及密钥、密码等信息,也就能存取第三方服务和应用程序。
研究人员指出,其研究只能确定该漏洞可外泄资料,但也指出,视自定义连接器可触发的行为而定,后果可能不只是数据外泄,可能有其他后果,例如执行代码。 Tenable并说明,其概念验证程序显示可以发送POST呼叫,从custom C# code找出Azure Function主机,以及他们也取得一家银行的Azure服务的访问凭证。
因此Tenable判断该漏洞属重大风险,并于3月底通报微软。 但Tenable执行长Amit Yoran批评该公司3月底就通知,微软却修补牛步化。
根据Tenable说法,该公司于3月底通报微软,后者曾在7月6日修补(注:微软的文件是写6月7日)。 但Tenable发现微软修补不全,而于4天后重新通报,并应微软要求延后公告漏洞。 微软原本预计要到9月28日完成修补,不过在安全厂商于7月底发出部分安全公告的压力下,微软提前在8月3日对受影响的Azure主机部署修补程序。
