Language
Microsoft、「無責任な」パッチ適用スケジュールを批判

ニュース

ホームページホームページ / ニュース / Microsoft、「無責任な」パッチ適用スケジュールを批判
search
最近のニュース

Aug 29, 2023

LCDとLEDの10以上の違い

Jun 13, 2023

12ユーロ ESP32

Jul 11, 2023

2024 Yamaha Ténéré 700 First Look [ADVライディングに関する6つの早わかり]

Dec 23, 2023

2025 Mini Cooper、OLEDスクリーン、レトロなゲージ、ドッグアシスタントを公開

Feb 22, 2024

500 ドル以下のゲーム用 360Hz モニター ベスト 4

お問い合わせを送信してください
送信

Jun 01, 2023

Microsoft、「無責任な」パッチ適用スケジュールを批判

クロステナントアプリケーションや機密データへの限定的で不正なアクセスを可能にするセキュリティ問題への Microsoft の対応により、同社のセキュリティへの取り組み方に厳しい目が向けられている

クロステナントアプリケーションや機密データへの限定的かつ不正なアクセスを許可する可能性のあるセキュリティ問題へのマイクロソフトの対応により、同社はプラットフォームのセキュリティギャップにどのように対処するかについて厳しい視線にさらされている。

この問題は、Microsoft のビジネス インテリジェンス、アプリ開発、アプリ接続ソフトウェア アプリケーションの製品ラインである Power プラットフォームに起因しています。 問題を発見した Tenable の研究者によると、プラットフォームのカスタム コネクタの操作の一部として起動される Azure Function ホストには、十分なアクセス制御がありません。

Tenable がこの問題について最初に Microsoft に連絡したのは 3 月 30 日でした。数か月後の 7 月 6 日、Microsoft は Tenable に問題が修正されたことを通知しました。 しかし、Tenable は修正が不完全であることに気づきました。 何度もやり取りを行った後、Microsoft は 7 月 21 日に Tenable に対し、この問題の完全な修正は 9 月 28 日までリリースされないことを通知しました。7 月 31 日、Tenable はこの問題に関する限定的なアドバイザリーをリリースしました。 その後、Microsoft が関数ホストとその HTTP トリガーにアクセスするために Azure ファンクション キーを要求することで、新しくデプロイされたコネクタの問題を修正した後、木曜日に Tenable がアドバイザリを更新し、さらに詳しい情報を記載しました。

しかし、Tenable の会長兼 CEO であるアミット・ヨラン氏は、今週 LinkedIn への投稿で、開示スケジュールの長期化は Microsoft の「無責任な」措置であると批判した。

「マイクロソフトは、複数の顧客のネットワークやサービスの侵害に事実上つながる可能性がある問題を迅速に解決しましたか? もちろん違います。 サービスに読み込まれた新しいアプリケーションに対してのみ、部分的な修正を実装するのに 90 日以上かかりました」と Yoran 氏は述べています。

この問題は深刻であり、研究者が銀行の認証秘密を発見する可能性があるとヨラン氏は述べた。 カスタム コネクタに関連付けられた Azure 関数のホスト名を特定できた攻撃者は、認証なしでその関数と対話できる可能性があります。 これにより、他の Azure Function のホスト名を特定できる可能性があり、多くのカスタム コネクタが Microsoft の Power Platform とサードパーティ サービス間の認証フローを処理しているようであるため、攻撃者が特定の形式の認証 (OAuth クライアント ID やシークレットなど) を傍受できる可能性があります。 )。

Tenable の研究者らは、「セキュリティで保護されていない関数ホストにアクセスして対話できること、およびカスタム コネクタ コードによって定義された動作をトリガーできることは、さらなる影響を与える可能性があるため、これは情報開示の問題だけではないことに注意する必要があります」と Tenable の研究者は報告書で述べています。アドバイザリーを更新しました。 「ただし、サービスの性質上、その影響は個々のコネクタごとに異なり、徹底的なテストを行わない限り定量化することは困難です。」

Tenable は木曜日、以前に影響を受けたホストにはアクセスできなくなったと述べ、導入された修復の性質に関する追加の詳細を求める顧客に対し、「信頼できる回答が得られるよう」マイクロソフトに問い合わせるように案内した。 一方、マイクロソフトは、この問題は現在すべての顧客に対して完全に対処されており、顧客によるさらなる対応は必要ないと述べた。

Microsoft の広報担当者は、「製品の問題を責任を持って開示するためのセキュリティ コミュニティとの協力に感謝します」と述べています。 「私たちは、徹底的な調査、影響を受ける製品のすべてのバージョンのアップデート開発、他のオペレーティング システムやアプリケーション間の互換性テストを含む広範なプロセスに従っています。 最終的に、セキュリティ アップデートの開発は、顧客の混乱を最小限に抑えながら最大限の顧客保護を確保しながら、適時性と品質の間の微妙なバランスを保つ必要があります。」

この特定の問題を超えて、Microsoft はここ数週間、セキュリティ慣行に関してますます厳しい監視を受けるようになりました。 攻撃者が偽造した認証トークンを利用して、取得した Microsoft アカウントの消費者署名キーを使って被害者の電子メールにアクセスするという、複数の米国連邦機関に影響を与えたサイバー攻撃の直後、ロン・ワイデン上院議員 (民主党、オレゴン州) は CISA、FTC、および司法省に対し、 「マイクロソフトの過失の責任を問う。」