Thứ Sáu vừa qua, Microsoft tiết lộ rằng họ đã giải quyết một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Power Platform, sau khi họ bị chỉ trích vì không hành động nhanh chóng.
Microsoft cho biết "lỗ hổng có thể dẫn đến truy cập trái phép vào các chức năng mã tùy chỉnh (Custom Code) được sử dụng cho trình kết nối (connector) tùy chỉnh Power Platform". "Tác động tiềm ẩn của nó có thể là tiết lộ thông tin ngoài ý muốn nếu bí mật (secret) hoặc thông tin nhạy cảm khác được lưu trong chức năng Custom Code".
Công ty lưu ý thêm rằng khách hàng không cần thực hiện bất kỳ hành động nào và không phát hiện bằng chứng nào về việc khai thác lỗ hổng trong thực tế.
Tenable, công ty đã phát hiện và báo cáo lỗ hổng cho Redmond vào ngày 30 tháng 3 năm 2023, cho biết sự cố có thể cho phép truy cập hạn chế, trái phép vào các ứng dụng và dữ liệu nhạy cảm của nhiều bên thuê.
Công ty bảo mật cho biết lỗ hổng phát sinh do thiếu kiểm soát truy cập vào máy chủ Azure Function, dẫn đến kẻ đe dọa có thể chặn bắt các thông tin xác thực cho ứng dụng được sử dụng trong OAuth (OAuth client IDs and secrets), cũng như các hình thức xác thực khác.
Microsoft được cho là đã đưa ra bản sửa lỗi ban đầu vào ngày 7 tháng 6 năm 2023, nhưng phải đến ngày 2 tháng 8 năm 2023, lỗ hổng này mới được khắc phục hoàn toàn.
Giám đốc điều hành của Tenable, Amit Yoran, đã chỉ trích Microsoft là “vô trách nhiệm” vì sự chậm trễ trong việc giải quyết lỗ hổng này.
Trong cảnh báo của mình, Microsoft cho biết họ tuân theo một quy trình điều tra và triển khai các bản sửa lỗi, "việc phát triển bản cập nhật bảo mật cần đảm bảo sự cân bằng giữa tốc độ và sự an toàn của việc áp dụng bản sửa lỗi cũng như chất lượng của nó".
Công ty cho biết thêm rằng: "Không phải tất cả các bản sửa lỗi đều như nhau". "Một số có thể được hoàn thành và áp dụng một cách an toàn rất nhanh chóng, một số khác có thể mất nhiều thời gian hơn. Để bảo vệ khách hàng của chúng tôi khỏi việc bị khai thác lỗ hổng bảo mật, chúng tôi cũng theo dõi bất kỳ lỗ hổng bảo mật nào được báo cáo về hoạt động khai thác và hành động nhanh chóng nếu chúng tôi nhận thấy dấu hiệu khai thác trong thực tế."
Nguồn: thehackernews.com.
Tín nhiệm mạng | Các tác nhân đe dọa đang lợi dụng một kỹ thuật có tên là ‘versioning’ để vượt qua khả năng phát hiện phần mềm độc hại của Cửa hàng Google Play và nhắm mục tiêu vào người dùng Android.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện ra một loạt các package npm độc hại mới được thiết kế để lấy cắp thông tin nhạy cảm của nhà phát triển.
Tín nhiệm mạng | Tin tặc đang khai thác lỗ hổng thực thi mã từ xa 'BleedingPipe' trong các bản mod Minecraft để chạy các lệnh độc hại trên máy chủ và máy khách, cho phép chúng kiểm soát thiết bị.
Tín nhiệm mạng | Canon đang cảnh báo người dùng máy in phun khổ lớn tại nhà, văn phòng và gia đình rằng cài đặt kết nối Wi-Fi của họ được lưu trong bộ nhớ của thiết bị sẽ không bị xóa, chúng đáng ra nên được xóa trong quá trình khởi tạo, cho phép người khác truy cập vào dữ liệu.
Tín nhiệm mạng | Tin tặc đang sử dụng một ứng dụng Android giả mạo có tên 'SafeChat' để lây nhiễm phần mềm gián điệp độc hại nhằm đánh cắp thông tin nhật ký cuộc gọi, tin nhắn và vị trí GPS từ điện thoại.
Tín nhiệm mạng | Google đã công bố báo cáo lỗ hổng zero-day hàng năm, trình bày số liệu thống kê về các hoạt động khai thác trong thực tế từ năm 2022 và nêu bật một vấn đề tồn tại đã lâu trong nền tảng Android gây rủi ro cho các sản phẩm, thiết bị của người dùng.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
