吳明宜在被批評修補拖了 4 個月後,微軟終於在上周修補 Azure 影響 Power Platform 可造成密碼外洩的漏洞。
這項漏洞可能導致 Power Platform 自訂連接器使用的 custom code 功能遭到非授權的存取。影響所及,若 custom code 功能內有密碼或其他敏感資訊,則可能造成資訊外洩。
由於漏洞位於 Azure Platform 上,因此修補時用戶不需採取任何行動。微軟也說沒有證據顯示網路上有漏洞濫用行為。
Power Platform 可允許用戶自訂連接器撰寫 C#程式,以便連繫和整合 Azure 服務。資安業者 Tenable 指出,漏洞出於自訂連接器以指令存取 Azure Function 主機過程中,安全防護不足,使駭客得以攔截 OAuth 用戶端 ID 、密碼或其他驗證資訊,可引發攻擊者存取跨租戶應用和敏感資料。
該公司發現該漏洞後,於 3 月 30 日通報,微軟在 6 月 7 日修補,但被 Tenable 發現修補不全,要求修補。微軟又說要等到 9 月 28 日才會完成第二次修補。
研究過程中,Tenable 已經可以撰寫概念驗證 (PoC) 用的程式碼,取得一家銀行的 Azure 服務存取憑證。但該公司發現 120 天後,即 7 月底,微軟仍然還未修補漏洞。這個期間已超過業界規定的 90 天,於是 Tenable 在 7 月 31 日發出第一次安全公告。
Tenable CEO Amit Yoran 抨擊微軟若非態度輕忽,就是極不負責任。他指出,長久以來雲端供應商有共同責任模式,如果雲端供應商不在發生問題且安裝修補程式通知用戶,該模式就無法維持下去。但微軟光只是嘴上說「交給我們就好,」實際上卻一點也不透明,還企圖混淆真相。
迫於壓力下,微軟於 8 月 3 日提前完成修補。微軟表示該公司遵循調查及部署修補程式的延長程序,他們在「兼顧修補漏洞的速度、安全及品質的要求下」開發安全更新。