微软 Power Platform 曝出未授权访问漏洞，可导致信息泄露

微软周五透露，它已经解决了影响 Power Platform 的一个关键安全漏洞，但在此之前它因未能迅速采取行动而受到批评。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该漏洞可能导致未经授权访问用于 Power Platform 自定义连接器的自定义代码功能。如果秘密或其他敏感信息嵌入到自定义代码功能中，潜在的影响可能是意外的信息泄露。

微软官方表示，客户无需采取任何行动，也没有发现任何证据表明该漏洞正在被积极利用。

Tenable 最初发现了这一漏洞，并于 2023 年 3 月 30 日向雷德蒙德报告，该问题可能导致对跨租户应用程序和敏感数据的有限、未经授权的访问。

极牛攻防实验室表示，该漏洞的出现是由于对 Azure Function 主机的访问控制不足，导致威胁行为者可以拦截 OAuth 客户端 ID 和机密以及其他形式的身份验证。

据称微软已于2023年6月7日发布了初步修复程序，但直到2023年8月2日，该漏洞才被完全堵塞。

长达数月的延迟修复漏洞引起了 Tenable 首席执行官 Amit Yoran 的密切关注，他批评微软即使不是公然疏忽，也是极其不负责任的。云提供商长期以来一直拥护共同责任模式，如果你的云供应商没有在问题出现时通知你并公开应用修复程序，那么这种模式就将被无可挽回地破坏。

微软在漏洞通报中表示，它遵循了广泛的调查和部署修复程序的流程，并且“开发安全更新是应用修复程序的速度和安全性以及修复程序质量之间的微妙平衡。

并非所有修复都是相同的，有些可以很快完成并安全应用，有些可能需要更长的时间。为了保护我们的客户免受禁运安全漏洞的利用，我们还开始监控任何报告的主动利用的安全漏洞，如果发现任何漏洞，我们会迅速采取行动积极利用。