Microsoft ha informat els seus clients que s’han solucionat vulnerabilitats que afecten el núvol, la intel·ligència artificial i altres servicis, inclosa una vulnerabilitat explotada.
Anàlisi
Microsoft ha informat que el dimarts 26 va corregir vulnerabilitats en Azure, Copilot Studio i el seu lloc web Partner Network (una bretxa de seguretat en cada un), però els clients no necessiten fer res. Els identificadors i avisos de CVE s’han publicat només per transparència.
D’esta manera, s’han publicat avisos separats per a cada vulnerabilitat. Tots ells s’han descrit com a problemes d’escalada de privilegis que tenen una classificació de gravetat màxima de “crític”, però segons la seua puntuació CVSS, dos d’ells tenen una classificació de “gravetat alta” i només un és realment “crític”.
En el seu lloc web Partner Network, específicament en el domini ‘partner.microsoft.com’, Microsoft ha abordat CVE-2024-49035, una vulnerabilitat de control d’accés inadequat d’alta gravetat que permetia a un atacant no autenticat elevar privilegis en una xarxa. Esta CVE aborda una vulnerabilitat en la versió en línia de Microsoft Power Apps únicament. Per tant, els clients no necessiten realitzar cap acció perquè les versions s’implementen automàticament al llarg de diversos dies.
La vulnerabilitat ha sigut marcada com a “explotada”, però no s’ha compartit informació addicional.
El problema de gravetat crítica abordat esta setmana és CVE-2024-49038, una vulnerabilitat de seqüències de comandaments entre llocs (XSS) en Copilot Studio, un producte que utilitza IA generativa per a permetre als clients personalitzar o crear copilots.
La neutralització incorrecta de l’entrada durant la generació de pàgines web (Cross-site Scripting) en Copilot Studio per part d’un atacant no autoritzat conduïx a l’elevació de privilegis en una xarxa.
La vulnerabilitat d’Azure és CVE-2024-49052. Es tracta d’un problema de falta d’autenticació que afecta una funció crítica d’Azure PolicyWatch, la qual cosa permet a un atacant elevar privilegis en una xarxa.
Microsoft també ha anunciat l’aplicació d’un pedaç a una vulnerabilitat XSS en Dynamics 365 Sales, una solució de gestió per a venedors. La bretxa de seguretat permet a un atacant executar un script maliciós en el navegador de la víctima en fer que faça clic en un enllaç especialment dissenyat.
Les aplicacions de iOS i Android es veuen afectades, però la vulnerabilitat es troba en el servidor web. És possible que els usuaris hagen d’actualitzar les seues aplicacions, ja que Microsoft no ha indicat específicament en el seu avís que no és necessària la interacció de l’usuari.
Recursos afectats
- Azure
- Copilot Studio
- Lloc web Partner Network
Recomanacions
Microsoft ha indicat que no es requerixen accions dels usuaris ja que les vulnerabilitats s’han publicat només per temes de transparència. No obstant això, es recomana tindre els productes actualitzats.
Referències