Vulnerabilidades corregidas por Microsoft

Microsoft informó a sus clientes que se han solucionado vulnerabilidades que afectan a la nube, la inteligencia artificial y otros servicios, incluida una vulnerabilidad explotada.

Análisis

Microsoft ha informado que el martes 26, corrigió vulnerabilidades en Azure, Copilot Studio y su sitio web Partner Network (una brecha de seguridad en cada uno), pero los clientes no necesitan hacer nada. Los identificadores y avisos de CVE se han publicado solo por transparencia.
De este modo publicó avisos separados para cada vulnerabilidad. Todos ellos se han descrito como problemas de escalada de privilegios que tienen una clasificación de gravedad máxima de «crítico», pero según su puntuación CVSS, dos de ellos tienen una clasificación de «gravedad alta» y solo uno es realmente «crítico».

En su sitio web Partner Network, específicamente en el dominio ‘partner.microsoft.com’, Microsoft abordó CVE-2024-49035, una vulnerabilidad de control de acceso inadecuado de alta gravedad que permitía a un atacante no autenticado elevar privilegios en una red. Esta CVE aborda una vulnerabilidad en la versión en línea de Microsoft Power Apps únicamente. Por lo tanto, los clientes no necesitan realizar ninguna acción porque las versiones se implementan automáticamente a lo largo de varios días.
La vulnerabilidad ha sido marcada como «explotada», pero no se ha compartido información adicional.

El problema de gravedad crítica abordado esta semana es CVE-2024-49038, una vulnerabilidad de secuencias de comandos entre sitios (XSS) en Copilot Studio, un producto que utiliza IA generativa para permitir a los clientes personalizar o crear copilotos.
La neutralización incorrecta de la entrada durante la generación de páginas web (Cross-site Scripting) en Copilot Studio por parte de un atacante no autorizado conduce a la elevación de privilegios en una red.

La vulnerabilidad de Azure es CVE-2024-49052. Se trata de un problema de falta de autenticación que afecta a una función crítica de Azure PolicyWatch, lo que permite a un atacante elevar privilegios en una red.

Microsoft también anunció la aplicación de un parche a una vulnerabilidad XSS en Dynamics 365 Sales, una solución de gestión para vendedores. La brecha de seguridad permite a un atacante ejecutar un script malicioso en el navegador de la víctima al hacer que haga clic en un enlace especialmente diseñado.
Las aplicaciones de iOS y Android se ven afectadas, pero la vulnerabilidad se encuentra en el servidor web. Es posible que los usuarios deban actualizar sus aplicaciones, ya que Microsoft no ha indicado específicamente en su aviso que no es necesaria la interacción del usuario.

Recursos afectados

    • Azure
    • Copilot Studio
    • Sitio web Partner Network

Recomendaciones

Microsoft ha indicado que no se precisan acciones de los usuarios ya que las vulnerabilidades se han publicado solo por temas de transparencia. No obstante se recomienda tener los productos actualizados.

Referencias