Language
마이크로소프트, '무책임한' 패치 일정에 대해 비판

소식

홈페이지홈페이지 / 소식 / 마이크로소프트, '무책임한' 패치 일정에 대해 비판
search
최근 뉴스

Aug 29, 2023

LCD와 LED의 10가지 이상의 차이점

Jun 13, 2023

12유로 ESP32

Jul 11, 2023

2024 Yamaha Ténéré 700 첫 번째 살펴보기 [ADV 라이딩에 대한 6가지 요약]

Dec 23, 2023

2025 미니쿠퍼, OLED 스크린과 레트로 게이지, 애견 보조원 공개

Feb 22, 2024

500달러 미만 게임용 최고의 360Hz 모니터 4개

문의 보내기
제출하다

Jun 01, 2023

마이크로소프트, '무책임한' 패치 일정에 대해 비판

Microsoft는 테넌트 간 응용 프로그램 및 중요한 데이터에 대한 제한적이고 무단 액세스를 허용할 수 있는 보안 문제를 처리하면서 회사가 보안을 다루는 방법에 대한 조사를 받게 되었습니다.

Microsoft는 테넌트 간 응용 프로그램 및 민감한 데이터에 대한 제한적이고 무단 액세스를 허용할 수 있는 보안 문제를 처리하면서 회사가 플랫폼의 보안 허점을 어떻게 처리하는지에 대한 조사를 받게 되었습니다.

이 문제는 비즈니스 인텔리전스, 앱 개발 및 앱 연결 소프트웨어 애플리케이션 제품군인 Microsoft의 Power 플랫폼에서 발생합니다. 문제를 발견한 Tenable의 연구원에 따르면 플랫폼의 사용자 지정 커넥터 작업의 일부로 시작되는 Azure Function 호스트에는 충분한 액세스 제어가 없습니다.

Tenable은 3월 30일에 이 문제에 대해 처음으로 Microsoft에 연락했습니다. 몇 달 후, Microsoft는 7월 6일에 Tenable에 문제가 해결되었음을 알렸습니다. 그러나 Tenable은 수정 사항이 불완전하다는 사실을 발견했습니다. 계속해서 주고받은 끝에 Microsoft는 7월 21일에 Tenable에 이 문제에 대한 완전한 수정 사항이 9월 28일까지 출시되지 않을 것이라고 알렸습니다. 7월 31일에 Tenable은 이 문제에 대한 제한된 권고를 발표했습니다. 그런 다음 목요일에 Tenable은 Microsoft가 새로 배포된 커넥터에서 문제를 해결한 후 Azure 함수 키를 사용하여 함수 호스트 및 해당 HTTP 트리거에 액세스하도록 요구함으로써 추가 세부 정보로 권고를 업데이트했습니다.

그러나 Tenable의 회장 겸 CEO인 Amit Yoran은 이번 주 LinkedIn 게시물에서 긴 공개 일정이 Microsoft의 "무책임한" 움직임이라고 비난했습니다.

“Microsoft는 여러 고객의 네트워크 및 서비스 침해로 이어질 수 있는 문제를 신속하게 해결했습니까? 당연히 아니지. 서비스에 로드된 새 애플리케이션에 대해서만 부분적인 수정을 구현하는 데 90일 이상이 걸렸습니다.”라고 Yoran은 말했습니다.

이 문제는 심각하며 연구원들이 은행의 인증 비밀을 발견할 수 있게 되었다고 Yoran은 말했습니다. 사용자 지정 커넥터와 연결된 Azure 함수의 호스트 이름을 확인할 수 있는 공격자는 인증 없이 해당 함수와 상호 작용할 수 있습니다. 이를 통해 다른 Azure 함수 호스트 이름을 결정할 수 있으며 많은 사용자 지정 커넥터가 Microsoft의 Power Platform과 타사 서비스 간의 인증 흐름을 처리하는 것으로 나타나기 때문에 공격자가 특정 형태의 인증(예: OAuth 클라이언트 ID 및 비밀)을 가로챌 가능성이 있습니다. ).

Tenable 연구원들은 "보안되지 않은 기능 호스트에 액세스하고 상호 작용할 수 있고 사용자 정의 커넥터 코드에 의해 정의된 트리거 동작이 더 많은 영향을 미칠 수 있으므로 이것이 정보 공개 문제만은 아니라는 점에 유의해야 합니다."라고 밝혔습니다. 업데이트된 권고. "그러나 서비스의 특성으로 인해 개별 커넥터마다 영향이 다를 수 있으며 철저한 테스트 없이는 정량화하기 어려울 것입니다."

테너블은 목요일에 이전에 영향을 받은 호스트에 더 이상 액세스할 수 없다고 밝혔으며 배포된 수정 사항의 특성에 대한 추가 세부 정보를 원하는 고객은 "권한 있는 답변"을 위해 Microsoft에 문의했습니다. 한편 마이크로소프트는 이제 모든 고객을 대상으로 이 문제가 완전히 해결되었으며 고객이 더 이상 조치를 취할 필요가 없다고 밝혔습니다.

Microsoft 대변인은 “제품 문제를 책임감 있게 공개하기 위해 보안 커뮤니티와 협력해 주셔서 감사합니다.”라고 밝혔습니다. “우리는 영향을 받는 제품의 모든 버전에 대한 철저한 조사, 업데이트 개발, 다른 운영 체제 및 응용 프로그램 간의 호환성 테스트를 포함하는 광범위한 프로세스를 따릅니다. 궁극적으로 보안 업데이트를 개발하는 것은 적시성과 품질 사이의 절묘한 균형을 맞추는 동시에 고객 중단을 최소화하면서 고객 보호를 극대화하는 것입니다.”

이 특정 문제 외에도 Microsoft는 보안 관행에 대해 지난 몇 주 동안 강화된 조사를 받았습니다. 공격자가 위조된 인증 토큰을 활용하여 획득한 Microsoft 계정 소비자 서명 키로 피해자의 이메일에 액세스하는 여러 미국 연방 기관에 영향을 미친 사이버 공격이 있은 후 Ron Wyden 상원 의원(D-Ore)은 CISA, FTC 및 DoJ에 다음을 촉구했습니다. “마이크로소프트에게 과실에 대한 책임을 물을 것”