Resumen: Múltiples investigadores acusan a Microsoft de poner innecesariamente en riesgo a los usuarios, tras haber tardado casi cinco meses en corregir un fallo de severidad crítica en Azure.
El fallo, rastreado como CVE-2022-29972, fue identificado por primera vez en enero y se trata de un error en el servicio de análisis de datos de Synapse Analytics de Azure.
Además, posee una calificación CVSS de 7.8 y su explotación exitosa le permitiría a los actores de la amenaza acceder y controlar los espacios de trabajo de otros clientes, así como filtrar datos sensibles en los servicios de la nube.
Ahora bien, en un aviso publicado el día de hoy, los investigadores de Orca Security informaron que Microsoft tardó más de tres meses en resolver este fallo, aun cuando recibió varias alertas sobre el mismo.
También, los analistas de Tenable, denunciaron la falta de respuesta ante otras dos vulnerabilidades en Azure Synapse, que cualquier atacante podría aprovechar para comprometer a sus víctimas.
La molestia de los investigadores se debe a que notificaron los fallos desde hace ya tiempo y fueron ignorados por el servicio de respuesta a amenazas de Microsoft.
De acuerdo con los analistas de Orca, inclusive 90 días después de revelar el fallo de seguridad, las claves y certificados seguían siendo válidos, por lo que aún se podía conseguir el acceso al servidor de gestión de Synapse.
Días más tarde, después de que Microsoft supuestamente parcheara el error, Orca aún podía acceder al servidor de Synapse.
Esta semana, después de una serie de quejas, Microsoft logró parchear la vulnerabilidad en la infraestructura de Azure, ahora si por completo.
En lo que respecta a los investigadores de seguridad, varias empresas se han unido para dar a conocer las interacciones que han tenido con Microsoft mediante la notificación de vulnerabilidades, y afirman que el riesgo que las vulnerabilidades pueden representar para los usuarios, a veces suele ser menospreciado por Microsoft.
Dada la gravedad de las vulnerabilidades en Azure, se le insta a los usuarios a instalar los parches lo antes posible.
También se le recomienda a todos los administradores ejecutar prácticas básicas de ciberseguridad para mantener sus dispositivos protegidos.
Recomendaciones: Se le recomienda a todos los administradores a descargar las actualizaciones correspondientes tan pronto como sea posible.
Referencias: https://www.theregister.com/2022/06/14/security_azure_patch/ |
SÍGUENOS