摘要
2023年3月30日,Tenable根据协调漏洞披露(CVD)向微软报告了关于使用自定义代码的Power Platform自定义连接器的安全问题。该功能允许客户为自定义连接器编写代码。此问题已为所有客户完全解决,无需客户采取修复措施。
客户影响
该漏洞可能导致未经授权访问用于Power Platform自定义连接器的自定义代码功能。如果秘密或其他敏感信息嵌入在自定义代码函数中,潜在影响可能是意外的信息泄露。
我们对报告的调查仅发现报告此事件的安全研究人员存在异常访问,没有其他行为者。所有受影响的客户已通过Microsoft 365管理中心(MC665159)收到关于此异常访问的通知。
修复发布
微软于2023年6月7日发布了初始修复,为大多数客户缓解了此问题。对Tenable于2023年7月10日的后续报告进行的调查显示,处于软删除状态的极少数自定义代码仍然受到影响。软删除状态的存在是为了在意外删除自定义连接器时能够快速恢复,作为一种弹性机制。微软工程团队采取措施确保并验证了对任何可能仍在使用自定义代码功能的客户的完全缓解。这项工作于2023年8月2日完成。
作为准备安全修复的一部分,我们遵循一个广泛的过程,包括彻底的调查、更新开发和兼容性测试。最终,开发安全更新是在应用修复的速度和安全性以及修复质量之间的微妙平衡。行动过快可能会导致比客户承担的安全漏洞风险更大的客户中断(在可用性方面)。禁运期的目的是为高质量修复提供时间。并非所有修复都是相同的。有些可以很快完成并安全应用,而其他可能需要更长时间。为了保护我们的客户免受禁运安全漏洞的利用,我们还开始监控任何报告的主动利用的安全漏洞,并在发现任何主动利用时迅速采取行动。作为服务提供商和安全公司,微软很高兴成为专注于保护客户作为最高优先级的组织生态系统的一部分,超越所有其他目标。
微软也感谢安全社区对漏洞的研究和披露。负责任的研究和缓解对于保护我们的客户至关重要,这伴随着共同的责任,即实事求是、理解流程并共同努力。任何偏离此过程的行为都会使客户和我们的社区面临不应有的安全风险。一如既往,微软的首要任务是保护客户并与客户保持透明,我们坚定地履行我们的使命。
参考
客户常见问题
问:我如何知道我是否受到此未经授权信息泄露的影响?
答:微软从2023年8月4日开始通过Microsoft 365管理中心(MC665159)通知受影响的客户此问题。如果您没有收到此通知,则无需采取任何行动。
问:我如何知道是否向我的组织发送了通知?
答:我们使用数据隐私标签向受影响的客户发送了Microsoft 365管理中心通知,这意味着只有具有全局管理员角色或消息中心隐私读取者角色的用户才能查看通知。这些角色由您的组织指定。您可以在此处了解更多关于这些角色以及如何分配它们的信息。