概要
2023年3月30日,Tenable公司在协调漏洞披露(CVD)框架下,向微软报告了Power Platform自定义连接器中使用自定义代码的安全问题。该功能允许客户为自定义连接器编写代码。此问题现已完全解决,客户无需采取任何措施。
客户影响
此漏洞可能导致对Power Platform自定义连接器中使用的自定义代码函数的未授权访问。潜在影响包括:如果秘密或其他敏感信息嵌入在自定义代码函数中,可能会造成意外的信息泄露。
调查此报告后,仅检测到报告此事件的安全研究人员的访问,未确认其他攻击者的访问。微软已通过Microsoft 365管理中心(MC665159)向所有受影响客户通知了研究人员的访问情况。
修复发布
微软于2023年6月7日发布了首个修复程序,缓解了大多数客户的问题。随后,在2023年7月10日调查Tenable公司的报告时,发现逻辑删除状态的极少数自定义代码仍然受到影响。此逻辑删除是作为自定义连接器被误删除时允许快速恢复的恢复机制而存在的。微软工程团队采取了措施,确保并验证了对可能仍在使用自定义代码函数的潜在剩余客户的完全缓解。该工作于2023年8月2日完成。
作为安全更新准备的一部分,我们遵循包括彻底调查、更新开发和兼容性测试在内的广泛流程。最终,安全更新的开发需要在应用更新的速度与安全性以及更新质量之间取得微妙平衡。迁移过快可能导致(从可用性角度)客户混乱大于安全漏洞带来的风险。宽限期的目的是为高质量修复提供时间。并非所有修复都相同,有些可以非常快速且安全地应用,而有些则需要时间。此外,为保护客户免受安全漏洞利用,我们监控报告有主动利用的安全漏洞,并在发现主动利用时迅速响应。
作为服务提供商兼安全公司,微软作为生态系统的一部分,将客户保护置于所有其他目标之上。
微软感谢安全社区对漏洞的调查和披露。负责任的调查和缓解对于保护客户至关重要,这需要基于事实理解流程并合作的共同责任。偏离此流程会使客户和社区面临过度的安全风险。一如既往,微软的首要任务是保护客户并保持透明度,这一使命坚定不移。
参考文献
常见问题
Q: 如何知道我是否受到此未授权信息泄露的影响?
A: 微软自2023年8月4日起通过Microsoft 365管理中心(MC665159)向受影响客户通知了此问题。如果您未收到此通知,则无需采取任何行动。
Q: 如何知道我的组织是否收到了通知?
A: 微软通过Microsoft 365管理中心向受影响客户发送了带有数据隐私标签的通知。带有此数据隐私标签的通知仅可由具有全局管理员角色或消息中心隐私查看者角色的用户查看。这些角色由组织分配。有关角色详细信息和分配方法,请参阅此处。