在被Tenable的CEO批評為「極度不負責任」和「明顯失職」後，微軟解決了Power Platform Custom Connectors功能中的漏洞，該漏洞使未經身份驗證的攻擊者能夠入侵Azure客戶的敏感數據。8月2日，經過Tenable宣布 ，微軟已經為所有客戶解決了這個問題，認為僅適用於最近部署的Power Apps和Power Automation自定義連接器，儘管微軟聲稱已經為所有Azure用戶解決了信件洩露問題。Tenable表示：微軟已經通過要求使用Azure Function金鑰來造訪Function Host 及HTTP觸發，為新部署的連接器修復了這個問題

 

問題描述

Tenble 於3月30日向微軟 報告了涉及Power Platform Custom Connectors使用自定義代碼的安全問題。

 

                                                                                                    【自訂連接器概觀】

 

微軟於7月12日宣布了一個重大漏洞，並將其與犯罪組織 Storm-0558 連結在一起。約有25家不同組織受到了此次網路攻擊的影響，這次攻擊還導致了美國政府官員私人電子郵件的被盜取。羅恩·懷登（Ron Wyden）上週在一則 美國司法部的信中要求將微軟為「疏忽的網絡安全實踐」負起責任。

 

根據Tenable的CEO Amit Yoran的說法，微軟在收到Tenable的通知後「花了超過90天來實施部分修復」。他進一步指稱，該修復僅適用於「在修復之後加載的新應用程式」。銀行及所有其他在修復之前就已經啟動服務的企業也受到了影響，Yoran 聲稱，對其他後續影響不太清楚，最終 Tenable 也提供了概念驗證的利用代碼，並且定位容易受攻擊的連接器主機名稱並製作POST請求以利於未受保護的API端點進行通信的指示。

 

漏洞及淺在影響

該漏洞涉及使用自定義代碼的Power Platform 自定義連接器，該功能允許客戶為自定義連接器編寫代碼。若被利用，可能會發生對敏感數據未經授權影響。在受到安全研究人員的批評後，微軟已經解決了其 Azure 雲服務中的一個漏洞。該漏洞最早由網絡安全公司 Tenable 於 2023 年 3 月 30 日向微軟報告。然而，直到 6 月初，微軟才發布了初步修改程序，但在 7 月份發現不夠完整，又於2023 年8 月2 日提供了完整的措施來解決。

 

參考資料:

https://gbhackers.com/microsoft-azure-ad-flaw/amp/

https://windows.atsit.in/bc/15927/

https://learn.microsoft.com/zh-tw/connectors/custom-connectors/