Skip to main content

Microsoft Azure estuvo a merced de los ciberdelincuentes

Un error de configuración de Microsoft Azure podría haberles abierto la puerta a delincuentes informáticos a máquinas virtuales y cubos de almacenamiento basados ​​en la nube.

La vulnerabilidad del servicio, catalogado por la firma de Redmond como “un conjunto completo y en expansión constante de servicios de informática en la nube”, fue revelado por Threatpost basándose en informes de CyberArk.

Recommended Videos

La investigación relacionó la falla con el análisis de URL dentro de un archivo JavaScript utilizado en el manifiesto de extensión de Azure, según lo explicó Omer Tsarfati, investigador de seguridad informática.

Un manifiesto, explicó Threatpost, es un archivo de configuración JavaScript Object Notation (JSON), es decir, un formato liviano para almacenar y transportar datos enviados desde un servidor a una página en internet, que define la configuración que deben usar las aplicaciones web.

Durante su análisis, los expertos observaron «informes de telemetría enviados a un dominio no existente y que la mayoría de esas solicitudes de telemetría incluyen tokens de acceso».

Particularmente, los tokens de acceso son «objetos que describen el contexto de seguridad de un proceso o subproceso», según la definición de Microsoft. “La información en un token incluye la identidad y los privilegios de la cuenta de usuario asociada con el proceso o el hilo», complementó Threatpost.

El mismo medio contó que CyberArk creó dos exploits de prueba de concepto (PoC) contra la vulnerabilidad con el objetivo de obtener el control de los tokens de acceso de los usuarios.

“Ambos aprovechan el error cometido por Microsoft en el código de manifiesto de su portal de Azure (…) El error provocó que Azure intentara conectarse a un nombre de host inexistente ‘urehubs’”, detalló.

De acuerdo con CyberArk, el error data del 6 de septiembre de 2019, pero Microsoft lo solucionó “involuntariamente” dos semanas más tarde como parte de una actualización regular de la plataforma.

“Con tres líneas de código, cerró la puerta a los hackers (…) Microsoft logró mitigar la vulnerabilidad al garantizar que la URL no sea solo la ruta, sino una URL válida completa», detalló la firma de seguridad informática.

Threatpost concluyó que los investigadores han enfatizado que la vulnerabilidad “sirve como un precedente de otros posibles errores en la nube”, motivo por el cual “las empresas deben mantenerse alerta cuando se trata de confiar en una infraestructura y la seguridad de terceros”.

“Los servicios en la nube son excelentes opciones para muchas empresas. Sin embargo, confiar en ‘la infraestructura de otra persona’ depende de las medidas de seguridad de un tercero, lo que puede ser una práctica arriesgada «, reflexionó Tsarfati.

Los AirPods están subiendo un nivel extra tras la presentación de Apple
AirPods

Apple presentó hoy un avance de las funciones de grabación de audio y control remoto de cámara con calidad de estudio para AirPods 4, AirPods 4 con cancelación activa de ruido (ANC) y AirPods Pro 2 en la WWDC 2025, que ofrecen nuevas formas de capturar contenido y mejorar la forma en que los usuarios se comunican. Las actualizaciones de la grabación de audio permiten a los creadores grabar voces con calidad de estudio sobre la marcha e iniciar o detener grabaciones de video a distancia con solo presionar el vástago de los AirPods. Sobre la base de los beneficios del aislamiento de voz, los usuarios de AirPods también disfrutarán de llamadas aún más claras con una calidad de voz mejorada.

La creación de contenido mejora aún más con la grabación de audio con calidad de estudio. Los entrevistadores, podcasters, cantantes y otros creadores pueden grabar su contenido con mayor calidad de sonido, e incluso grabar mientras están en movimiento o en entornos ruidosos con el aislamiento de voz. Con el chip H2, los micrófonos de formación de haces y el audio computacional, los usuarios también disfrutarán de una textura y claridad vocal más naturales en las llamadas de iPhone, FaceTime y las aplicaciones habilitadas para CallKit. La grabación de audio con calidad de estudio y la calidad de llamada mejorada funcionan en iPhone, iPad y Mac, a la vez que son compatibles con la aplicación Cámara, Notas de voz, dictado en Mensajes, aplicaciones de videoconferencia como Webex y aplicaciones de cámara de terceros compatibles.

Leer más
Mira aquí los primeros videos de unboxing de la Nintendo Switch 2
Nintendo Switch 2 Unboxing

El Nintendo Switch 2 se lanza a nivel mundial este jueves 5 de junio, y los primeros videos de unboxing para el nuevo dispositivo están comenzando a caer.

Pero primero, solo un recordatorio rápido sobre lo que estamos viendo aquí. El Switch 2, en caso de que el bombo haya pasado de alguna manera, es el sucesor muy esperado del Switch original, que salió en 2017.

Leer más
Este escritorio carga todos los dispositivos que están encima sin necesidad de cables
Escritorio cables

Posiblemente ahora estés en un escritorio mientras trabajas, estudias o incluso juegas. Seguramente está lleno de cables que alimentan los múltiples dispositivos que tienes a tu alrededor: computadora, celular, parlantes, monitor y un largo etc. Ahora, imagina ese mismo escritorio pero completamente desnudo de cableado, pero con tus aparatos cargándose solo por estar apoyados en esa mesa.

Eso es lo que construyó el youtuber DIY Perks, que diseñó un sistema de energía inalámbrica gracias a la colaboración con un Kit de investigación y desarrollo de una empresa llamada Etherdyne Technologies.

Leer más