Skip to main content

Microsoft Azure estuvo a merced de los ciberdelincuentes

Un error de configuración de Microsoft Azure podría haberles abierto la puerta a delincuentes informáticos a máquinas virtuales y cubos de almacenamiento basados ​​en la nube.

La vulnerabilidad del servicio, catalogado por la firma de Redmond como “un conjunto completo y en expansión constante de servicios de informática en la nube”, fue revelado por Threatpost basándose en informes de CyberArk.

La investigación relacionó la falla con el análisis de URL dentro de un archivo JavaScript utilizado en el manifiesto de extensión de Azure, según lo explicó Omer Tsarfati, investigador de seguridad informática.

Un manifiesto, explicó Threatpost, es un archivo de configuración JavaScript Object Notation (JSON), es decir, un formato liviano para almacenar y transportar datos enviados desde un servidor a una página en internet, que define la configuración que deben usar las aplicaciones web.

Durante su análisis, los expertos observaron «informes de telemetría enviados a un dominio no existente y que la mayoría de esas solicitudes de telemetría incluyen tokens de acceso».

Particularmente, los tokens de acceso son «objetos que describen el contexto de seguridad de un proceso o subproceso», según la definición de Microsoft. “La información en un token incluye la identidad y los privilegios de la cuenta de usuario asociada con el proceso o el hilo», complementó Threatpost.

El mismo medio contó que CyberArk creó dos exploits de prueba de concepto (PoC) contra la vulnerabilidad con el objetivo de obtener el control de los tokens de acceso de los usuarios.

“Ambos aprovechan el error cometido por Microsoft en el código de manifiesto de su portal de Azure (…) El error provocó que Azure intentara conectarse a un nombre de host inexistente ‘urehubs’”, detalló.

De acuerdo con CyberArk, el error data del 6 de septiembre de 2019, pero Microsoft lo solucionó “involuntariamente” dos semanas más tarde como parte de una actualización regular de la plataforma.

“Con tres líneas de código, cerró la puerta a los hackers (…) Microsoft logró mitigar la vulnerabilidad al garantizar que la URL no sea solo la ruta, sino una URL válida completa», detalló la firma de seguridad informática.

Threatpost concluyó que los investigadores han enfatizado que la vulnerabilidad “sirve como un precedente de otros posibles errores en la nube”, motivo por el cual “las empresas deben mantenerse alerta cuando se trata de confiar en una infraestructura y la seguridad de terceros”.

“Los servicios en la nube son excelentes opciones para muchas empresas. Sin embargo, confiar en ‘la infraestructura de otra persona’ depende de las medidas de seguridad de un tercero, lo que puede ser una práctica arriesgada «, reflexionó Tsarfati.

Recomendaciones del editor

DT en Español
Una era importante en los chips de Intel puede estar llegando a su fin
intel chips arrow lake chip

Intel
Se dice que los chips Arrow Lake de próxima generación de Intel saldrán a finales de este año, pero aún no sabemos mucho sobre ellos. Sin embargo, una nueva filtración nos muestra que dos características cruciales pueden faltar en la línea de CPU de próxima generación: hyperthreading y soporte para la extensión AVX-512. Si Intel está abandonando el hyperthreading, no es del todo inesperado, pero podría hacer que sea más difícil incluso para sus mejores procesadores vencer a AMD.

Hyperthreading permite que los núcleos físicos de los procesadores Intel realicen dos tareas simultáneamente, lo que mejora la eficiencia y el rendimiento en aplicaciones multiproceso. Intel lo introdujo por primera vez en 2002, pero no ha utilizado la tecnología en todas las generaciones de sus CPU desde entonces hasta ahora. La tecnología prácticamente desapareció de los procesadores de cliente durante muchos años después de su lanzamiento, aunque todavía estaba presente en ciertos modelos. Desde entonces, Intel ha implementado HT de forma selectiva en toda su pila de productos. En los últimos años, se convirtió en un elemento básico, especialmente en chips de gama media y alta.

Leer más
Los consejos de observación del cielo de la NASA para febrero incluyen el regreso de Marte
Niños miran hacia el cielo con auriculares de realidad virtual

What's Up: February 2024 Skywatching Tips from NASA

La NASA ha compartido sus mejores consejos sobre qué ver en el cielo en las próximas semanas.

Leer más
Dos problemas gigantes de privacidad de los teléfonos inteligentes
mejores celulares mercado iphone android 15 pro max review outside leaves

Apple iPhone 15 Pro Max Andy Boxall / DT
Esta ha sido una semana bastante impresionante en lo que respecta a la privacidad y seguridad de los usuarios de teléfonos inteligentes. Específicamente, dos investigaciones han revelado preocupaciones preocupantes sobre la privacidad en torno a la publicidad de teléfonos inteligentes y el sistema de notificación de iOS.

El primero, una profunda investigación realizada por 404 Media, descubrió que una empresa llamada Patternz está utilizando el sistema de entrega de anuncios en los teléfonos inteligentes para extraer información a través de aplicaciones y luego enviarla a los postores.

Leer más