Skip to main content

Microsoft Azure estuvo a merced de los ciberdelincuentes

Un error de configuración de Microsoft Azure podría haberles abierto la puerta a delincuentes informáticos a máquinas virtuales y cubos de almacenamiento basados ​​en la nube.

La vulnerabilidad del servicio, catalogado por la firma de Redmond como “un conjunto completo y en expansión constante de servicios de informática en la nube”, fue revelado por Threatpost basándose en informes de CyberArk.

Recommended Videos

La investigación relacionó la falla con el análisis de URL dentro de un archivo JavaScript utilizado en el manifiesto de extensión de Azure, según lo explicó Omer Tsarfati, investigador de seguridad informática.

Un manifiesto, explicó Threatpost, es un archivo de configuración JavaScript Object Notation (JSON), es decir, un formato liviano para almacenar y transportar datos enviados desde un servidor a una página en internet, que define la configuración que deben usar las aplicaciones web.

Durante su análisis, los expertos observaron «informes de telemetría enviados a un dominio no existente y que la mayoría de esas solicitudes de telemetría incluyen tokens de acceso».

Particularmente, los tokens de acceso son «objetos que describen el contexto de seguridad de un proceso o subproceso», según la definición de Microsoft. “La información en un token incluye la identidad y los privilegios de la cuenta de usuario asociada con el proceso o el hilo», complementó Threatpost.

El mismo medio contó que CyberArk creó dos exploits de prueba de concepto (PoC) contra la vulnerabilidad con el objetivo de obtener el control de los tokens de acceso de los usuarios.

“Ambos aprovechan el error cometido por Microsoft en el código de manifiesto de su portal de Azure (…) El error provocó que Azure intentara conectarse a un nombre de host inexistente ‘urehubs’”, detalló.

De acuerdo con CyberArk, el error data del 6 de septiembre de 2019, pero Microsoft lo solucionó “involuntariamente” dos semanas más tarde como parte de una actualización regular de la plataforma.

“Con tres líneas de código, cerró la puerta a los hackers (…) Microsoft logró mitigar la vulnerabilidad al garantizar que la URL no sea solo la ruta, sino una URL válida completa», detalló la firma de seguridad informática.

Threatpost concluyó que los investigadores han enfatizado que la vulnerabilidad “sirve como un precedente de otros posibles errores en la nube”, motivo por el cual “las empresas deben mantenerse alerta cuando se trata de confiar en una infraestructura y la seguridad de terceros”.

“Los servicios en la nube son excelentes opciones para muchas empresas. Sin embargo, confiar en ‘la infraestructura de otra persona’ depende de las medidas de seguridad de un tercero, lo que puede ser una práctica arriesgada «, reflexionó Tsarfati.

Steven Spielberg es un amante de los videojuegos ¿por qué le gustan?
Steven Spielberg

Steven Spielberg cuenta con una lista sin precedentes de logros icónicos: tres Oscar, dos BAFTA, cuatro Globos de Oro, un Premio AFI a la Trayectoria, un Premio Kennedy Center Honors y una Medalla Presidencial de la Libertad. En un tesoro lleno de premios, inserta una línea sobre el amor por los videojuegos en su currículum.

Max Spielberg es cofundador y director creativo del desarrollador de videojuegos FuzzyBot. También resulta ser el hijo del legendario director. En una entrevista reciente, Max reveló el amor y el aprecio de su padre por los videojuegos, especialmente hacia cierta franquicia de guerra.

Leer más
¿La nueva y última película de Clint Eastwood ya corre para los Oscar?
juror 2 clint eastwood trailer

Clint Eastwood, bienvenido a la carrera por el Oscar. El cineasta de 94 años regresa el próximo mes con el nuevo drama judicial Juror # 2, que recibió su primer tráiler de Warner Bros. Pictures.

Nicholas Hoult interpreta a Justin Kemp, un hombre de familia convocado para servir como jurado en un juicio por asesinato de alto perfil. Un año antes, Kemp posiblemente atropelló a un ciervo mientras conducía durante una tormenta a altas horas de la noche. ¿Por qué es relevante? Kemp está sirviendo como miembro del jurado en un juicio que puede tener una conexión con su accidente.

Leer más
T-Mobile ha sido multada con millones de dólares. Aquí los detalles
T-Mobile

Existe una expectativa de privacidad y seguridad por parte de su proveedor de telefonía móvil. Es por eso que una serie de violaciones de datos de T-Mobile desde 2021 hasta enero de este año causaron tanta preocupación. Más de 130 millones de clientes se vieron afectados, y sus direcciones, fechas de nacimiento y, a veces, incluso números de Seguro Social quedaron expuestos en los ataques.

T-Mobile ha llegado a un acuerdo con la Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés) con respecto a las violaciones de datos. La compañía está obligada a pagar 15,75 millones de dólares en multas, pero también está pagando 15,75 millones de dólares adicionales en mejoras de infraestructura para mejorar su ciberseguridad. El acuerdo también incluye varios pasos accionables por parte de T-Mobile.

Leer más