Skip to main content

Microsoft Azure estuvo a merced de los ciberdelincuentes

Un error de configuración de Microsoft Azure podría haberles abierto la puerta a delincuentes informáticos a máquinas virtuales y cubos de almacenamiento basados ​​en la nube.

La vulnerabilidad del servicio, catalogado por la firma de Redmond como “un conjunto completo y en expansión constante de servicios de informática en la nube”, fue revelado por Threatpost basándose en informes de CyberArk.

La investigación relacionó la falla con el análisis de URL dentro de un archivo JavaScript utilizado en el manifiesto de extensión de Azure, según lo explicó Omer Tsarfati, investigador de seguridad informática.

Un manifiesto, explicó Threatpost, es un archivo de configuración JavaScript Object Notation (JSON), es decir, un formato liviano para almacenar y transportar datos enviados desde un servidor a una página en internet, que define la configuración que deben usar las aplicaciones web.

Durante su análisis, los expertos observaron «informes de telemetría enviados a un dominio no existente y que la mayoría de esas solicitudes de telemetría incluyen tokens de acceso».

Particularmente, los tokens de acceso son «objetos que describen el contexto de seguridad de un proceso o subproceso», según la definición de Microsoft. “La información en un token incluye la identidad y los privilegios de la cuenta de usuario asociada con el proceso o el hilo», complementó Threatpost.

El mismo medio contó que CyberArk creó dos exploits de prueba de concepto (PoC) contra la vulnerabilidad con el objetivo de obtener el control de los tokens de acceso de los usuarios.

“Ambos aprovechan el error cometido por Microsoft en el código de manifiesto de su portal de Azure (…) El error provocó que Azure intentara conectarse a un nombre de host inexistente ‘urehubs’”, detalló.

De acuerdo con CyberArk, el error data del 6 de septiembre de 2019, pero Microsoft lo solucionó “involuntariamente” dos semanas más tarde como parte de una actualización regular de la plataforma.

“Con tres líneas de código, cerró la puerta a los hackers (…) Microsoft logró mitigar la vulnerabilidad al garantizar que la URL no sea solo la ruta, sino una URL válida completa», detalló la firma de seguridad informática.

Threatpost concluyó que los investigadores han enfatizado que la vulnerabilidad “sirve como un precedente de otros posibles errores en la nube”, motivo por el cual “las empresas deben mantenerse alerta cuando se trata de confiar en una infraestructura y la seguridad de terceros”.

“Los servicios en la nube son excelentes opciones para muchas empresas. Sin embargo, confiar en ‘la infraestructura de otra persona’ depende de las medidas de seguridad de un tercero, lo que puede ser una práctica arriesgada «, reflexionó Tsarfati.

Recomendaciones del editor

DT en Español
Esto hacen los mexicanos en internet: radiografía completa de uso
mexicanos internet 2023 bhargava marripati 7ldbkpwahj4 unsplash

En el marco de la celebración del Día de Internet 2023, en la Cámara de Diputados, la Asociación de Internet MX presentó los resultados del 19° Estudio sobre los Hábitos de Usuarios de Internet en México 2023, que revela cómo la pandemia aceleró la adopción de tecnologías digitales en el país, generando una transformación digital y social significativa.

Este estudio fue llevado a cabo en colaboración con la plataforma Knowsy AI una herramienta impulsada por IA y desarrollada en México para la recolección y análisis de datos en ecosistemas digitales, que permitió obtener información más detallada y precisa sobre los hábitos de los usuarios.

Leer más
Día de Internet: ¿cómo funcionan los cables submarinos?
dia de internet cables submarinos cable submarino

Si abriste este artículo y lees este párrafo, entonces eres parte de la celebración: hoy 17 de mayo, en prácticamente todo el mundo, se conmemora el Día de Internet.

Técnicamente, se trata del Día Mundial de las Telecomunicaciones y la Sociedad de la Información. Desde 2005 se le conoce coloquialmente como el Día de Internet, pero en realidad esto comenzó un 17 de mayo de 1968. En ese entonces, la Unión Internacional de Telecomunicaciones escogió la fecha para conmemorar la firma del primer Convenio Telegráfico Internacional, que data de 1865.

Leer más
Los mejores dispositivos para streaming del mercado
Los mejores dispositivos para streaming para 2022.

Los televisores inteligentes te permiten ver tus cadenas de streaming favoritas, (como Netflix, HBO Max, Amazon Prime Video, Hulu, Disney Plus), aunque la forma más popular de disfrutarlas sigue siendo un dispositivo de transmisión que se conecta a cualquier televisor –no necesariamente “inteligente”.

Como era de suponer, los principales competidores (Amazon Fire TV, Apple TV, Android TV, Google TV, Roku) luchan por su dinero, lo cual a la larga nos beneficia. Hoy, puedes llevarte uno a casa por un precio que oscila entre los  $30 y $200 dólares. Genial, pero ¿cuál es para ti?  Seleccionamos aquí los mejores dispositivos para streaming del mercado.
El mejor de todos
Apple TV 4K (2021)

Leer más