Skip to main content

Microsoft Azure estuvo a merced de los ciberdelincuentes

Un error de configuración de Microsoft Azure podría haberles abierto la puerta a delincuentes informáticos a máquinas virtuales y cubos de almacenamiento basados ​​en la nube.

La vulnerabilidad del servicio, catalogado por la firma de Redmond como “un conjunto completo y en expansión constante de servicios de informática en la nube”, fue revelado por Threatpost basándose en informes de CyberArk.

La investigación relacionó la falla con el análisis de URL dentro de un archivo JavaScript utilizado en el manifiesto de extensión de Azure, según lo explicó Omer Tsarfati, investigador de seguridad informática.

Un manifiesto, explicó Threatpost, es un archivo de configuración JavaScript Object Notation (JSON), es decir, un formato liviano para almacenar y transportar datos enviados desde un servidor a una página en internet, que define la configuración que deben usar las aplicaciones web.

Durante su análisis, los expertos observaron «informes de telemetría enviados a un dominio no existente y que la mayoría de esas solicitudes de telemetría incluyen tokens de acceso».

Particularmente, los tokens de acceso son «objetos que describen el contexto de seguridad de un proceso o subproceso», según la definición de Microsoft. “La información en un token incluye la identidad y los privilegios de la cuenta de usuario asociada con el proceso o el hilo», complementó Threatpost.

El mismo medio contó que CyberArk creó dos exploits de prueba de concepto (PoC) contra la vulnerabilidad con el objetivo de obtener el control de los tokens de acceso de los usuarios.

“Ambos aprovechan el error cometido por Microsoft en el código de manifiesto de su portal de Azure (…) El error provocó que Azure intentara conectarse a un nombre de host inexistente ‘urehubs’”, detalló.

De acuerdo con CyberArk, el error data del 6 de septiembre de 2019, pero Microsoft lo solucionó “involuntariamente” dos semanas más tarde como parte de una actualización regular de la plataforma.

“Con tres líneas de código, cerró la puerta a los hackers (…) Microsoft logró mitigar la vulnerabilidad al garantizar que la URL no sea solo la ruta, sino una URL válida completa», detalló la firma de seguridad informática.

Threatpost concluyó que los investigadores han enfatizado que la vulnerabilidad “sirve como un precedente de otros posibles errores en la nube”, motivo por el cual “las empresas deben mantenerse alerta cuando se trata de confiar en una infraestructura y la seguridad de terceros”.

“Los servicios en la nube son excelentes opciones para muchas empresas. Sin embargo, confiar en ‘la infraestructura de otra persona’ depende de las medidas de seguridad de un tercero, lo que puede ser una práctica arriesgada «, reflexionó Tsarfati.

Recomendaciones del editor

Los auriculares Elite de próxima generación de Jabra mejoran mucho
auriculares jabra elite 10 8 active

Jabra
Solo ha pasado un año desde su lanzamiento, pero Jabra ya ha actualizado sus auriculares inalámbricos Elite 10 y Elite 8 Active con un nuevo estuche de carga que puede funcionar como transmisor inalámbrico. Simplemente conecte el estuche a una fuente de audio analógica, como el sistema de entretenimiento de un avión o una máquina de entrenamiento, usando el cable incluido, y el estuche enviará ese audio a los auriculares utilizando el último estándar Bluetooth LE Audio.
Jabra
Jabra dice que también ha realizado mejoras significativas en la calidad del audio espacial, la calidad de las llamadas y la cancelación de ruido. Desafortunadamente, estas nuevas características vienen con precios más altos. Tanto el Elite 10 Gen 2 como el Elite 8 Active Gen 2 se venden por 30 dólares más que sus predecesores: 279 y 229 dólares respectivamente, frente a los 249 y 199 dólares de los productos Gen 1. Estarán disponibles para su compra a mediados de junio, con opciones de color azul marino, negro, coral y oliva en el Elite 8 Active Gen 2, y colores negro titanio, negro brillante, cacao, denim y blanco suave para el Elite 10 Gen 2.

Jabra dice que no tiene planes actuales para descontinuar los productos Gen 1 y los venderá junto con las nuevas versiones Gen 2 en el futuro previsible.
Jabra
Si bien el uso de un estuche de carga como transmisor no es una idea nueva (Bowers & Wilkins lo hizo en el Pi7 y LG lo hizo en el Tone Free T90Q), la incorporación de LE Audio es una primicia. LE Audio cuenta con una latencia mucho más baja que las versiones anteriores de Bluetooth, lo que podría hacer que los nuevos auriculares Elite sean una mejor opción para los jugadores que dependen de un bajo retraso en los juegos de ritmo rápido. También debería ayudar con los problemas relacionados con la sincronización de diálogos.

Leer más
Los astronautas de Starliner dan el primer recorrido por la nave acoplada
astronautas starliner primer recorrido nave acoplada 137cc6

NASA Boeing Starliner Spacecraft Docked to the Space Station live updates from ISS #iss #nasa

Los astronautas de la NASA Suni Williams y Butch Wilmore han dado a los fanáticos del espacio un recorrido por la cápsula Starliner de Boeing, que actualmente está acoplada a la Estación Espacial Internacional (ISS).

Leer más
Llega nueva película de Los Juegos del Hambre en 2026
pelicula los juegos del hambre 2026

Lionsgate
Los Juegos del Hambre volverán en dos años. Lionsgate anunció que una nueva película precuela de Los Juegos del Hambre, The Hunger Games: Sunrise on the Reaping, llegará en 2026. La noticia del largometraje llega horas después de que Suzanne Collins revelara que su próxima novela de Los Juegos del Hambre, Sunrise on the Reaping, se estrenará en 2025.

Francis Lawrence, el director de cuatro películas de Los Juegos del Hambre, está en conversaciones para dirigir. Nina Jacobson y Brad Simpson, de Color Force, producirán Sunrise on the Reaping.

Leer más