Skip to main content

Microsoft Azure estuvo a merced de los ciberdelincuentes

Un error de configuración de Microsoft Azure podría haberles abierto la puerta a delincuentes informáticos a máquinas virtuales y cubos de almacenamiento basados ​​en la nube.

La vulnerabilidad del servicio, catalogado por la firma de Redmond como “un conjunto completo y en expansión constante de servicios de informática en la nube”, fue revelado por Threatpost basándose en informes de CyberArk.

La investigación relacionó la falla con el análisis de URL dentro de un archivo JavaScript utilizado en el manifiesto de extensión de Azure, según lo explicó Omer Tsarfati, investigador de seguridad informática.

Un manifiesto, explicó Threatpost, es un archivo de configuración JavaScript Object Notation (JSON), es decir, un formato liviano para almacenar y transportar datos enviados desde un servidor a una página en internet, que define la configuración que deben usar las aplicaciones web.

Durante su análisis, los expertos observaron «informes de telemetría enviados a un dominio no existente y que la mayoría de esas solicitudes de telemetría incluyen tokens de acceso».

Particularmente, los tokens de acceso son «objetos que describen el contexto de seguridad de un proceso o subproceso», según la definición de Microsoft. “La información en un token incluye la identidad y los privilegios de la cuenta de usuario asociada con el proceso o el hilo», complementó Threatpost.

El mismo medio contó que CyberArk creó dos exploits de prueba de concepto (PoC) contra la vulnerabilidad con el objetivo de obtener el control de los tokens de acceso de los usuarios.

“Ambos aprovechan el error cometido por Microsoft en el código de manifiesto de su portal de Azure (…) El error provocó que Azure intentara conectarse a un nombre de host inexistente ‘urehubs’”, detalló.

De acuerdo con CyberArk, el error data del 6 de septiembre de 2019, pero Microsoft lo solucionó “involuntariamente” dos semanas más tarde como parte de una actualización regular de la plataforma.

“Con tres líneas de código, cerró la puerta a los hackers (…) Microsoft logró mitigar la vulnerabilidad al garantizar que la URL no sea solo la ruta, sino una URL válida completa», detalló la firma de seguridad informática.

Threatpost concluyó que los investigadores han enfatizado que la vulnerabilidad “sirve como un precedente de otros posibles errores en la nube”, motivo por el cual “las empresas deben mantenerse alerta cuando se trata de confiar en una infraestructura y la seguridad de terceros”.

“Los servicios en la nube son excelentes opciones para muchas empresas. Sin embargo, confiar en ‘la infraestructura de otra persona’ depende de las medidas de seguridad de un tercero, lo que puede ser una práctica arriesgada «, reflexionó Tsarfati.

Recomendaciones del editor

DT en Español
Reestructuran ejecutiva de Microsoft antes de evento Surface
Panos Panay

En lo que algunos llaman el “fin de una era”, Microsoft reveló que Panos Panay, líder de Surface y Windows desde hace mucho tiempo, dejará la empresa. El anuncio se produce pocos días antes del evento Surface and AI de Microsoft, el próximo 21 de septiembre, donde se espera que la compañía revele nuevos dispositivos como Surface Laptop Studio 2 .

Panay ha sido un pilar en los eventos de Microsoft, así como el campeón de los dispositivos Surface durante las presentaciones de Microsoft. Microsoft dice que el ex ejecutivo no estará en el evento de este jueves, según Tom Warren .
A principios de año, Microsoft anunció 10,000 despidos en un intento de realizar “cambios en nuestra cartera de hardware”, dijo en ese momento el director ejecutivo de Microsoft, Satya Nadella. Sin embargo, parece que Panay, que era vicepresidente ejecutivo y reportaba directamente a Nadella, decidió irse por su cuenta. “Después de casi 20 años en la empresa, Panos Panay decidió dejar Microsoft”, se lee en un correo electrónico interno compartido con Digital Trends.

Leer más
Pluto TV presenta los contenidos del especial del Mes de la Herencia Hispana

Pluto TV, el servicio de televisión streaming gratis, anuncio una lista de contenido especial dedicada a celebrar el Mes de la Herencia Hispana con una programación que celebra la influencia de esta cultura en Estados Unidos. Comenzando el 15 de septiembre hasta el 15 de octubre, Pluto TV destacará una variedad de contenido hispano, que incluye el lanzamiento de un canal en español enfocado en lo mejor del cine clásico, programas de entretenimiento, series, novelas, noticias, música y programas para niños.

“El Mes de la Herencia Hispana es un momento para reconocer y celebrar las contribuciones y la historia de las personas y comunidades hispanas. Estamos encantados de poder brindar un homenaje a esta cultura y ofrecer a nuestros televidentes una amplia gama de contenido con un horario que  a lo largo de este mes tan especial va a celebrar el encanto, la historia y la influencia de esta comunidad", afirmó Peter Chávez, Gerente Senior de Programación, para Pluto TV en Español.

Leer más
Evento de Apple: mira acá todos los videos
evento apple todos los videos

Fue un gran día para Apple el martes, ya que presentó nuevos iPhones y Apple Watches, al tiempo que ofreció una actualización sobre sus esfuerzos para convertirse en una compañía más ecológica.

Continuando con una tendencia que comenzó durante la pandemia cuando las empresas se alejaron de celebrar grandes reuniones en persona, el evento Wonderlust de Apple tomó la forma de un video de 83 minutos presentado hábilmente transmitido en vivo el martes por la mañana PT.

Leer más