Azure CLI es el último producto de Microsoft que corre grave riesgo debido a una nueva vulnerabilidad

CVE-2023-36052 puede exponer información confidencial en registros públicos.

CVE-2023-36052

Se informó que Azure CLI (Azure Command-Line Interface) corría un gran riesgo de exponer información confidencial. incluidas las credenciales, cada vez que alguien interactúe con los registros de GitHub Actions en la plataforma, de acuerdo a la última publicación del blog del Centro de respuesta de seguridad de Microsoft.

MSRC conoció la vulnerabilidad, ahora llamada CVE-2023-36052, gracias a un investigador que descubrió que modificar Azure Los comandos CLI podrían llevar a mostrar datos confidenciales y resultados para la integración continua y la implementación continua (CI/CD) registros.

Esta no es la primera vez que los investigadores descubren que los productos de Microsoft son vulnerables. A principios de este año, un equipo de investigadores informó a Microsoft que Teams es altamente propenso al malware moderno, incluidos los ataques de phishing. Los productos de Microsoft son tan vulnerables que el 80% de las cuentas de Microsoft 365 fueron hackeadas en 2022, solo.

La amenaza de la vulnerabilidad CVE-2023-36052 era tal que Microsoft tomó medidas de inmediato en todas las plataformas y Productos de Azure, incluidos Azure Pipelines, GitHub Actions y Azure CLI, e infraestructura mejorada para resistir mejor tales retocando.

En respuesta al informe de Prisma, Microsoft ha realizado varios cambios en diferentes productos, incluidos Azure Pipelines, GitHub Actions y Azure CLI, para implementar una redacción secreta más sólida. Este descubrimiento resalta la creciente necesidad de ayudar a garantizar que los clientes no registren información confidencial en sus repositorios y canalizaciones de CI/CD. Minimizar el riesgo de seguridad es una responsabilidad compartida; Microsoft ha publicado una actualización de la CLI de Azure para ayudar a evitar que se muestren secretos y se espera que los clientes sean proactivos a la hora de tomar medidas para proteger sus cargas de trabajo.

microsoft

¿Qué puede hacer para evitar el riesgo de perder información confidencial debido a la vulnerabilidad CVE-2023-36052?

El gigante tecnológico con sede en Redmond dice que los usuarios deberían actualizar Azure CLI a la última versión (2.54) lo antes posible. Después de la actualización, Microsoft también quiere que los usuarios sigan esta directriz:

  1. Actualice siempre la CLI de Azure a la última versión para recibir las actualizaciones de seguridad más recientes.
  2. Evite exponer la salida de la CLI de Azure en registros o ubicaciones de acceso público. Si desarrolla un script que requiere el valor de salida, asegúrese de filtrar la propiedad necesaria para el script. Por favor revise Información de la CLI de Azure sobre formatos de salida e implementar nuestras recomendaciones Guía para enmascarar una variable de entorno.
  3. Rote claves y secretos con regularidad. Como práctica recomendada general, se anima a los clientes a rotar periódicamente las claves y los secretos con el ritmo que mejor se adapte a su entorno. Vea nuestro artículo sobre consideraciones clave y secretas en Azure. aquí.
  4. Revise las instrucciones sobre la administración de secretos para los servicios de Azure..
  5. Revise las mejores prácticas de GitHub para reforzar la seguridad en GitHub Actions.
  6. Asegúrese de que los repositorios de GitHub estén configurados como privados a menos que sea necesario que sean públicos..
  7. Revise las instrucciones para proteger Azure Pipelines.

Microsoft realizará algunos cambios tras el descubrimiento de la vulnerabilidad CVE-2023-36052 en la CLI de Azure. Uno de estos cambios, dice la compañía, es la implementación de una nueva configuración predeterminada que evita que los datos sensibles información etiquetada como secreta se presente en la salida de comandos para servicios de Azure familia.CVE-2023-36052

Sin embargo, los usuarios deberán actualizar a la versión 2.53.1 y superior de la CLI de Azure, ya que la nueva configuración predeterminada no se implementará en versiones anteriores.

El gigante tecnológico con sede en Redmond también está ampliando las capacidades de redacción tanto en GitHub Actions como en Azure Pipelines para identificar y capturar mejor cualquier clave emitida por Microsoft que pueda exponerse en público registros.

Si utiliza la CLI de Azure, asegúrese de actualizar la plataforma a la última versión ahora mismo para proteger su dispositivo y su organización contra la vulnerabilidad CVE-2023-36052.

He aquí por qué Microsoft deshabilita el antivirus de terceros en Windows 10 Creators Update

He aquí por qué Microsoft deshabilita el antivirus de terceros en Windows 10 Creators UpdateLa Seguridad Cibernética

Hace un tiempo, Kaspersky Labs presentó quejas antimonopolio contra Microsoft en Europa y alegó que la compañía deshabilitó el software antivirus de terceros en Windows 10 a favor de Windows Defend...

Lee mas
Cuidado con las estafas telefónicas de Microsoft: los ciberdelincuentes están de vuelta

Cuidado con las estafas telefónicas de Microsoft: los ciberdelincuentes están de vueltaMicrosoftDebe LeerLa Seguridad Cibernética

Los ciberdelincuentes operan en varios niveles: utilizando software especial como keyloggers, enviando correos electrónicos pidiendo a los usuarios que les proporcionen información confidencial par...

Lee mas
Las CPU de octava generación de Intel traen un nuevo diseño de hardware para bloquear Spectre & Meltdown

Las CPU de octava generación de Intel traen un nuevo diseño de hardware para bloquear Spectre & MeltdownIntelLa Seguridad Cibernética

La Vulnerabilidades de seguridad de Spectre y Meltdown afectó a muchas computadoras en todo el mundo. Microsoft e Intel ya implementaron una serie de parches para solucionar el problema.Sin embargo...

Lee mas