Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Microsoft pierde control de uno de sus servicios que usa loophole en la plataforma de nube de azure

  • Publicado: 23/04/2019
  • Importancia: Alta

Recursos afectados

Un profesional de la ciberseguridad explotó una debilidad sin parches conocida en el servicio de nube de Azure de Microsoft, logró tomar el control de Windows Live Tiles, una de las características clave que Microsoft incorporó en el sistema operativo Windows 8.

Captura.jpg

El servicio de Live Tiles para ser práctico, Microsoft tenía una función disponible en un subdominio de un dominio separado, es decir, ” notifications.buildmypinnedsite.com, esto permite a administradores de sitios web convertir sus canales RSSS en un Formato XML especial y utilizarlos como etiquetas en sus sitios web.

Captura.jpg

El servicio de Microsoft estaba alojado en su propia plataforma de Azure Cloud con el subdominio configurado, después de deshabilitar el servicio de conversión de RSS a XML, el subdominio no reclamado queda apuntando a los servidores de Azure.

El investigador Hanno Böck, verifico esta debilidad, con una cuenta recién creada en Azure reclamo el mismo subdominio.

Etiquetas