被别家CEO狂怼，微软火速且老实地修复了严重漏洞后......回怼

先来看一下这份长长的时间轴：

该漏洞的根因在于 Power Platform 内连接器启动的 Azure Function 主机的访问控制措施不当。这些连接器使用集成到当作HTTP 触发器用的由微软管理的 Azure Function 中的C# 代码。

尽管客户与自定义连接器的交互通常经由经验证的 API 实现，但API 端点在未执行认证的情况下将请求推送给 Azure Function。这就导致攻击者有机会利用不安全的 Azure Function 主机并拦截 OAuth 客户端ID和机密信息。

发现并在3月30日报送该漏洞的公司 Tenable 指出，“应当注意的是，它不仅仅是一个信息泄露问题，因为它可访问并与不安全的 Function 主机交互，并出发由自定义连接器代码定义的行为，可造成更多影响。然而，鉴于该服务的性质，对每天连接器造成的影响不一，不通过穷尽测试难以量化这些影响。”

Tenable 公司的 CEO Amit Yoran 提到，“为了让大家了解影响的严重程度，我们团队快速将认证机密披露给一家银行，他们对漏洞的严重性表示深切担忧，我们立即通知微软。”

Tenable 公司还分享了概念验证利用代码和找到连接器主机名和构造 POST 请求与不安全 API 端点交互的步骤。

微软最初开始调查 Tenable 公司提交的报告后发现研究员是唯一利用该问题的人员。7月份进一步分析后，微软认为处于“软删除”状态的一些 Azure Functions 并未得到适当缓解。Tenable 公司指出微软在6月7日部署的修复方案并不完整后，微软最终在8月2日为所有客户修复了这个漏洞。微软在上周五表示，“已为所有客户完全修复了这个问题，客户无需采取任何修复措施。”随后，微软在8月4日开始通过 Microsoft 365 Admin Center 告知所有受影响客户。

尽管如此，但 Tenable 公司认为该修复方案仅适用于新部署的 Power Apps 和 Power Automation 自定义连接器，“微软通过要求 Azure Function 密钥访问 Function 主机及其 HTTP 触发器，为新部署的连接器修复了该问题。我们将建议要求获得所部署修复方案其它详情的客户，向微软求证权威答复。”

微软修复该漏洞花了五个月的时间，但要不是 Tenable 公司的CEO 对微软最初的回应表达强烈不满，估计会花费更多时间。8月2日，Yoran 发布文章谴责微软的做事方式“极端不负责任”以及“公然疏忽”。

更糟糕的是，微软最初承诺在9月份修复该问题，与预期的90天期限相去甚远，而相比之下，大多数供应商在修复漏洞时都会遵循90天期限。这一延期加重了人们对于微软响应自身产品漏洞及时性的担忧。

Yoran 提到，“微软是否修复了可导致多家客户的网络和服务遭攻陷的问题？当然没有。他们实现部分修复方案的时间超过了90天，而且还仅对服务中加载的新应用有效。也就是说，到今天为止，我前面提到的那家银行仍然易受攻击，距离我们报送这个问题已经超过了120天，其它所有在修复方案发布前启动该服务的组织机构也仍然易受攻击。而且，就我们所知，这些组织机构仍然不知道自己正面临风险，因此无法就部署控制和其它风险缓解措施做出明智决策。”