మైక్రోసాఫ్ట్ పవర్ పేజీల తప్పు సెట్టింగ్‌లు సున్నితమైన డేటాను బహిర్గతం చేస్తాయి

మైక్రోసాఫ్ట్ పవర్ పేజీల సైట్ సృష్టి సమస్యను తప్పుగా కాన్ఫిగర్ చేసినందున ప్రైవేట్ కంపెనీలు మరియు ప్రభుత్వ రంగ సంస్థలు అనుకోకుండా లక్షలాది మంది వ్యక్తుల రహస్య సమాచారాన్ని పబ్లిక్ ఇంటర్నెట్‌కు బహిర్గతం చేస్తున్నాయి.

సెప్టెంబర్‌లో సమస్యను కనుగొన్న SaaS సెక్యూరిటీ విక్రేత AppOmni వద్ద SaaS భద్రతా పరిశోధన అధిపతి ఆరోన్ కాస్టెల్లో ప్రకారం.

a లో ప్రచురించండి పవర్ పేజీలతో సృష్టించబడిన సైట్‌లలో సరిగా కాన్ఫిగర్ చేయబడిన యాక్సెస్ నియంత్రణలకు ధన్యవాదాలు, ఎవరికైనా చూడటానికి తెరిచి ఉంచబడిన అంతర్గత సంస్థాగత ఫైల్‌లు మరియు వ్యక్తిగతంగా గుర్తించదగిన సమాచారం (PII) రెండింటినీ – అతను “గణనీయమైన డేటా”ను ఎలా కనుగొన్నాడో గురువారం ప్రచురించబడింది.

ఇది చాలా పెద్ద విషయం ఎందుకంటే 250 మిలియన్లకు పైగా వినియోగదారులు మైక్రోసాఫ్ట్ నుండి వెబ్‌సైట్ డిజైన్ సర్వీస్ – ప్రతి నెల పవర్ పేజీలను ఉపయోగించండి.

“ఒక సందర్భంలో, భాగస్వామ్య వ్యాపార సేవల యొక్క పెద్ద ప్రొవైడర్ [UK National Health Service] ఉద్యోగుల ఇమెయిల్ చిరునామాలు, ఫోన్ నంబర్లు మరియు ఇంటి చిరునామాలతో సహా పెద్ద మొత్తంలో డేటాతో NHS 1.1 మిలియన్ల కంటే ఎక్కువ NHS సిబ్బందిపై సమాచారాన్ని లీక్ చేస్తోంది” అని ఆయన రాశారు.

ఈ లీక్ కవర్ చేయబడింది మరియు ఉద్యోగుల డేటా ఇకపై బహిర్గతం కాదు.

ఇతర సంస్థల నుండి డేటా లీక్‌ల గురించి అడిగినప్పుడు, పేర్లను పేర్కొనడానికి కాస్టెల్లో నిరాకరించారు. “అధీకృత పరీక్ష ద్వారా మాత్రమే అనేక మిలియన్ల సున్నితమైన డేటా రికార్డులు పబ్లిక్ ఇంటర్నెట్‌కు బహిర్గతమయ్యాయి మరియు సాంకేతికత, ఆరోగ్య సంరక్షణ మరియు ఫైనాన్స్‌తో సహా ప్రైవేట్ సంస్థలు మరియు ప్రభుత్వ సంస్థలు రెండూ ప్రభావితమైనట్లు తెలిసింది” అని ఆయన చెప్పారు. ది రికార్డ్.

“బాహ్య వెబ్‌సైట్‌లను నిర్వహించేటప్పుడు మరియు SaaS ప్లాట్‌ఫారమ్‌లలో భద్రతతో వాడుకలో సౌలభ్యాన్ని సమతుల్యం చేస్తున్నప్పుడు సంస్థలు భద్రతకు ప్రాధాన్యత ఇవ్వాల్సిన అవసరం ఉందని స్పష్టంగా ఉంది – ఇవి ఈ రోజు అత్యంత సున్నితమైన కార్పొరేట్ డేటాను కలిగి ఉన్న అప్లికేషన్‌లు మరియు దాడి చేసేవారు కార్పొరేట్ నెట్‌వర్క్‌లలోకి ప్రవేశించడానికి ఒక మార్గంగా వాటిని లక్ష్యంగా చేసుకుంటున్నారు, “కాస్టెల్లో జోడించారు.

పవర్ పేజీలు అనేది మైక్రోసాఫ్ట్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లో బాహ్య వెబ్‌సైట్‌లను రూపొందించడాన్ని సంస్థలకు సులభతరం చేసే తక్కువ-కోడ్ సాఫ్ట్‌వేర్-ఒక-సేవ ప్లాట్‌ఫారమ్. సాధనం ముందుగా కాన్ఫిగర్ చేయబడిన పాత్ర-ఆధారిత యాక్సెస్ నియంత్రణలు మరియు మూడు వెలుపలి ఎంపికలను కలిగి ఉంటుంది. పాత్రలు ఇది తొలగించబడదు లేదా నిలిపివేయబడదు.

ఈ భద్రతా పర్యవేక్షణను అన్వేషించడానికి ఈ రెండు పాత్రలు చాలా ముఖ్యమైనవి: “అనామక వినియోగదారులు”, ఇది సైట్‌కు ప్రామాణీకరించబడని ప్రతి ఒక్కరికి ప్రాతినిధ్యం వహిస్తుంది మరియు “ప్రామాణీకరించబడిన వినియోగదారులు” – సైట్‌కి లాగిన్ చేసిన ఎవరైనా.

పవర్ పేజీలను ఉపయోగించి సృష్టించబడిన వెబ్‌సైట్‌లో ఖాతా కోసం నమోదు చేసుకోవడానికి అనేక సంస్థలు ఎవరినైనా అనుమతిస్తాయి కాబట్టి రెండోది సంబంధితంగా ఉంటుంది. నమోదు చేసుకున్న వారు ఆ పాత్రతో పాటు వచ్చే ఎలివేటెడ్ అనుమతులతో “ప్రామాణీకరించబడిన వినియోగదారు” అవుతారు.

సమస్య ఏమిటంటే, చాలా కంపెనీలు “ప్రామాణీకరించబడిన వినియోగదారు” పాత్రను సంస్థలోని ఎవరికైనా చెందినవిగా పరిగణిస్తాయి మరియు తదనుగుణంగా అనుమతులను మంజూరు చేస్తాయి – వారి వెబ్‌సైట్‌లలో నమోదు చేసుకున్న బయటి వ్యక్తులకు కూడా.

“ఇది చాలా ముఖ్యమైనది…సంస్థలు అంతర్గత స్వభావం అని నమ్మే ఫంక్షన్‌కి అధిక అనుమతులను మంజూరు చేసే అవకాశం చాలా ఎక్కువ” అని కాస్టెల్లో రాశాడు. మరో మాటలో చెప్పాలంటే, పబ్లిక్ రిజిస్ట్రేషన్‌ని ఎనేబుల్ చేసే పవర్ పేజీల వినియోగదారులు “ప్రామాణీకరించబడిన వినియోగదారులను” వారు సంస్థ వెలుపల “అనామక వినియోగదారు” వలె పరిగణించాలి.

సంక్లిష్టమైన యాక్సెస్ నియంత్రణలను సరిగ్గా పొందడం కష్టం

నియంత్రణలను యాక్సెస్ చేయడానికి పవర్ పేజీలు లేయర్డ్ విధానాన్ని కూడా ఉపయోగిస్తాయి. మీరు దాని నాలుగు లేయర్‌లను పిరమిడ్‌గా భావిస్తే, దిగువ స్థాయి – బేస్ లెవెల్ – సైట్-స్థాయి యాక్సెస్ నియంత్రణలు, ఇది సైట్ యొక్క ప్రమాణీకరణ సెట్టింగ్‌లను నియంత్రిస్తుంది మరియు పబ్లిక్ వెబ్ API ద్వారా డేటాబేస్‌లోని ఏ టేబుల్‌లు మరియు నిలువు వరుసలను యాక్సెస్ చేయవచ్చో నిర్ణయిస్తుంది. వెబ్ API ద్వారా యాక్సెస్ చేయదగినదిగా గుర్తించబడిన ఏదైనా డేటాబేస్ వనరులు అనధికార వీక్షకులకు లీక్ అయ్యే ప్రమాదం ఉంది.

పవర్ పేజీల నిర్వహణ భద్రతా పిరమిడ్‌లో తదుపరి స్థాయి a టేబుల్ అనుమతులు విభాగం, మరియు ఇక్కడే సైట్ అడ్మినిస్ట్రేటర్ నిర్వచించారు:

• పట్టిక – యాక్సెస్ మంజూరు చేయబడిన పట్టిక పేరు;
• పాత్రలు – ఈ యాక్సెస్ మంజూరు చేయబడిన పాత్రలు;
• దీని కోసం అనుమతి – అధీకృత వినియోగదారు నిర్వహించగల CRUD కార్యకలాపాలు, ఇందులో డేటాను “చదవండి”, “నవీకరించండి”, “జోడించండి”, “అనుబంధించండి”, “సృష్టించండి” మరియు “తొలగించండి”;
• యాక్సెస్ రకం – ఒకదానిని మాత్రమే ఎంచుకోగల ఎంపికల జాబితా, ఇది వినియోగదారు పట్టిక నుండి ఏ రికార్డ్‌లను యాక్సెస్ చేయగలదో నిర్ణయిస్తుంది.

“దాదాపు అన్ని” డేటా లీక్‌లు అతిగా అనుమతించబడిన టేబుల్ యాక్సెస్ కంట్రోల్ సెట్టింగ్‌ల కారణంగా తాను గుర్తించినట్లు కాస్టెల్లో చెప్పాడు. ఉదాహరణకు, పబ్లిక్ లాగింగ్ ప్రారంభించబడిన మరియు యాక్సెస్ రకం “గ్లోబల్ యాక్సెస్”కి సెట్ చేయబడిన సైట్‌లను అతను చూశాడు – పేరు సూచించినట్లుగా, ఇది పట్టికలోని అన్ని అడ్డు వరుసలకు యాక్సెస్‌ను మంజూరు చేస్తుంది.

పట్టిక అనుమతులు నిర్ణయించబడిన తర్వాత, పవర్ పేజీలు ఏవైనా వర్తిస్తాయి కాలమ్ యాక్సెస్ నియంత్రణలు భద్రత యొక్క మరొక పొరగా. ఇది సున్నితమైన సమాచారాన్ని రక్షించడానికి డేటా మాస్కింగ్‌ని ఉపయోగిస్తుంది మరియు సరైన పాత్రలు లేకుండా వినియోగదారుల నుండి రీజెక్స్ నమూనాకు సరిపోలే నిర్దిష్ట నిలువు వరుసలను అస్పష్టం చేయడానికి క్లయింట్‌లను అనుమతిస్తుంది.

వ్యక్తుల ఇంటి చిరునామాలను నిల్వ చేసే కాలమ్‌ను వీక్షించకుండా ఒక అనధికారిక వినియోగదారుని నిరోధించడానికి ఇటువంటి ఏర్పాటు మాస్కింగ్‌ని ఉపయోగించడానికి ఒక సంస్థను అనుమతిస్తుంది.

అయితే, ఈ మాస్కింగ్ నియమాలను కాన్ఫిగర్ చేయడం సంక్లిష్టమైన మరియు సమయం తీసుకునే ప్రక్రియ. దీని కారణంగా, చాలా సంస్థలు దీనిని నిర్లక్ష్యం చేస్తాయి. “నా పరీక్షలన్నింటిలో, సున్నితమైన కాలమ్‌లకు ప్రాప్యతను నిరోధించడానికి ఒక్క కాలమ్-స్థాయి భద్రతా అమలు కూడా లేదు” అని కాస్టెల్లో పేర్కొన్నారు.

కాస్టెల్లో గమనించిన తప్పు కాన్ఫిగరేషన్ యొక్క ప్రధాన రకాలు: వెబ్ APIకి అనేక లేదా అన్ని నిలువు వరుసలను బహిర్గతం చేయడం; ఓపెన్ లాగింగ్ మరియు బాహ్య ప్రామాణీకరణను అనుమతించండి (అంటే, ప్రామాణీకరించబడిన వినియోగదారులు వాస్తవానికి అనామకంగా ఉన్నప్పుడు ఎలివేటెడ్ యాక్సెస్‌ను అందించడం); అనామక వినియోగదారులకు ప్రపంచ ప్రాప్యతను మంజూరు చేయడం; మరియు కాలమ్ భద్రతను ప్రారంభించడం లేదు.

సున్నితమైన సమాచారాన్ని యాక్సెస్ చేయడానికి ఈ తప్పుగా కాన్ఫిగర్ చేయబడిన యాక్సెస్ నియంత్రణలను ఎలా ఉపయోగించుకోవచ్చో ఇది కాన్సెప్ట్ (POC) రుజువును కూడా అందిస్తుంది – అయితే పవర్ పేజీ సమస్యలను ఉపయోగించుకోవడానికి Burp Suite వంటి ప్రాక్సీ సాధనం అవసరమని జోడిస్తుంది.

Burp Suite వినియోగదారు బ్రౌజర్ మరియు వెబ్‌సైట్‌ను పరిశోధించే మధ్య కూర్చుని, HTTP అభ్యర్థనలను అడ్డగించి, వాటిని సవరించడానికి వినియోగదారుని అనుమతిస్తుంది. ఈ సందర్భంలో, కోస్టెల్లో – సంభావ్య దాడి చేసే వ్యక్తిగా నటిస్తూ – అభ్యర్థనను క్యాప్చర్ చేయడానికి మరియు సవరించడానికి, బహిర్గతమైన పట్టికలను గుర్తించడానికి మరియు సున్నితమైన డేటాను కలిగి ఉన్న నిలువు వరుసలను కనుగొనడానికి ఇది అనుమతించింది.

పబ్లిక్ ఇంటర్నెట్‌కు డేటాను బహిర్గతం చేసే ప్రమాదకరమైన కాన్ఫిగరేషన్‌లను గుర్తించినప్పుడు మైక్రోసాఫ్ట్ బ్యానర్‌లు మరియు ఇతర హెచ్చరికల ద్వారా వినియోగదారులను హెచ్చరిస్తుంది. అయినప్పటికీ, “ఈ సమస్యను పూర్తిగా పరిష్కరించడానికి అత్యంత ప్రభావవంతమైన మార్గం బాహ్య వినియోగదారుల కోసం అధిక స్థాయి యాక్సెస్‌ను తీసివేయడం” అని కాస్టెల్లో రాశాడు.

ది రికార్డ్ Microsoft నుండి వ్యాఖ్యను కోరింది మరియు ప్రచురణ సమయంలో ప్రతిస్పందనను అందుకోలేదు. ®