Las vulnerabilidades están aflorando en la mayoría de empresas, entre ellas hemos tenido vulnerabilidades en WhatsApp, TikTok y Zoom. Hace unos meses la empresa internacional proveedora de soluciones IT, Check Point encontró una serie de vulnerabilidades en Microsoft.
Ellos pensaron que sería bueno poner a prueba a Microsoft, para encontrar una serie de vulnerabilidades en su seguridad integrada en la nube. El servicio de la nube que ofrece Microsoft, se llama Microsoft Azure y ese fue su objetivo principal.
Check Point encontró una vulnerabilidad enorme en Microsoft Azure, la cual Microsoft solucionó totalmente en un tiempo record. Si bien, es cierto, que Check Point explica que la brecha era considerablemente grande. Tenían un primer exploit que era la ejecución remota de código (RCE), un usuario podía romper el aislamiento de la nube, manipulando los programas.
No hubo detalles cuando Microsoft corrigió la falla, solamente un breve comunicado diciendo que un usuario podría provocar una ejecución de código escapando la seguridad,pero que ya han sido actualizados con el nuevo lanzamiento de CVE-2019-1372 y CVE-2019-1234.
Primero, tenemos un error de software que puede llevar a bloquear el sistema. Y el segundo en una falta en la seguridad que puede manipularse para salirse de la infraestructura de la nube y del hardware compartido. Podemos comparar la nube como un gran apartamento de bloques, en el que cada usuario tiene un piso en el bloque con su llave, lo que consiguió descubrir Check Point es una llave maestra que puede abrir todos los pisos.
Se rompió el aislamiento de Azure, lo que afecta a millones de usuarios ya que Check Point pudo acceder al código de otros inquilinos. Muchos bancos usan la nube como seguridad, donde guardan sus datos más confidenciales, Check Point podría acceder a esos datos y modificar todas las transacciones del banco.
En el momento en el que consiguieron poder ver el código de todos los usuarios y manipularlo, se puede automatizar el proceso e implantar un troyano que lo haga más rápido y fácil.
Es cierto, que cuando Check Point descubrió la breca informó a Microsoft, a cambio obtuvieron una recompensa. Es decir, la seguridad nunca se tiene que asumir por estar en una nube, siempre tenemos que tener cuidado con nuestros datos.