Microsoft dijo el martes que abord\u00f3 una vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n en Cuadernos Jupyter<\/a> para Azure Cosmos DB que permiti\u00f3 el acceso completo de lectura y escritura.<\/p>\n El gigante tecnol\u00f3gico dijo que el problema se present\u00f3 el 12 de agosto de 2022 y se solucion\u00f3 en todo el mundo el 6 de octubre de 2022, dos d\u00edas despu\u00e9s de la divulgaci\u00f3n responsable de Orca Security, que denomin\u00f3 la falla. cosse\u00f1orita<\/strong><\/a>.<\/p>\n “En resumen, si un atacante tuviera conocimiento del ‘forwardingId’ de una computadora port\u00e1til, que es el UUID del espacio de trabajo de la computadora port\u00e1til, habr\u00eda tenido permisos completos en la computadora port\u00e1til sin tener que autenticarse, incluido el acceso de lectura y escritura, y la capacidad de modificar el sistema de archivos del contenedor que ejecuta el port\u00e1til”, dijeron los investigadores Lidor Ben Shitrit y Roee Sagi.<\/p>\n Esta modificaci\u00f3n del contenedor podr\u00eda, en \u00faltima instancia, allanar el camino para obtener la ejecuci\u00f3n remota de c\u00f3digo en el contenedor de Notebook al sobrescribir un archivo de Python asociado con el Explorador de Cosmos DB<\/a> para generar un caparaz\u00f3n inverso.<\/p>\n Sin embargo, la explotaci\u00f3n exitosa de la falla requiere que el adversario est\u00e9 en posesi\u00f3n del identificador de reenv\u00edo \u00fanico de 128 bits y que se use dentro de una ventana de una hora, despu\u00e9s de lo cual el cuaderno temporal se elimina autom\u00e1ticamente.<\/p>\n “La vulnerabilidad, incluso con el conocimiento del forwardingId, no permit\u00eda ejecutar cuadernos, guardar autom\u00e1ticamente cuadernos en el repositorio de GitHub conectado (opcional) de la v\u00edctima o acceder a datos en la cuenta de Azure Cosmos DB”, Redmond. dijo<\/a>.<\/p>\n Microsoft se\u00f1al\u00f3 en su propio aviso que no identific\u00f3 evidencia de actividad maliciosa y agreg\u00f3 que no se requiere ninguna acci\u00f3n por parte de los clientes. Tambi\u00e9n describi\u00f3 el problema como “dif\u00edcil de explotar” debido a la aleatoriedad del forwadingID de 128 bits y su vida \u00fatil limitada.<\/p>\n “Los clientes que no usan port\u00e1tiles Jupyter (el 99,8% de los clientes de Azure Cosmos DB NO usan port\u00e1tiles Jupyter) no eran susceptibles a esta vulnerabilidad”, dijo adem\u00e1s.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEii9GNCQ3_1OKtxK4WSFx4vqW-MCD9mIxDgF4z1ihM2O_0eTRlHaJ4IzVdd1hDyTf4kmrx6EnYpb9WCJuqNmO09z8KIGyEn0mL1-fG8ZipZ1UN6JuNptGdIY6-8Wn2Xo0A1Nl1Q1Bp5WpUmmiPMKTIIz9lMaHZg3bo6-kkvRkyGFwGIduzmqbKbJlnw\/s728-e100\/orca.jpg\")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/div>\n