Microsoft Purview kon door kritieke kwetsbaarheid gevoelige informatie lekken

[Captain Kirk]

Een kritieke kwetsbaarheid in Microsoft Purview maakte het mogelijk voor aanvallers om gevoelige informatie van bedrijven en organisaties te stelen, zo laat Microsoft weten, dat het probleem inmiddels heeft opgelost. Microsoft Purview bestaat uit een reeks tools voor onder andere het beveiligen en beheren van gegevens, alsmede compliancebeheer en data governance. De oplossing was kwetsbaar voor Server-Side Request Forgery (SSRF).

Server-side request forgery is een kwetsbaarheid waarbij een aanvaller de functionaliteit van een server kan misbruiken om toegang tot resources te krijgen waar hij anders geen directe toegang toe zou hebben. "De webserver ontvangt van een upstream-onderdeel een URL of soortgelijk request en haalt de inhoud van deze URL op, maar zorgt er niet voldoende voor dat het request naar de bedoelde bestemming wordt gestuurd", aldus de uitleg van de MITRE Corporation.

Microsoft stelt dat de kwetsbaarheid, aangeduid als CVE-2025-21385, tot 'information disclosure' door een 'geautoriseerde aanvaller' kon leiden. Normaliter worden dergelijke beveiligingslekken waarbij het stelen van informatie mogelijk is niet als kritiek aangeduid, maar in dit geval heeft Microsoft dat wel gedaan. Klanten hoeven geen actie te ondernemen om tegen het beveiligingslek beschermd te zijn, zo laat Microsoft verder weten, dat ook meldt dat het geen misbruik heeft waargenomen. Verdere details zijn niet gegeven.

 

bron: https://www.security.nl