real time web analytics

Microsoft limitará la amenaza a las API de Azure DevOps con PAT • The Register

Microsoft está trayendo un token de acceso personal (PAT) granular a sus API REST de Azure DevOps para tratar de reducir el daño que puede ocurrir cuando las credenciales se filtran o son robadas.

La medida se produce semanas después de que la firma de seguridad cibernética Praetorian describiera cómo sus investigadores pudieron ingresar a las redes corporativas internas de las empresas que utilizan GitHub, propiedad de Microsoft, para sus herramientas de CI/CD. Comprometieron el acceso a GitHub a través de un PAT filtrado accidentalmente y llamaron a la versión beta de GitHub para tokens de acceso detallados “un paso en la dirección correcta”.

Las PAT son alternativas a las contraseñas para autenticar la identidad de alguien que accede a un sistema o sitio web, así como a los desarrolladores que utilizan API y scripts. En este caso, se usan para autenticarse en Azure DevOps.

Un PAT incorpora una gran cantidad de información. Para Azure DevOps, incluye las credenciales de seguridad de una persona e identifica al usuario, las organizaciones a las que puede acceder y el alcance del acceso. A medida que los ciberdelincuentes cambian sus tácticas de comprometer los sistemas a robar credenciales para acceder a las redes corporativas, los tokens se convierten en un objetivo importante.

“Son tan importantes como las contraseñas, por lo que debe tratarlas de la misma manera”, dijo Microsoft el mes pasado.

Según el informe de Praetorian, hay varias formas en que un desarrollador podría revelar un PAT sin darse cuenta: phishing, comprometer su computadora portátil personal o incluirlo por error en los registros de la línea de comandos.

Para reducir la amenaza a sus PAT, el equipo de Azure DevOps creó recientemente un alcance de PAT granular para todas las API REST de Azure DevOps, escribió Barry Wolfson, gerente de producto de Azure DevOps, en una publicación de blog esta semana. Los ámbitos de OAuth2 permiten a las organizaciones limitar el acceso otorgado a una PAT.

“Anteriormente, varias API REST de Azure DevOps no estaban asociadas con un alcance PAT, lo que en ocasiones llevó a los clientes a consumir estas API utilizando PAT de alcance completo”, escribe Wolfson.

“Los amplios permisos de un PAT de alcance completo (todos los permisos de su usuario correspondiente), en manos de un actor malicioso, representan un riesgo de seguridad significativo para las organizaciones, dado el potencial para acceder al código fuente, la infraestructura de producción y otros activos valiosos. .”

Animó a los desarrolladores que utilizan un PAT de ámbito completo a migrar a uno con un ámbito específico para eliminar el acceso innecesario. Al mismo tiempo, sugirió una política de plano de control que impone restricciones en la creación de API de alcance completo.

La iniciativa del equipo de Azure DevOps surge menos de un mes después de un movimiento similar de GitHub, que en octubre presentó la versión beta pública de las PAT detalladas.

Antes de eso, las PAT proporcionaban permisos “muy detallados”. Dieron acceso a casi todos los repositorios y organizaciones que tenían los usuarios del token, sin control ni visibilidad para la organización de los usuarios, según una publicación de blog de Hirsch Singhal, gerente de productos del personal en GitHub.

Eso ha cambiado, escribe Hirsch.

“Los tokens de acceso personal detallados brindan a los desarrolladores un control granular sobre los permisos y el acceso al repositorio que otorgan a un PAT”, dice. “Los administradores de la organización también tienen el control, con políticas de aprobación y visibilidad total de los tokens que acceden a los recursos de la organización”.

Los tokens detallados obtienen permisos de un conjunto de más de 50 permisos granulares que controlan el acceso a las API de organización, usuario y repositorio de GitHub. ®

Leave a Comment