Microsoft heeft een kwetsbaarheid verholpen in SQL Server. De kwetsbaarheid bevindt zich in de Power BI Client JavaScript SDK en stelt een kwaadwillende in staat om toegang te krijgen tot gevoelige gegevens. Voor succesvol misbruik moet de kwaadwillende het slachtoffer misleiden om een pagina met malafide code te bezoeken om zo, onder de context van het slachtoffer, de informatie te benaderen.

NCSC-2024-0215 [1.00] [De kans op misbruik van deze kwetsbaarheid is gemiddeld en de schade is hoog] Kwetsbaarheid verholpen in Microsoft SQL Server

De kwetsbaarheid in de Power BI Client JavaScript SDK is ontdekt door Microsoft, de leverancier van SQL Server. Deze SDK wordt gebruikt door ontwikkelaars om integraties met Power BI dashboards en rapporten mogelijk te maken. Het product kan worden gebruikt door organisaties die Power BI gebruiken voor datavisualisatie en -analyse, en die deze functionaliteit willen integreren in hun eigen webapplicaties.

Als een kwaadwillende erin slaagt om de kwetsbaarheid uit te buiten, kan dit leiden tot ongeautoriseerde toegang tot gevoelige gegevens die zijn opgeslagen in de Power BI-rapporten en -dashboards. Deze gegevens kunnen persoonlijk identificeerbare informatie, bedrijfsgeheimen of andere vertrouwelijke informatie bevatten. De impact van een beveiligingsrisico op dit product kan dus aanzienlijk zijn en kan leiden tot datalekken, reputatieschade en juridische gevolgen voor de getroffen organisatie. Het is daarom van groot belang dat deze kwetsbaarheid zo snel mogelijk wordt verholpen en dat alle betrokkenen de nodige maatregelen nemen om hun systemen te beschermen.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl