Araştırmacılar, verileri sızdırmak için Microsoft 365’teki bir iş akışı otomasyon özelliğini kötüye kullanmanın yeni bir yolunu keşfetti.
Siber güvenlik firması Varonis’ten Eric Saraga, Outlook, SharePoint ve OneDrive için Microsoft 365’te bulunan bir özellik olan Power Automate’in dosyaları otomatik olarak paylaşmak, göndermek veya iletmek için nasıl kötüye kullanılabileceğini keşfetti. e-postalar, yetkisiz üçüncü şahıslara. Fidye yazılımı tarzında değil, yine de yıkıcı.
Önerme basittir: Microsoft 365 uygulamalarında varsayılan olarak etkinleştirilen bir özellik olan Power Automate, kullanıcıların kendi “akışlarını”, yani otomatikleştirilmiş uygulamalar arası davranışlarını oluşturmalarına olanak tanır. Bu davranışları ayarlamak için, kullanıcının önce iki uygulama arasında veri akışına izin verecek şekilde iki uygulama arasında bir bağlantı oluşturması gerekir.
Azure uygulamasını taklit etme
Saraga, e-postaları iletmeye benzer bir şekilde, bu akışların e-postaların yanı sıra SharePoint ve One sürücüsünden dosyaları çıkarmak için kullanılabileceğini açıklıyor. MSGraph dahil olmak üzere diğer Microsoft 365 uygulamalarından veri sızdırma olasılığı bile var, diye ekledi.
Saraga, akışların kötüye kullanılabileceği iki yöntemi de açıklıyor: biri kurbanın uç noktasına doğrudan erişim sağlamak, diğeri ise kurbanı sahte bir Azure uygulaması indirmesi için kandırmayı gerektiriyor.
İlk yöntemin uygulanması biraz daha zordur, ancak aynı zamanda daha yıkıcıdır.
“Akışlar oluşturmak, akış API’sı kullanılarak programlı olarak yapılabilir. Özel bir Power Automate API’si olmamasına rağmen, akış uç noktaları, mevcut bağlantıları sorgulamak ve bir akış oluşturmak için kullanılabilir” diye açıklıyor.
“Bir Microsoft 365 hesabının güvenliği ihlal edildiğinde, saldırganlar Power Automate akışını manuel olarak oluşturmaya gerek kalmadan gelen hassas verileri sızdıracak bir komutu kolayca yürütebilir.”
İkinci yöntem – kurbanı uygulamayı indirmesi için kandırmak – bir uyarı ile birlikte gelir. Kullanıcı çalıştırmayı kabul ettiğinde kötü amaçlı yazılım app, bir akış oluşturmak için gerekli izinlere sahip olacaktır. Ancak, uygulamayı kullanarak yeni bir bağlantı oluşturmanın bir yolu yoktur. Saldırgan yalnızca mevcut bağlantıları kullanabilir, yani bu saldırı için Azure uygulamaları, kötü niyetli aktörleri önceden belirli bağlantılar kurmuş kullanıcılarla sınırlar.
“Daha güvenilir yöntem, kullanıcının kimlik bilgilerini veya bir Power Automate kimlik doğrulama belirtecini kullanmaktır,” diyerek sözlerini sonlandırıyor.
Saraga, tehdidi azaltmanın yollarından birinin davranışları izlemek olduğunu açıklıyor.
“Davranışa dayalı uyarılar, bir kullanıcıya, kullanıcının bağlamı altında çalışan kötü amaçlı yazılım bulaştığını tespit etmede de son derece etkilidir – saldırganların bir kullanıcının normal günlük davranışını taklit etmesi çok zordur” dedi.