Siber güvenlik araştırmacıları, Microsoft’u etkileyen şimdi paketlenmiş bir güvenlik açığının ayrıntılarını açıkladılar. SharePoint Konektörü Açık Güç platformu Bu, başarılı bir şekilde sömürülürse, tehdit aktörlerinin bir kullanıcının kimlik bilgilerini ve sahne takip saldırılarını hasat etmesine izin verebilir.
Zenity Labs, bu, yayınlanmamış kullanıcı adına SharePoint API’sına istek göndermesine izin veren, bu, Hacker News ile paylaşılan bir raporda, yayınlanmış kullanıcı adına SharePoint API’sına istek göndermesine izin veren, bu, kovalamaca sonrası eylemler şeklinde ortaya çıkabilir. .
Üst düzey güvenlik araştırmacısı Dmitry Lozovoy, “Bu güvenlik açığı, potansiyel hasarın kapsamını önemli ölçüde genişleten güç otomatik, güç uygulamaları, Copilot Studio ve Copilot 365 arasında kullanılabilir.” Dedi.
Diyerek şöyle devam etti: “Başarılı bir saldırı olasılığını artırıyor ve bilgisayar korsanlarının güç platformu ekosisteminde birbirine bağlı birden fazla hizmeti hedeflemesine izin veriyor.”
Eylül 2024’teki sorumlu açıklamanın ardından Microsoft, 13 Aralık itibariyle “önemli” bir şiddet değerlendirmesi ile değerlendirilen güvenlik deliğine hitap etti.
Microsoft Power Platform, kullanıcıların analiz, proses otomasyonu ve veri odaklı verimlilik uygulamalarını kolaylaştırmasına olanak tanıyan düşük kod geliştirme araçlarının bir koleksiyonudur.
Güvenlik açığı, özünde, sunucu tarafı istek amptörünün bir örneğidir (SSRF) SharePoint konnektöründeki “özel değer” işlevinin bir akışın bir parçası olarak kendi URL’lerini eklemesine izin veren “özel değer” işlevselliğinin kullanımından kaynaklanır.
Ancak, saldırının başarılı olabilmesi için, haydut kullanıcının bir Çevre Yapıcı Rolü ve Temel Kullanıcı Rolü güç platformunda. Bu aynı zamanda önce bir hedef kuruluşa başka yollarla erişmeleri ve bu rolleri edinmeleri gerektiği anlamına gelir.
Hacker News’e verdiği demeçte, “Çevre üreticisi rolü ile uygulamalar ve akışlar gibi kötü amaçlı kaynaklar oluşturabilir ve paylaşabilirler.” “Temel kullanıcı rolü, uygulamaları çalıştırmalarına ve güç platformunda sahip oldukları kaynaklarla etkileşime girmelerine izin veriyor. Saldırgan zaten bu rollere sahip değilse, önce bunları kazanmaları gerekir.”
Varsayımsal bir saldırı senaryosunda, bir tehdit oyuncusu bir SharePoint eylemi için bir akış yaratabilir ve düşük privileged bir kullanıcı (kurbanı okuyun) ile paylaşabilir ve bu da SharePoint JWT erişim belirtecinin sızmasına neden olabilir.
Bu yakalanan jetonla donanmış olan saldırgan, erişimin verildiği kullanıcı adına güç platformu dışında istek gönderebilir.
Hepsi bu değil. Güvenlik açığı, görünüşte iyi huylu bir tuval uygulaması veya bir kullanıcının jetonunu hasat etmek için bir copilot aracısı oluşturarak Power Apps ve Copilot Studio gibi diğer hizmetlere daha da genişletilebilir ve erişimi daha da artırabilir.
Zenity, “Örneğin, tuval uygulamasını bir takım kanalına yerleştirerek bunu daha da ileri götürebilirsiniz.” “Kullanıcılar ekiplerdeki uygulamayla etkileşime girdikten sonra, jetonlarını kolayca hasat ederek organizasyona erişiminizi genişletebilir ve saldırıyı daha da yaygın hale getirebilirsiniz.”
“Ana paket, güç platformu hizmetlerinin birbirine bağlı doğasının, özellikle çok hassas kurumsal verilerin barındırıldığı SharePoint konnektörünün yaygın kullanımı göz önüne alındığında, ciddi güvenlik risklerine neden olabileceği ve uygun şekilde sağlamak karmaşık olabilir. Erişim hakları çeşitli ortamlarda korunur. “
Gelişme ikili güvenlik olarak geliyor ayrıntılı Azure DevOps’ta, Meta Veri API uç noktalarıböylece bir saldırganın makinenin yapılandırması hakkında bilgi vermesine izin verir.
