Microsoft Power Pages ile oluşturulan web sitelerindeki eksik veya yanlış yapılandırılmış erişim denetimleri sayesinde, milyonlarca hassas kayıt ve kişisel veri şu anda açık Web’de açığa çıkıyor.
2022 yılında PowerApps Portals’tan doğan Power Pages, Microsoft’un az kodlu web sitesi oluşturma platformudur. Genellikle çalışanlar ve perakendeciler için portallar veya etkinlik kaydı veya yönetim siteleri gibi dışarıya dönük siteler tasarlamak için kullanılır. Genel kullanıma sunulduğunda, Microsoft övündü halihazırda yüksek teknoloji ve sağlık, eğitim, finans, üretim ve kamu gibi çeşitli sektörlerde 100 milyondan fazla aktif web sitesi kullanıcısına hizmet verdiğini belirtti.
Power Pages, kolay sürükle ve bırak araçları ve özelliklerinin yanı sıra, geliştiricilerin herhangi bir kullanıcının erişebileceği verileri tanımlamak için kullanabileceği rol tabanlı erişim denetimleriyle donatılmıştır. Ancak AppOmni’deki hizmet olarak yazılım (SaaS) güvenlik araştırması şefi Aaron Costello’nun yakın zamanda keşfettiği gibi, pek çok site bu kontrolleri doğru şekilde uygulamıyor, hatta hiç uygulamıyor.
Sonuç: Web’deki sitelerden gelen geniş miktarda hassas bilgi, şu anda mevcut onu aramak isteyen herkese.
Yanlış Yapılandırılmış Güç Sayfaları
Power Pages siteleri, yapılandırılmış verileri depolamak için Microsoft’un bulut tabanlı ilişkisel veritabanı Dataverse’yi kullanır. Bu verileri korumak için geliştiriciler çeşitli erişim kontrollerinden yararlanabilir.
Bunlardan ilki ve en belirgin olanı, kullanıcıların bir sitedeki hesapları kimlik doğrulaması ve kaydetmesi gerekip gerekmediğini ve bunu nasıl yapması gerektiğini tanımlayan site düzeyindeki ayarlardır.
Bir sonraki aşama, tablo düzeyindeki kontrollerdir. Bunlarla site yöneticileri hangi tür kullanıcıların hangi veriler üzerinde hangi işlemleri gerçekleştirebileceğini tanımlayabilir.
Power Pages erişim denetimlerinin en ayrıntılı olanları Dataverse sütunları düzeyinde uygulanır. Power Pages’in bu düzeyde sunduğu dikkate değer araçlardan biri, site yöneticilerinin belirli bir sütunda listelenen Sosyal Güvenlik numaralarının ilk beş hanesi gibi belirli veri kategorilerini gizleyebildiği “maskeleme”dir.
Sorun, yöneticilerin her zaman erişim kontrolünün bu üç basamağını (eğer varsa) kullanmamasıdır. Sonuç olarak Costello, sitelerindeki verilere erişmenin “çok çok önemsiz” olduğunu söylüyor. “Bir kez anla [what’s going on]mesele sadece bu URL’lere gitmek.”
“Genellikle, birine kendi verilerini görüntüleme yeteneği vermek yerine, aslında onlara tüm verileri görüntüleme yeteneği vermiş oluyorlar. Sonuç olarak, aşırı miktarda (çoğunlukla hassas) bilgi her kullanıcıya açıklanıyor.” açıklıyor.
Bazı siteler, anonim kullanıcılara bile tablolardan veri okumak için “küresel erişim” sağlıyor ve Costello’nun araştırmasında araştırdığı tek bir web sitesi bile herhangi bir sütun düzeyinde güvenlik uygulamadı. Diğer siteler belirli verileri kimliği doğrulanmış kullanıcılarla sınırlandırır, ancak Web’deki herkesin kaydolmasına ve kimlik doğrulamasına izin vererek bu korumayı zayıflatır.
Costello yalnızca siber güvenlik ifşa politikalarına sahip kuruluşların barındırdığı web sitelerini araştırdı; bu kuruluşlar, güvenlik duruşlarının eksik olduğunu duymaya daha yatkın olabilir. Bu sınırlamaya rağmen, sonunda çok çeşitli Power Pages web sitelerinden 5 ila 7 milyon arası açıkta kalan kaydı keşfetti.
Örneğin büyük bir ticari hizmet sağlayıcısı, Birleşik Krallık Ulusal Sağlık Hizmetinin (NHS) 1,1 milyon çalışanına ait kişisel bilgileri sızdırdı. Veriler çalışanların telefon numaralarını, e-posta adreslerini, ev adreslerini ve daha fazlasını içeriyordu.
Sektör Çapında Bir Sorun
Costello’nun hemen belirttiği gibi, “Önceki araştırmamda, Salesforce gibi diğer popüler SaaS platformlarında da aynı tür sorunları tartışmıştım. ServiceNowVe NetSuite. Ve bunların hepsi farklı kullanım senaryolarına sahip platformlar. Bunun hiçbir şekilde Power Pages’e özgü bir sorun olduğunu söyleyemem. Bunun nedeni ürünün kendisi değil, daha çok erişim kontrollerinin yanlış anlaşılmasıdır.”
Kullanıcıları kara mayınları konusunda uyarmak söz konusu olduğunda Power Pages oldukça başarılı. Costello, “Verileri herkes tarafından erişilebilecek şekilde yanlış yapılandırdığınızda, sayfanızda çeşitli yerlerde uyarı bannerlarının belirdiğini” ekliyor Costello. “Dolayısıyla Microsoft, kuruluşların yaptıklarının tehlikeli olduğunun farkına varmalarını sağlamak için gerçekten elinden gelenin en iyisini yapıyor. . Ancak kuruluşlar uyarı işaretlerini görmezden gelmeyi tercih ediyor.”
İhmalin yanı sıra, Power Pages’deki yanlış yapılandırmaların sıklığı teorik olarak hedef kitlesinin demografik özellikleriyle açıklanabilir. Doğası gereği, düşük kodlu ve kodsuz platformlar, siber güvenlik konularında daha az bilgili olabilecek, daha az teknik kullanıcılar için daha çekicidir.
Costello, “Teknik bilgisi olmayan biriyseniz ve bir sayfayı tasarlamak için yalnızca düğmeleri ve formları sürükleyip bırakıyorsanız, hangi erişim kontrollerinin gerekli olduğunu anlayan türden bir kişi olmayabilirsiniz” diyor. . Ya da belki de düşük kodlu veya kodsuz bir site tasarlamanın kolaylığı, kişinin beyninin daha dikkatli, analitik kısımlarını rahatlatabilir. “Düşük kodlu platformlar genellikle yanlış bir güvenlik duygusu veriyor” diyor.
Dark Reading bu hikaye hakkında yorum yapmak için Microsoft’a ulaştı.
Yaklaşan ücretsiz kampanyayı kaçırmayın Karanlık Okuma Sanal Etkinliği“Düşmanınızı Tanıyın: Siber Suçluları ve Ulus-Devlet Tehdit Aktörlerini Anlamak”, 14 Kasım, saat 11:00 ET. MITRE ATT&CK’yi anlama, proaktif güvenliği bir silah olarak kullanma ve olaylara müdahalede ustalık sınıfına ilişkin oturumları kaçırmayın; ve Navy Credit Federal Union’dan Larry Larsen, eski Kaspersky Lab analisti Costin Raiu, Mandiant Intelligence’dan Ben Read, SANS’tan Rob Lee ve Omdia’dan Elvia Finalle gibi çok sayıda önemli konuşmacı. Şimdi kaydolun!