Siber güvenlik araştırmacıları, başarılı bir şekilde sömürülürse, tehdit aktörlerinin bir kullanıcının kimlik bilgilerini ve sahne takip saldırılarını hasat etmesine izin verebilecek güç platformunda Microsoft SharePoint konnektörünü etkileyen şimdi paketlenmiş bir güvenlik açığının ayrıntılarını açıkladılar.
Zenity Labs, bu, yayınlanmamış kullanıcı adına SharePoint API’sına istek göndermesine izin veren, bu, Hacker News ile paylaşılan bir raporda, yayınlanmış kullanıcı adına SharePoint API’sına istek göndermesine izin veren, bu, kovalamaca sonrası eylemler şeklinde ortaya çıkabilir. .
Üst düzey güvenlik araştırmacısı Dmitry Lozovoy, “Bu güvenlik açığı, potansiyel hasarın kapsamını önemli ölçüde genişleten güç otomatik, güç uygulamaları, Copilot Studio ve Copilot 365 arasında kullanılabilir.” Dedi.
Diyerek şöyle devam etti: “Başarılı bir saldırı olasılığını artırıyor ve bilgisayar korsanlarının güç platformu ekosisteminde birbirine bağlı birden fazla hizmeti hedeflemesine izin veriyor.”
Eylül 2024’teki sorumlu açıklamanın ardından Microsoft, 13 Aralık itibariyle “önemli” bir şiddet değerlendirmesi ile değerlendirilen güvenlik deliğine hitap etti.
Microsoft Power Platform, kullanıcıların analiz, proses otomasyonu ve veri odaklı verimlilik uygulamalarını kolaylaştırmasına olanak tanıyan düşük kod geliştirme araçlarının bir koleksiyonudur.
Güvenlik açığı, özünde, bir saldırganın bir akışın bir parçası olarak kendi URL’lerini eklemesine izin veren SharePoint konektörü içinde “özel değer” işlevinin kullanımından kaynaklanan bir sunucu tarafı istek amptör (SSRF) örneğidir.
Bununla birlikte, saldırının başarılı olabilmesi için, haydut kullanıcının bir ortam üreticisi rolüne ve güç platformunda temel kullanıcı rolüne sahip olması gerekecektir. Bu aynı zamanda önce bir hedef kuruluşa başka yollarla erişmeleri ve bu rolleri edinmeleri gerektiği anlamına gelir.
Hacker News’e verdiği demeçte, “Çevre üreticisi rolü ile uygulamalar ve akışlar gibi kötü amaçlı kaynaklar oluşturabilir ve paylaşabilirler.” “Temel kullanıcı rolü, uygulamaları çalıştırmalarına ve güç platformunda sahip oldukları kaynaklarla etkileşime girmelerine izin veriyor. Saldırgan zaten bu rollere sahip değilse, önce bunları kazanmaları gerekir.”
Varsayımsal bir saldırı senaryosunda, bir tehdit oyuncusu bir SharePoint eylemi için bir akış yaratabilir ve düşük privileged bir kullanıcı (kurbanı okuyun) ile paylaşabilir ve bu da SharePoint JWT erişim belirtecinin sızmasına neden olabilir.
Bu yakalanan jetonla donanmış olan saldırgan, erişimin verildiği kullanıcı adına güç platformu dışında istek gönderebilir.
Hepsi bu değil. Güvenlik açığı, görünüşte iyi huylu bir tuval uygulaması veya bir kullanıcının jetonunu hasat etmek için bir copilot aracısı oluşturarak Power Apps ve Copilot Studio gibi diğer hizmetlere daha da genişletilebilir ve erişimi daha da artırabilir.
Zenity, “Örneğin, tuval uygulamasını bir takım kanalına yerleştirerek bunu daha da ileri götürebilirsiniz.” “Kullanıcılar ekiplerdeki uygulamayla etkileşime girdikten sonra, jetonlarını kolayca hasat ederek organizasyona erişiminizi genişletebilir ve saldırıyı daha da yaygın hale getirebilirsiniz.”
“Ana paket, güç platformu hizmetlerinin birbirine bağlı doğasının, özellikle çok hassas kurumsal verilerin barındırıldığı SharePoint konnektörünün yaygın kullanımı göz önüne alındığında, ciddi güvenlik risklerine neden olabileceği ve uygun şekilde sağlamak karmaşık olabilir. Erişim hakları çeşitli ortamlarda korunur. “
Geliştirme, Azure DevOps’ta meta veri API uç noktalarıyla iletişim kurmak için istismar edilebilecek ve böylece bir saldırganın makinenin konfigürasyonu hakkında bilgi vermesine izin veren üç SSRF güvenlik açıkları olarak gelir.