Уязвимость сервиса Power Automate в Microsoft 365
По сообщению компании Varonis Systems, ее аналитики обнаружила способ использования облачного сервиса Power Automate в Microsoft 365 для кибератак. Злоумышленники могут автоматически извлекать данные, взаимодействовать с серверами C2 и уклоняться от средств обнаружения.
Сервис Power Automate, по умолчанию включенный в Microsoft 365, дает пользователям возможность автоматизировать бизнес-задачи и рабочие процессы между различными приложениями и службами. С его помощью можно создавать «потоки» (автоматизированное поведение между приложениями) для Outlook, SharePoint и OneDrive – для совместного использования и отправки файлов, пересылки электронной почты и др. Чтобы создать «поток» и настроить сценарий поведения между приложениями пользователь должен создать соединение между двумя приложениями для передачи данных между ними. Например, при получении письма на электронную почту отправляется сообщение в Teams и создается запись в списке SharePoint.
Аналитики Varonis обнаружили два способа, которые могут использоваться для кибератак. Первый предусматривает прямой доступ к конечной точке пользовательского «потока» для запроса существующих подключений, а второй – загрузку обманным путем поддельного приложения Azure.
Первый способ сложнее в осуществлении, но он наносит более серьезный вред в случае успешной реализации. После взлома учетной записи Microsoft 365 злоумышленники могут просто выполнить команду, которая приведет к утечке входящих конфиденциальных данных, без необходимости вручную создавать поток Power Automate.
Второй способ изощреннее: как только пользователь даст согласие на запуск вредоносного приложения, у него появятся необходимые разрешения для создания «потока». Однако создать новое соединение с помощью приложения невозможно. Хакер может использовать только существующие подключения, т. е. приложения Azure ограничивают злоумышленников пользователями, которые уже установили определенные подключения.
Злоумышленники могут использовать Power Automate для экспорта электронной почты через новые правила переадресации. А поскольку они создаются не в Outlook/Exchange, то этот процесс невозможно обнаружить и заблокировать. Поток «Переадресация электронной почты» будет автоматически пересылать все полученные письма хакеру. При этом название потока настраивается и может быть изменено на более непонятное пользователю значение.
Вредоносные потоки открывают также доступ к данным из Delve, статистике файлов SharePoint и другой конфиденциальной информации. К примеру, несанкционированная загрузка файлов SharePoint возможна через созданные «потоком» анонимные ссылки общего доступа, которые перенаправляются на сервер преступников с помощью API.
Как отмечают аналитики Varonis, предотвратить угрозу кражи данных через Power Automate поможет мониторинг создания и активности автоматизированных потоков, приложений Azure, доступа к ресурсам, разрешений для приложений, нетипичных аутентификаций и входа в систему. Рекомендуется также блокировать электронные письма, переадресованные из Power Automate, и запретить передачу данных с помощью электронной почты, настроив элементы управления коннекторов к различным сервисам.