Cybersecurity-onderzoekers hebben details bekendgemaakt van een nu afgestemde kwetsbaarheid die van invloed is op de Microsoft SharePoint-connector op Power Platform die, indien met succes uitgebuit, dreigingsactoren in staat zou stellen de referenties van een gebruiker te oogsten en follow-on-aanvallen.
Dit zou zich kunnen manifesteren in de vorm van post-exploitatie-acties waarmee de aanvaller verzoeken naar de SharePoint API kan sturen namens de imiteerde gebruiker, waardoor ongeautoriseerde toegang tot gevoelige gegevens mogelijk is, zei Zenity Labs in een rapport dat wordt gedeeld met het hacker-nieuws voorafgaand aan publicatie .
“Deze kwetsbaarheid kan worden benut over Power Automate, Power Apps, Copilot Studio en Copilot 365, die de reikwijdte van potentiële schade aanzienlijk verbreden,” zei Senior Security Researcher Dmitry Lozovoy.
“Het verhoogt de kans op een succesvolle aanval, waardoor hackers zich kunnen richten op meerdere onderling verbonden services binnen het Ecosysteem van het Power Platform.”
Na verantwoorde openbaarmaking in september 2024, heeft Microsoft het beveiligingsgat aangepakt, beoordeeld met een “belangrijke” ernstbeoordeling, vanaf 13 december.
Microsoft Power Platform is een verzameling low-code ontwikkelingstools waarmee gebruikers analyses, procesautomatisering en gegevensgestuurde productiviteitstoepassingen kunnen faciliteren.
De kwetsbaarheid, in de kern, is een instantie van server-side Request Fevery (SSRF) die voortkomt uit het gebruik van de functionaliteit “aangepaste waarde” in de SharePoint-connector waarmee een aanvaller hun eigen URL’s kan invoegen als onderdeel van een stroom.
Om de aanval succesvol te laten zijn, zal de Rogue -gebruiker echter een rol van milieumaker en de basisgebruikersrol in Power Platform moeten hebben. Dit betekent ook dat ze eerst via andere middelen toegang moeten krijgen tot een doelorganisatie en deze rollen moeten verwerven.
“Met de rol van milieumaker kunnen ze kwaadaardige bronnen zoals apps en stromen creëren en delen,” vertelde Zenity aan The Hacker News. “De basisgebruikersrol stelt hen in staat om apps uit te voeren en te communiceren met bronnen die ze bezitten in Power Platform. Als de aanvaller deze rollen nog niet heeft, zouden ze ze eerst moeten krijgen.”
In een hypothetisch aanvalsscenario zou een dreigingsacteur een stroom kunnen creëren voor een SharePoint-actie en deze delen met een lage bevoorrechte gebruiker (lees slachtoffer), wat resulteert in een lek van hun SharePoint JWT-toegangstoken.
Gewapend met dit vastgelegde token, kon de aanvaller verzoeken buiten het Power Platform sturen namens de gebruiker aan wie de toegang werd verleend.
Dat is niet alles. De kwetsbaarheid kan verder worden uitgebreid naar andere services zoals Power Apps en Copilot Studio door een schijnbaar goedaardige canvas -app of een Copilot -agent te maken om het token van een gebruiker te oogsten en de toegang verder te escaleren.
“Je kunt dit nog verder nemen door de Canvas -app in te bedden in een teamkanaal, bijvoorbeeld,” merkte Zenity op. “Zodra gebruikers in teams met de app hebben omgegaan, kunt u hun tokens net zo gemakkelijk oogsten, uw bereik uitbreiden naar de organisatie en de aanval nog wijdverspreide maken.”
“De belangrijkste afhaalmaaltijden is dat de onderling verbonden aard van Power Platform Services kan leiden tot ernstige beveiligingsrisico’s, vooral gezien het wijdverbreide gebruik van de SharePoint -connector, waar veel gevoelige bedrijfsgegevens zijn ondergebracht en het kan ingewikkeld zijn om te zorgen voor goed Toegangsrechten worden gehandhaafd in verschillende omgevingen. “
De ontwikkeling komt als binaire beveiliging gedetailleerde drie SSRF -kwetsbaarheden in Azure DevOps die hadden kunnen worden misbruikt om te communiceren met de metadata API -eindpunten, waardoor een aanvaller informatie over de configuratie van de machine kan verzamelen.
