Araştırmacılar, verileri sızdırmak için Microsoft 365'teki bir iş akışı otomasyon özelliğini kötüye kullanmanın yeni bir yolunu keşfetti. Siber güvenlik firması Varonis'ten Eric Saraga, Outlook, SharePoint ve OneDrive için Microsoft 365'te bulunan bir özellik olan Power Automate'in yetkisiz üçüncü taraflara otomatik olarak dosya paylaşmak veya göndermek veya e-posta iletmek için nasıl kötüye kullanılabileceğini keşfetti. Fidye yazılımı tarzında değil, yine de yıkıcı bir detay denebilir. İşte detaylar!
Microsoft 365 Kullananlar Dikkat
Microsoft 365 uygulamalarında varsayılan olarak etkinleştirilen bir özellik olan Power Automate, kullanıcıların kendi "akışlarını", yani otomatikleştirilmiş uygulamalar arası davranışlarını oluşturmalarına olanak tanıyor. Bu davranışları ayarlamak için, kullanıcının önce iki uygulama arasında veri akışına izin verecek şekilde iki uygulama arasında bir bağlantı oluşturması gerekir.
Saraga, e-postaları iletmeye benzer bir şekilde, bu akışların e-postaların yanı sıra SharePoint ve One sürücüsünden dosyaları çıkarmak için kullanılabileceğini açıklıyor. MSGraph dahil olmak üzere diğer Microsoft 365 uygulamalarından veri sızdırma olasılığı bile var. Saraga, akışların kötüye kullanılabileceği iki yöntemi de açıklıyor: biri kurbanın uç noktasına doğrudan erişim sağlamak, diğeri ise kurbanı sahte bir Azure uygulaması indirmesi için kandırmayı denemek.
İlk yöntemin uygulanması biraz daha zor ancak aynı zamanda daha yıkıcı etkilere sahip. Akışlar oluşturmak, akış API'sı kullanılarak programlı olarak yapılabilir. Özel bir Power Automate API'si olmamasına rağmen, akış uç noktaları, mevcut bağlantıları sorgulamak ve bir akış oluşturmak için kullanılabilir. Bir Microsoft 365 hesabının güvenliği ihlal edildiğinde, saldırganlar, Power Automate akışını manuel olarak oluşturmaya gerek kalmadan gelen hassas verileri sızdıracak bir komutu kolayca yürütebilirler.
İkinci yöntem - kurbanı uygulamayı indirmesi için kandırmak. Kullanıcı kötü amaçlı yazılım uygulamasını çalıştırmayı kabul ettiğinde, bir akış oluşturmak için gerekli izinlere sahip olacaktır. Ancak, uygulamayı kullanarak yeni bir bağlantı oluşturmanın bir yolu yok. Saldırgan yalnızca mevcut bağlantıları kullanabilir, yani bu saldırı için Azure uygulamaları, kötü niyetli aktörleri önceden belirli bağlantılar kurmuş kullanıcılarla sınırlar.
Kullanıcının kimlik bilgilerini veya bir Power Automate kimlik doğrulama belirtecini kullanması bu iki yöntemden de kaçınmalarını sağlayacaktır. Saraga, tehdidi azaltmanın yollarından birinin davranışları izlemek olduğunu açıklıyor. Davranışa dayalı uyarılar, bir kullanıcıya, kullanıcının bağlamı altında çalışan kötü amaçlı yazılım bulaştığını tespit etmede de son derece etkili. Saldırganların bir kullanıcının normal günlük davranışını taklit etmesi haliyle çok zordur.
Peki siz bu güvenlik açığı hakkında ne düşünüyorsunuz? Düşüncelerinizi aşağıda yer alan yorumlar sekmesinden bizlerle paylaşmayı unutmayın.
YORUMLAR