HackerNews 编译,转载请注明出处:
网络安全研究人员披露了微软 Power Platform 上的 SharePoint 连接器一个现已修补的漏洞的详细信息,如果该漏洞被成功利用,可能会允许威胁行为者窃取用户的凭据并发起后续攻击。
Zenity Labs 在一份与《黑客新闻》分享的报告中表示,这可能表现为允许攻击者代表被冒充的用户向 SharePoint API 发送请求的后利用行动,从而获得对敏感数据的未经授权的访问。
“该漏洞可以被利用来影响 Power Automate、Power Apps、Copilot Studio 和 Copilot 365,这显著扩大了潜在损害的范围。”高级安全研究员 Dmitry Lozovoy 说,“这增加了成功攻击的可能性,使黑客能够针对 Power Platform 生态系统内多个相互关联的服务。”
在 2024 年 9 月负责任地披露该漏洞后,微软在 12 月 13 日解决了这个被评估为“重要”严重性的安全问题。
微软 Power Platform 是一系列低代码开发工具,允许用户促进分析、流程自动化和数据驱动的生产力应用程序。
该漏洞本质上是服务器端请求伪造(SSRF),源于 SharePoint 连接器中的“自定义值”功能,该功能允许攻击者在流程中插入自己的 URL。
然而,为了使攻击成功,恶意用户需要在 Power Platform 上拥有环境制造者角色和基本用户角色。这也意味着他们需要首先通过其他方式获得对目标组织的访问权限并获取这些角色。
“有了环境制造者角色,他们可以创建和共享恶意资源,如应用程序和流程。”Zenity 告诉《黑客新闻》。“基本用户角色允许他们运行应用程序并与其拥有的 Power Platform 上的资源进行交互。如果攻击者还没有这些角色,他们需要先获得这些角色。”
在一个假设的攻击场景中,威胁行为者可以为 SharePoint 操作创建一个流程,并与低权限用户(即受害者)共享,导致他们的 SharePoint JWT 访问令牌泄露。
掌握了这个被捕获的令牌,攻击者可以代表被授予访问权限的用户在 Power Platform 之外发送请求。
不仅如此。该漏洞还可以通过创建看似无害的 Canvas 应用程序或 Copilot 代理来进一步扩展到其他服务,如 Power Apps 和 Copilot Studio,以窃取用户的令牌并进一步提升访问权限。
“你可以通过将 Canvas 应用程序嵌入 Teams 频道来进一步扩展。”Zenity 指出。“一旦用户在 Teams 中与应用程序交互,你就可以像在组织内一样轻松地窃取他们的令牌,使攻击更加广泛。”
“主要的收获是,Power Platform 服务的相互关联性可能会导致严重的安全风险,尤其是考虑到 SharePoint 连接器的广泛使用,其中存储了大量敏感的公司数据,确保在各种环境中维护适当的访问权限可能会很复杂。”
这一事件发生之际,Binary Security 详细披露了 Azure DevOps 中的三个 SSRF 漏洞,这些漏洞可能被利用来与元数据 API 端点通信,从而允许攻击者获取有关机器配置的信息。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
