Microsoft365漏洞利用可让攻击者访问您的所有电子邮件

研究人员发现了一种滥用Microsoft365中的工作流自动化功能来窃取数据的新方法。来自网络安全公司Varonis的EricSaraga发现了PowerAutomate(Microsoft365forOutlook、SharePoint和OneDrive中的一项功能)如何被滥用以自动向未经授权的第三方共享或发送文件或转发电子邮件。不是以勒索软件的方式，但仍然具有破坏性。

前提很简单：PowerAutomate是Microsoft365应用程序默认启用的一项功能，它允许用户创建自己的“流程”——自动化的跨应用行为。要设置这些行为，用户必须首先在两个应用程序之间建立连接，允许数据在两者之间流动。

Saraga解释说，以类似于转发电子邮件的方式，这些流可用于从SharePoint和One驱动器中提取电子邮件以及文件。他补充说，甚至有可能从包括MSGraph在内的其他Microsoft365应用程序中窃取数据。

Saraga还解释了两种可能滥用流的方法：一种是直接访问受害者的端点，另一种是诱骗受害者下载伪造的Azure应用程序。

“可以使用流API以编程方式创建流。尽管没有专用的PowerAutomateAPI，但流端点可用于查询现有连接并创建流，”他解释道。

“一旦Microsoft365帐户遭到入侵，攻击者只需执行一个命令即可泄露进来的敏感数据，而无需手动创建PowerAutomate流。”

第二种方法——诱骗受害者下载应用程序——有一个警告。一旦用户同意运行恶意软件应用程序，它将拥有创建流的必要权限。但是，无法使用该应用程序创建新连接。攻击者只能使用现有连接，这意味着用于此攻击的Azure应用程序将恶意行为者限制为已经建立某些连接的用户。

“更简单的方法是使用用户的凭据或PowerAutomate身份验证令牌，”他总结道。

Saraga解释说，减轻威胁的方法之一是监控行为。

“基于行为的警报在检测用户何时感染了在用户环境下运行的恶意软件时也非常有效——攻击者很难模仿用户的正常日常行为，”他总结道。

标签：