Microsoft 365 bünyesinde verileri sızdırmak için araştırmacılar yeni bir yol keşfetti. Bu noktada bir iş akışı otomasyon özelliğinden yararlanıldı. Durumu siber güvenlik firması Varonis‘ten Eric Saraga fark etti. Veri sızdırmak Outlook, SharePoint ve OneDrive için Microsoft 365 özelliği olan Power Automate‘ten geçiyor.
Microsoft 365 uygulamalarında varsayılan olarak çalışan bir özellik olan Power Automate, kullanıcıların kendi akışlarını oluşturmalarına olanak tanıyor. Bu davranışları ayarlamak için, kullanıcının önce iki uygulama arasında veri akışına izin verecek şekilde bağlantı oluşturması gerekiyor.
Çıkışının üzerinden pek fazla geçmeyen Microsoft Edge, 98 numaralı sürümü ile yeni özellikleri kullanıma açtı.
Microsoft 365 açığının iki metodu var
Saraga, e-postaları iletmeye benzer şekilde bu akışların e-postaların yanı sıra SharePoint ve OneDrive sürücülerindeki dosyaları çıkarmak için kullanılabileceğini de açıkladı. MSGraph dahil diğer Microsoft 365 uygulamalarından veri sızdırma olasılığının da olduğunu sözlerine ekledi.
Saraga, akışların kötüye kullanılabileceği iki yöntemi açıkladı. Bunlardan birisi kurbanın uç noktasına doğrudan iletişim sağlamak oluyor. Diğeri ise kurbanı sahte bir Azure uygulaması indirmesi için kandırması gerekiyor.
İlk yöntemin uygulanması biraz daha zor bir yol. Buna ek olarak aynı zamanda da oldukça yıkıcı etkiler yaratıyor. Saraga durum hakkında şunları söyledi:
“Akış oluşturmak, akış API’si kullanılarak programlı olarak yapılıyor. Özel bir Power Automate API’si olmamasına rağmen akış uç noktaları, mevcut bağlantıları sorgulamak ve bir akış oluşturmak için kullanılıyor.”
Eric Saraga
İkinci yöntem kurbanı uygulama indirmesi için bir uyarı mesajıyla başlıyor. Kullanıcı kötü amaçlı yazılım uygulamasını çalıştırmayı kabul ettiğinde, bir akış oluşturmak için geçerli izinlere sahip oluyor. Ancak, uygulamayı kullanarak yeni bir bağlantı oluşturmanın yolu yok. Saldırgan yalnızca mevcut bağlantıları kullanabiliyor. Bu noktada Azure uygulamaları, kötü niyetli kişileri önceden belirli bağlantılar kurmuş kullanıcılarla sınırlıyor.
Sizler Microsoft 365 bünyesindeki açık hakkında ne düşünüyorsunuz? Fikirlerinizi yorumlar kısmından bizlerle paylaşmayı unutmayın!
