Los investigadores de seguridad cibernética han revelado detalles de una vulnerabilidad ahora empatada que afectan el conector de Microsoft SharePoint en la plataforma de potencia que, si se explota con éxito, podría permitir a los actores de amenaza cosechar las credenciales de un usuario y los ataques de seguimiento de un escenario.
Esto podría manifestarse en forma de acciones posteriores a la explotación que permiten al atacante enviar solicitudes a la API de SharePoint en nombre del usuario personalmente, lo que permite el acceso no autorizado a datos confidenciales, dijo Zenity Labs en un informe compartido con las noticias de los hackers antes de la publicación. .
«Esta vulnerabilidad se puede explotar a través de Power Automate, Power Apps, Copilot Studio y Copilot 365, que amplía significativamente el alcance de daños potenciales», dijo el investigador de seguridad Dmitry Lozovoy.
«Aumenta la probabilidad de un ataque exitoso, lo que permite a los piratas informáticos dirigirse a múltiples servicios interconectados dentro del ecosistema de la plataforma de potencia».
Después de la divulgación responsable en septiembre de 2024, Microsoft abordó el orificio de seguridad, evaluado con una evaluación de gravedad «importante», al 13 de diciembre.
Microsoft Power Platform es una colección de herramientas de desarrollo de bajo código que permiten a los usuarios facilitar el análisis, la automatización de procesos y las aplicaciones de productividad basadas en datos.
La vulnerabilidad, en su núcleo, es una instancia de falsificación de solicitud del lado del servidor (SSRF) derivada del uso de la funcionalidad del «valor personalizado» dentro del conector de SharePoint que permite a un atacante insertar sus propias URL como parte de un flujo.
Sin embargo, para que el ataque tenga éxito, el usuario deshonesto necesitará tener un rol de fabricante de entorno y el papel básico del usuario en la plataforma de potencia. Esto también significa que primero tendrían que obtener acceso a una organización objetivo a través de otros medios y adquirir estos roles.
«Con el rol del fabricante del medio ambiente, pueden crear y compartir recursos maliciosos como aplicaciones y flujos», dijo Zenity a The Hacker News. «El rol básico del usuario les permite ejecutar aplicaciones e interactuar con los recursos que poseen en la plataforma de potencia. Si el atacante aún no tiene estos roles, tendrían que ganarlas primero».
En un escenario de ataque hipotético, un actor de amenaza podría crear un flujo para una acción de SharePoint y compartirlo con un usuario privilegiado (víctima de lectura), lo que resulta en una fuga de su token de acceso JWT de SharePoint.
Armado con esta token capturada, el atacante podría enviar solicitudes fuera de la plataforma de energía en nombre del usuario a quien se otorgó el acceso.
Eso no es todo. La vulnerabilidad podría extenderse más a otros servicios, como Power Apps y Copilot Studio, creando una aplicación de lienzo aparentemente benigna o un agente de copilot para cosechar el token de un usuario y aumentar el acceso aún más.
«Puede llevar esto aún más lejos incrustando la aplicación Canvas en un canal de equipos, por ejemplo», señaló Zenity. «Una vez que los usuarios interactúan con la aplicación en los equipos, puede cosechar sus tokens con la misma facilidad, ampliando su alcance en toda la organización y haciendo que el ataque sea aún más extendido».
«La conclusión principal es que la naturaleza interconectada de los servicios de la plataforma de energía puede dar lugar a serios riesgos de seguridad, especialmente dado el uso generalizado del Connector de SharePoint, que es donde se encuentran muchos datos corporativos confidenciales, y puede complicarse para garantizar adecuadamente Los derechos de acceso se mantienen en varios entornos «.
El desarrollo se produce cuando la seguridad binaria detalló tres vulnerabilidades SSRF en Azure DevOps que podrían haber sido abusados de comunicarse con los puntos finales de la API de metadatos, lo que permite a un atacante obtener información sobre la configuración de la máquina.