Les chercheurs ont découvert une nouvelle façon d'abuser d'une fonctionnalité d'automatisation des flux de travail dans Microsoft 365 pour exfiltrer des données.
Eric Saraga de la société de cybersécurité Varonis a découvert comment Power Automate, une fonctionnalité Microsoft 365 pour Outlook, SharePoint et OneDrive, peut être utilisée à mauvais escient pour partager ou envoyer automatiquement des fichiers ou transférer des e-mails à des tiers Non autorisé. Pas sous la forme d'un rançongiciel, mais dévastateur.
Le principe est simple : Power Automate, une fonctionnalité activée par défaut avec les applications Microsoft 365, permet aux utilisateurs de créer leurs propres « flux » : des comportements automatisés entre les applications. Pour configurer ces comportements, l'utilisateur doit d'abord créer une connexion entre 2 applications, permettant aux données de circuler entre les 2.
Simuler une application Azure
Semblable au transfert d'e-mails, explique Saraga, ces transmissions peuvent être utilisées pour extraire des e-mails, tels que des fichiers de SharePoint et One Drive. Il est toujours possible de filtrer les données d'autres applications Microsoft 365, y compris MSGraph, a-t-il ajouté.
Saraga explique également 2 méthodes par lesquelles les diffusions peuvent être abusées : l'une consiste à obtenir un accès direct au point de terminaison de la victime, tandis que l'autre nécessite de mentir à la victime afin de l'amener à télécharger une fausse application Azure.
La première procédure est un peu plus difficile à intégrer, mais elle est aussi plus intimidante.
"La création de flux peut être effectuée par programmation à l'aide de l'API Flows. Bien qu'il n'y ait pas d'API Power Automate dédiée, les points de terminaison de flux peuvent être utilisés pour interroger les connexions existantes et créer un flux", explique-t-il.
"Lorsqu'un compte Microsoft 365 est compromis, les attaquants peuvent simplement exécuter une commande qui fera fuir les données réservées entrantes, sans avoir besoin de créer manuellement le flux Power Automate."
La deuxième procédure, mentir à la victime pour télécharger l'application, est accompagnée d'un avertissement. Lorsque l'utilisateur donne son autorisation pour exécuter l'application malveillante, il dispose des autorisations nécessaires pour créer une diffusion. Cependant, il n'y a aucun moyen de créer une nouvelle connexion à l'aide de l'application. L'attaquant ne peut utiliser que les connexions existantes, ce qui signifie que les applications Azure pour cette attaque limitent les acteurs malveillants aux utilisateurs qui ont établi certaines connexions.
"La procédure la plus infaillible serait d'utiliser les informations d'identification de l'utilisateur ou un jeton d'authentification Power Automate", conclut-il.
Une façon d'atténuer la menace, dit Saraga, est de surveiller les comportements.
"Les alarmes basées sur le comportement sont également extrêmement efficaces pour avertir lorsqu'un utilisateur est infecté par un logiciel malveillant qui opère dans le contexte de l'utilisateur. Il est vraiment difficile pour les attaquants d'imiter le comportement quotidien normal d'un utilisateur", a-t-il conclu.