Microsoft 365: exploit permite acesso de invasores a arquivos confidenciais
Método, que usa fluxos automatizados do Microsoft 365, possibilita que invasores extraiam e-mails e arquivos das vítimasBy - Igor Shimabukuro, 8 fevereiro 2022 às 10:14
Um dos benefícios do Microsoft 365 é justamente a facilidade para compartilhar dados interna e externamente. O problema é que a empresa de segurança cibernética Varonis descobriu um exploit no serviço da big tech, que pode resultar no envio de arquivos ou e-mails para terceiros não autorizados.
Vulnerabilidade do Microsoft 365
Segundo os especialistas, o ponto-chave da vulnerabilidade é o Power Automate, um recurso habilitado por padrão com aplicativos do Microsoft 365. Com ele, o usuário pode criar uma conexão entre duas ferramentas, permitindo comportamentos para que os dados fluam de maneira automatizada.
No entanto, toda essa facilidade pode ser usada por cibercriminosos. A partir desses fluxos, os malfeitores podem extrair e-mails e arquivos do SharePoint e do OneDrive. Inclusive, existe até mesmo a possibilidade exfiltrar dados de outros aplicativos do serviço, incluindo o MSGraph, por exemplo.
“Depois que uma conta do Microsoft 365 é comprometida, os invasores podem simplesmente executar um comando que vazará dados confidenciais recebidos, sem a necessidade de criar manualmente o fluxo do Power Automate”, pontuou Eric Saraga, pesquisador de segurança da Varonis.
De acordo com Saraga, existem dois métodos de exploração desses fluxos. O primeiro deles baseia-se em ter acesso ao endpoint da vítima. É certo que essa exploração é bem mais difícil de ser executada, mas as consequências também são mais “devastadoras”.
“A criação de fluxos pode ser feita programaticamente usando a API de fluxo. Embora não haja uma API Power Automate dedicada, os pontos de extremidade de fluxo podem ser usados para consultar conexões existentes e criar um fluxo”, explicou.
Já no segundo método, o invasor terá que enganar a vítima e fazê-la baixar um aplicativo falso do Azure, ganhando acesso aos fluxos do Microsoft 365. A “boa notícia” é que, neste método, não há como criar novas conexões, ou seja, ou invasor fica limitado a fluxos já existentes.
Mitigando as ameaças
Ainda segundo Saraga, uma das maneiras para mitigar a ameaça é ficar atento aos monitoramentos de comportamento.
“Os alertas baseados em comportamento também são extremamente eficazes para detectar quando um usuário está infectado com malware que está operando no contexto do usuário – é muito difícil para os invasores imitar o comportamento normal do dia-a-dia de um usuário”, concluiu.
A Varonis também anunciou uma atualização de sua plataforma de segurança de dados, que ajuda a reforçar a proteção do Microsoft 365. Os interessados podem encontrar mais informações por meio deste link.
Via: TechRadar
Comentários