Un exploit de Microsoft 365 podría dar acceso a todos sus correos electrónicos

Los investigadores han descubierto una nueva forma de abusar de una función de automatización del flujo de trabajo en Microsoft 365 para filtrar datos.
Eric Saraga, de la firma de seguridad cibernética Varonis, descubrió cómo se puede abusar de Power Automate, una función que se encuentra en Microsoft 365 para Outlook, SharePoint y OneDrive, para compartir o enviar archivos automáticamente, o reenviar correos electrónicos , a terceros no autorizados. Power Automate, una función que está habilitada de forma predeterminada con las aplicaciones de Microsoft 365, permite a los usuarios crear sus propios “flujos”: comportamientos automatizados entre aplicaciones. Para configurar estos comportamientos, el usuario primero debe crear una conexión entre dos aplicaciones, lo que permite que los datos fluyan entre las dos.
Saraga también explica dos métodos con los que se puede abusar de los flujos: uno es tener acceso directo al punto final de la víctima, mientras que el otro requiere engañar a la víctima para que descargue una aplicación falsa de Azure.
El primer método es algo más difícil de lograr, pero también es más devastador.
“La creación de flujos se puede hacer mediante programación utilizando la API de flujo. Aunque no hay una API de Power Automate dedicada, los extremos de flujo se pueden usar para consultar las conexiones existentes y crear un flujo”, explica.
“Una vez que una cuenta de Microsoft 365 se ve comprometida, los atacantes pueden simplemente ejecutar un comando que filtrará los datos confidenciales que ingresan, sin la necesidad de crear manualmente el flujo de Power Automate”.
El segundo método, engañar a la víctima para que descargue la aplicación, viene con una advertencia. Una vez que el usuario dé su consentimiento para ejecutar la aplicación de malware , tendrá los permisos necesarios para crear un flujo. Sin embargo, no hay forma de crear una nueva conexión usando la aplicación. El atacante solo puede usar las conexiones existentes, lo que significa que las aplicaciones de Azure para este ataque limitan a los actores maliciosos a los usuarios que ya han realizado ciertas conexiones.
“El método más infalible sería usar las credenciales del usuario o un token de autenticación de Power Automate”, concluye.
Una de las formas de mitigar la amenaza, explica Saraga, es monitorear los comportamientos.
“Las alertas basadas en el comportamiento también son extremadamente efectivas para detectar cuando un usuario está infectado con malware que opera en el contexto del usuario; es muy difícil para los atacantes emular el comportamiento normal del día a día de un usuario”, concluyó.