Пресс-релизы //

Varonis обнаружила уязвимость Power Automate в Microsoft 365

Команда аналитиков Varonis Systems обнаружила способ злоупотребления облачным сервисом Power Automate в Microsoft 365 — хакеры могут использовать его для кибератак. Power Automate дает возможность злоумышленникам автоматически извлекать данные, взаимодействовать с серверами C2 и уклоняться от средств обнаружения.

Power Automate, по умолчанию включенный в Microsoft 365, позволяет пользователям автоматизировать бизнес-задачи и рабочие процессы между различными приложениями и службами. С его помощью можно создавать «потоки» (автоматизированное поведение между приложениями) для Outlook, SharePoint и OneDrive — для совместного использования и отправки файлов, пересылки электронной почты и многого другого. Чтобы создать «поток» и настроить сценарий поведения между приложениями пользователь должен создать соединение между двумя приложениями для передачи данных между ними. Например, при получении письма на электронную почту отправляется сообщение в Teams и создается запись в списке SharePoint.

Аналитики Varonis обнаружили два метода, которые могут использоваться для кибератак. Первый предусматривает прямой доступ к конечной точке пользовательского «потока» для запроса существующих подключений, а второй — загрузку обманным путем поддельного приложения Azure.

Первый метод сложнее осуществить, но он наносит более серьезный вред в случае успешной реализации. После взлома учетной записи Microsoft 365 злоумышленники могут просто выполнить команду, которая приведет к утечке входящих конфиденциальных данных, без необходимости вручную создавать поток Power Automate.

Второй метод изощреннее: как только пользователь даст согласие на запуск вредоносного приложения, у него появятся необходимые разрешения для создания «потока». Однако создать новое соединение с помощью приложения невозможно. Хакер может использовать только существующие подключения, то есть приложения Azure ограничивают злоумышленников пользователями, которые уже установили определенные подключения.

Злоумышленники могут использовать Power Automate для экспорта электронной почты через новые правила переадресации. И так как они создаются не в Outlook/Exchange, то этот процесс невозможно обнаружить и заблокировать. Поток «Переадресация электронной почты» будет автоматически пересылать все полученные письма хакеру. При этом название потока настраивается и может быть изменено на более непонятное пользователю значение.

Вредоносные потоки открывают также доступ к данным из Delve, статистике файлов SharePoint и другой конфиденциальной информации. К примеру, несанкционированная загрузка файлов SharePoint возможна через созданные «потоком» анонимные ссылки общего доступа, которые перенаправляются на сервер преступников с помощью API.

Аналитики Varonis отмечают, что предотвратить угрозу кражи данных через Power Automate поможет мониторинг создания и активности автоматизированных потоков, приложений Azure, доступа к ресурсам, разрешений для приложений, нетипичных аутентификаций и входа в систему.

Также Varonis добавляет для событий в Microsoft 365 больше контекста на основе поведения пользователей. Это позволяет обнаруживать аномальный доступ к данным и активность электронной почты исходя из сохраненного базового поведенческого профиля пользователя.

Такая линия защиты от кражи данных через Power Automate не требует написания специальных правил обнаружения или ручного поиска подозрительных изменений в IP-адресах или строках агента пользователя. Оповещения на основе поведения также эффективны при обнаружении заражения систем вредоносным ПО— злоумышленникам очень сложно имитировать обычное поведение пользователя.

Помимо этого, аналитики Varonis рекомендуют блокировать электронные письма, переадресованные из Power Automate, и запретить передачу данных с помощью электронной почты, настроив элементы управления коннекторов к различным сервисам.

Более подробная информация об исследовании в блоге компании Varonis Systems.

О компании Varonis (https://www.varonis.com/ru/)
Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.

Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 23:55, 01.03.2022 Количество просмотров: 186
Страна: Россия

Мероприятия, приуроченные к 82-летию Главного управления контрразведки «Смерш» прошли на Урале, Уральский округ Росгвардии, 19:19, 18.04.2025, Россия200

В преддверии 82-й годовщины со дня образования Главного управления контрразведки «Смерш» НКО СССР, проведены показные занятия для подшефных школьников.

Копить — не надо: «Выберу.ру» составил рейтинг лучших автокредитов без первого взноса в апреле 2025 года, Финансовый маркетплейс «Выберу.ру», 19:26, 18.04.2025, Россия194
«Выберу.ру подготовил рейтинг банков с самыми выгодными потребителям условиями автокредитов без обязательного первого взноса при покупке любых машин — с пробегом или новых.

Весна в Желдорреммаше – время встречи гостей, https://ao-zdrm.ru/, 19:26, 18.04.2025, Россия192

На заводах АО «Желдорреммаш» стартовал весенний этап профориентационной «Недели без турникетов». Производственные площадки компании посетит несколько тысяч человек. Масштабная всероссийская акция, проводимая под эгидой Союза машиностроителей России, продлится до конца апреля

Corpsoft24 автоматизировала непрерывное химическое производство одного из крупнейших мировых производителей - ГК «ГалоПолимер», CorpSoft24, 19:23, 18.04.2025, Россия195
Компания CorpSoft24 завершила проект по внедрению информационной системы управления финансово-хозяйственной деятельностью производителя химической продукции ГК «ГалоПолимер» на базе «1С:ERP. Управление холдингом».

«Кит-системс» расширяет сотрудничество с QTECH, Кит-систепмс, 19:21, 18.04.2025, Россия197

Системный интегратор «Кит-системс» подтвердил партнерскую авторизацию российского производителя телекоммуникационного и серверного оборудования – компании QTECH на 2025 год.

Компания «Гарант» выпустила сервис на основе искусственного интеллекта, Компания "Гарант", 19:06, 18.04.2025, Россия46

ИИ-сервис «Искра» от компании «Гарант» ответит на правовой вопрос или подготовит шаблон документа.

Ресторан‑бар «Оптимист» запускает акцию «Счастливые часы»: 50 % скидка на все вина по будням, Ресторан-бар "Оптимист", 19:05, 18.04.2025, Россия45

Екатеринбург, пр. Ленина 50 «Б» – Ежедневно с 15:00 до 18:00 ресторан‑бар «Оптимист» приглашает гостей насладиться эксклюзивным предложением: полная скидка 50 % на все позиции винной карты основного меню – тихие и игристые вина (кроме шампанского).

Start Link оптимизировал процесс подбора сотрудников в Московской пивоваренной компании, HRlink, 19:05, 18.04.2025, Россия53

Московская Пивоваренная Компания (МПК) в несколько раз сократила временные и трудозатраты в процессе найма новых сотрудников с помощью модуля для удаленного приема на работу Start Link (входит в экосистему кадрового ЭДО HRlink).

Tom Tailor улучшил бизнес-показатели с помощью платформы iSpring Learn, iSpring, 19:04, 18.04.2025, Россия56

Компания Tom Tailor построила систему дистанционного обучения сотрудников с помощью LMS платформы iSpring Learn, что позволило ускорить адаптацию новичков, повысить их продуктивность с первых дней работы и влиять на товарооборот

Обновлена платформа мониторинга данных Smart Monitor, VolgaBlob, 19:04, 18.04.2025, Россия49
На конференции VB-Trend 2025 компания VolgaBlob представила новую версию своего флагманского продукта Smart Monitor. В релизе 5.0 усовершенствована технология поиска Search Anywhere, появился инструмент для заметок Smart Notebooks

Новый импульс развития аддитивных технологий для российских промышленных предприятий, Группа "Борлас", 19:04, 18.04.2025, Россия48

Санкт-Петербургский политехнический университет Петра Великого и Группа «Борлас» (входит в ГК Softlinе) подписали соглашение о стратегическом партнёрстве с целью обучения студентов и специалистов промышленных предприятий технологическим инновациям, а также для создания инженерно-производственных центров аддитивных лазерных технологий совместно с ведущими российскими промышленными предприятиями.

«ОПАСНАЯ БЛИЗОСТЬ»: СЕРИАЛ О СИЛЬНЫХ ЧУВСТВАХ НА ЭКРАНАХ ТЕЛЕВИЗОРОВ LG OLED evo, LG Electronics, 19:04, 18.04.2025, Россия50

Новый остросюжетный сериал «Опасная близость» (18+)1 от онлайн-кинотеатра START рассказывает историю Анны — успешного пластического

LG расширяет бизнес передовых материалов по всему миру с LG PuroTec, LG Electronics, 19:02, 18.04.2025, Россия42

LG Electronics (LG) ускоряет глобальное расширение своего бизнеса передовых материалов с LG PuroTec™,

Система «Видеоаналитика на складе» от BIA Technologies стала лучшим ИТ-проектом 2024 года в логистике, BIA Technologies, 18:56, 18.04.2025, Россия114

ИТ-компания вошла в число победителей ежегодного исследования делового издания РБК Петербург - «IT проекты и технологии развития» и получила награду Digital Awards в номинации «Транспорт и Логистика».

Школа программирования CODDY вошла в ТОП-10 образовательных центров Тюмени, CODDY, 19:01, 18.04.2025, Россия36

Школа программирования CODDY удостоена престижной награды «100 лучших компаний Тюмени» и вошла в ТОП-10 образовательных центров по результатам голосования жителей города в рамках проекта «Народная премия72».