Varonis обнаружила уязвимость Power Automate в Microsoft 365
Команда аналитиков Varonis Systems обнаружила способ злоупотребления облачным сервисом Power Automate в Microsoft 365 — хакеры могут использовать его для кибератак. Power Automate дает возможность злоумышленникам автоматически извлекать данные, взаимодействовать с серверами C2 и уклоняться от средств обнаружения.
Power Automate, по умолчанию включенный в Microsoft 365, позволяет пользователям автоматизировать бизнес-задачи и рабочие процессы между различными приложениями и службами. С его помощью можно создавать «потоки» (автоматизированное поведение между приложениями) для Outlook, SharePoint и OneDrive — для совместного использования и отправки файлов, пересылки электронной почты и многого другого. Чтобы создать «поток» и настроить сценарий поведения между приложениями пользователь должен создать соединение между двумя приложениями для передачи данных между ними. Например, при получении письма на электронную почту отправляется сообщение в Teams и создается запись в списке SharePoint.
Аналитики Varonis обнаружили два метода, которые могут использоваться для кибератак. Первый предусматривает прямой доступ к конечной точке пользовательского «потока» для запроса существующих подключений, а второй — загрузку обманным путем поддельного приложения Azure.
Первый метод сложнее осуществить, но он наносит более серьезный вред в случае успешной реализации. После взлома учетной записи Microsoft 365 злоумышленники могут просто выполнить команду, которая приведет к утечке входящих конфиденциальных данных, без необходимости вручную создавать поток Power Automate.
Второй метод изощреннее: как только пользователь даст согласие на запуск вредоносного приложения, у него появятся необходимые разрешения для создания «потока». Однако создать новое соединение с помощью приложения невозможно. Хакер может использовать только существующие подключения, то есть приложения Azure ограничивают злоумышленников пользователями, которые уже установили определенные подключения.
Злоумышленники могут использовать Power Automate для экспорта электронной почты через новые правила переадресации. И так как они создаются не в Outlook/Exchange, то этот процесс невозможно обнаружить и заблокировать. Поток «Переадресация электронной почты» будет автоматически пересылать все полученные письма хакеру. При этом название потока настраивается и может быть изменено на более непонятное пользователю значение.
Вредоносные потоки открывают также доступ к данным из Delve, статистике файлов SharePoint и другой конфиденциальной информации. К примеру, несанкционированная загрузка файлов SharePoint возможна через созданные «потоком» анонимные ссылки общего доступа, которые перенаправляются на сервер преступников с помощью API.
Аналитики Varonis отмечают, что предотвратить угрозу кражи данных через Power Automate поможет мониторинг создания и активности автоматизированных потоков, приложений Azure, доступа к ресурсам, разрешений для приложений, нетипичных аутентификаций и входа в систему.
Также Varonis добавляет для событий в Microsoft 365 больше контекста на основе поведения пользователей. Это позволяет обнаруживать аномальный доступ к данным и активность электронной почты исходя из сохраненного базового поведенческого профиля пользователя.
Такая линия защиты от кражи данных через Power Automate не требует написания специальных правил обнаружения или ручного поиска подозрительных изменений в IP-адресах или строках агента пользователя. Оповещения на основе поведения также эффективны при обнаружении заражения систем вредоносным ПО— злоумышленникам очень сложно имитировать обычное поведение пользователя.
Помимо этого, аналитики Varonis рекомендуют блокировать электронные письма, переадресованные из Power Automate, и запретить передачу данных с помощью электронной почты, настроив элементы управления коннекторов к различным сервисам.
Более подробная информация об исследовании в блоге компании Varonis Systems.
О компании Varonis (https://www.varonis.com/ru/) Varonis Systems – разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 7000 заказчиков во всем мире.
Контактное лицо: Татьяна Алексеева
Компания: Varonis
Добавлен: 23:55, 01.03.2022
Количество просмотров: 239
Страна: Россия
Компания Innostage и «Группа Астра» подтвердили совместимость своих программных продуктов — системы управления привилегированным доступом Innostage Privileged Access Management ( далее - Innostage PAM) версии 1.4.1 и операционной системы Astra Linux Server версии 1.8.
Компания «1С» выпустила новый отраслевой программный продукт «1С:ERP.УХ Металлургия КОРП», предназначенный для комплексной автоматизации крупных предприятий черной и цветной металлургии.
Цифровой логистический оператор versta.io расширил возможности платформы для корпоративных заказчиков, добавив услугу по оформлению российских Паспортов безопасности и их международных аналогов
Российский разработчик low-code платформы GreenData представил «GreenData Диалог» – корпоративную среду для общения, обмена файлами и проведения онлайн-встреч.
Компания «Нетрика Медицина» (входит в N3.Group и ГК «Ташир МЕДИКА») продолжает развивать компонент интеграции с Государственной информационной системой обязательного медицинского страхования (ГИС ОМС) в составе интеграционной платформы «N3.Здравоохранение».
Решение BSS позволяет быстро автоматизировать обслуживание граждан в MAX с помощью единого окна для оператора, чат-бота с готовыми сценариями, речевой аналитики, AI-портала, и инструмента проактивного информирования. Технология уже готова к развертыванию в контуре заказчика без необходимости интеграции разрозненных систем.
Экспертный совет премии FINNEXT отметил СДМ-Банк в номинации «Драйвер цифровой трансформации». Высокой оценки удостоился проект внедрения корпоративной базы знаний, разработанный и реализованный совместно с компанией BSS.
Группа компаний MONT расширила продуктовый портфель и предложит партнерам PT Dephaze. Продукт ориентирован на комплексную оценку защищенности с помощью автоматизированного пентеста и дает бизнесу новый инструмент для анализа киберрисков при изменении инфраструктуры.
В рамках миграции ИТ-инфраструктуры ППК «Роскадастр» на отечественные платформы поставлено более 1000 лицензий на ПО управления виртуализацией и резервным копированием.
Новая конфигурация реализована на «ЭОС Платформе» и полностью соответствует требованиям российского законодательства к импортонезависимым ИТ-решениям для критически важных информационных систем.
Внедрить сложное ИБ-решение значительно проще, чем выстроить процесс его эффективного использования. В российских компаниях технологический стек нередко расширяется быстрее, чем формируется операционная дисциплина: появляются новые платформы, консоли и алерты, но управляемость при этом не растет.
VolgaBlob переосмысливает подход к концепции observability в мониторинге. Компания выводит на рынок продукт, который обеспечит наблюдаемость на всех трех уровнях: инфраструктурном, сервисном и на уровне приложений. МАЯК будет представлен на VB Trend-2026 17 апреля.
Российская операционная система РЕД ОС стала доступна в облачной инфраструктуре DataSpace Cloud. Теперь клиенты провайдера могут развернуть российскую операционную систему по модели подписки и использовать ее для построения независимой ИТ-инфраструктуры.
