Microsoft 365: Per Gastkonto und Testlizenz zu sensiblen Unternehmensdaten
Ein Low-Code-Sicherheitsexperte namens Michael Bargury hat auf der Hackerkonferenz Black Hat demonstriert, wie sich Angreifer anhand eines Microsoft-365-Gastkontos und einer für jedermann erhältlichen Power-Apps-Testlizenz Zugriff auf interne Anwendungen und sensible Daten ihrer Zielorganisationen verschaffen können. Das Problem liege dabei aber nicht allein bei Microsoft, sondern ebenso daran, dass viele Unternehmen Zugriffsrechte auf Power Apps nicht ausreichend einschränken.
Eine Power-Apps-Testlizenz öffnet Gästen viele Türen
Viele Organisationen setzen Gastkonten ein, um externen Auftragnehmern oder neuen Mitarbeitern vorerst einen eingeschränkten Zugang für Sharepoint oder einen Teams-Kanal zu geben. Zwar haben diese Konten standardmäßig keine Power-Apps-Lizenzen und können daher nicht auf interne Unternehmensanwendungen zugreifen, jedoch bietet Microsoft selbst Testlizenzen an, mit denen sich diese Barriere offenbar umgehen lässt.
So soll einem Bericht von The Register(öffnet im neuen Fenster) zufolge ein Gastkonto und eine Power-Apps-Testlizenz ausreichen, damit sich Angreifer über das Verzeichnis des anvisierten Microsoft-365-Mandanten Zugriff auf unternehmensintern freigegebene Power-Apps-Verbindungen verschaffen und sogar eigene Anwendungen erstellen können. Ein Problem sei dies insbesondere für jene Organisationen, die keine gute Zugriffsverwaltung betreiben.
In vielen Unternehmen sei es sogar üblich, Anmeldeinformationen direkt in freigegebene Power Apps einzubetten, um anderen Mitarbeitern deren Verwendung zu erleichtern. "Es ist wichtig festzuhalten, dass all dies durch Benutzerfehler ermöglicht wird" , so Bargury. Mitarbeitern, die in ihrem Unternehmen Power Apps bereitstellen, wird daher empfohlen, die Zugriffsrechte zu überprüfen und gegebenenfalls einzuschränken.
Auch Datenbanken stehen häufig offen
Darüber hinaus soll aber auch die Möglichkeit, mit einem Gastkonto eigene Power Apps zu erstellen, dafür sorgen, dass Angreifer durch geschickte API-Manipulationen Microsofts Standardrichtlinien zur Verhinderung von Datenverlusten(öffnet im neuen Fenster) umgehen können. Dadurch könne ein böswilliger Akteur auf Konnektoren zugreifen und "alle Daten in den Datenbanken, mit denen sie verknüpft sind, auslesen" .
Um dies zu demonstrieren, entwickelte Bargury ein Tool namens Power Pwn(öffnet im neuen Fenster) , mit dem er in der Lage war, "auf alle Arten von Azure- und SQL-Datenbanken, die von Power Apps verwendet werden, zuzugreifen und Daten daraus abzugreifen, einschließlich einer Testdatenbank, die Kundeninformationen wie Sozialversicherungsnummern enthielt."
Weitere Informationen(öffnet im neuen Fenster) zu seinen Entdeckungen hat der Sicherheitsexperte via Github zur Verfügung gestellt.