Sicherheitsforscher haben einen Fehler im Microsoft SharePoint Connector auf der Power Platform entdeckt. Eine Schwachstelle in der Server-seitigen Anfragefälschung hätte es Angreifern ermöglichen können, die Login-Daten von Personen zu stehlen. Obwohl der Fehler behoben wurde, sollten Benutzer dennoch so schnell wie möglich aktualisieren.

Experten haben davor gewarnt, dass der Microsoft SharePoint Connector auf der Power Platform anfällig für einen Server-seitigen Anfragefälschungsfehler (SSRF) war, der es Angreifern ermöglicht hätte, die Login-Daten von Personen zu stehlen. Cybersicherheitsforscher von Zenity Labs haben kürzlich ihre Erkenntnisse in einer eingehenden technischen Analyse detailliert beschrieben und erklärt, wie Angreifer im Wesentlichen die „Benutzerdefinierten Wert“-Funktion in einem SharePoint Connector nutzen könnten, um eine benutzerdefinierte URL in einem Fluss hinzuzufügen. Hierfür benötigten sie zunächst Zugriff auf eine Umgebungsmacher-Rolle und die Grundbenutzer-Rolle innerhalb der Power Platform. Zenity erklärte in dem Blog, warum der Zugriff auf die Umgebungsmacher-Rolle für den Angriff erforderlich ist: „Die Umgebungsmacher-Rolle ermöglicht es Ihnen, Apps, Flows und Verbindungen zu erstellen und sie mit anderen in Ihrer Organisation zu teilen“, heißt es in dem Artikel. „Die Grundbenutzer-Rolle ermöglicht es Ihnen, Apps auszuführen und mit Datensätzen zu interagieren, die Ihnen gehören (z. B. Konto, Kontakt).“

Fluss erstellen
Ein Angreifer könnte einen Fluss für eine SharePoint-Aktion erstellen und diesen mit dem Opfer teilen, was letztendlich dazu führen würde, dass ihr SharePoint JWT-Zugriffstoken durchsickert. Die Schurken könnten dieses Token dann nutzen, um das Opfer zu imitieren und Anfragen außerhalb der Power Platform zu senden. Zenity fügte hinzu, dass die Schwachstelle in Power Apps oder Copilot Studio ausgenutzt werden kann. „Sie können dies noch weiter ausbauen, indem Sie die Canvas-App beispielsweise in einem Teams-Kanal einbetten“, merkte Zenity an. „Sobald Benutzer mit der App in Teams interagieren, können Sie ihre Token genauso einfach ernten, um Ihren Einfluss auf die Organisation auszudehnen und den Angriff noch weiter zu verbreiten.“

Microsoft wurde im September 2024 über die Schwachstelle informiert und hat sie Mitte Dezember des letzten Jahres behoben. Microsoft SharePoint ist eine Online-Kollaborations- und Dokumentenverwaltungsplattform, die es Organisationen ermöglicht, Inhalte, Workflows und Anwendungen sicher zu speichern, zu teilen und zu verwalten.