Microsoft 365: Sicherheitslücken und Angriffe im Fokus
In den letzten Wochen wurden mehrere Sicherheitslücken in Microsoft 365 bekannt, die potenziell schwerwiegende Folgen für die Nutzer haben könnten. Diese Schwachstellen betreffen insbesondere den SharePoint-Connector innerhalb der Power Platform und haben die Aufmerksamkeit von Cybersecurity-Experten auf sich gezogen. Microsoft hat daraufhin Maßnahmen ergriffen, um die Sicherheit seiner Produkte zu verbessern und die Zusammenarbeit mit Sicherheitsforschern zu intensivieren.
Wichtige Erkenntnisse
- Schwachstelle im SharePoint-Connector: Eine kürzlich entdeckte Schwachstelle könnte Angreifern ermöglichen, Benutzeranmeldeinformationen zu stehlen und weitere Angriffe durchzuführen.
- Erweiterung des Bug-Bounty-Programms: Microsoft hat sein Bug-Bounty-Programm für Microsoft 365 aktualisiert, um Sicherheitsforscher zu ermutigen, Schwachstellen zu melden, mit Belohnungen von bis zu 27.000 USD.
- Verantwortungsvolle Offenlegung: Microsoft hat die Schwachstelle nach einer verantwortungsvollen Offenlegung im September 2024 behoben.
Schwachstelle Im SharePoint-Connector
Die Sicherheitslücke im SharePoint-Connector der Power Platform könnte es Angreifern ermöglichen, die Anmeldeinformationen eines Benutzers zu stehlen. Dies könnte zu unbefugtem Zugriff auf sensible Daten führen. Die Schwachstelle ist ein Beispiel für Server-Side Request Forgery (SSRF), die durch die Verwendung der Funktion "benutzerdefinierter Wert" im SharePoint-Connector ermöglicht wird.
Um die Schwachstelle auszunutzen, müsste der Angreifer über die Rollen "Environment Maker" und "Basic User" in der Power Platform verfügen. Dies bedeutet, dass der Angreifer zunächst Zugang zu einer Zielorganisation erlangen müsste.
Mögliche Angriffszenarien
- Erstellung eines schädlichen Flows: Ein Angreifer könnte einen Flow für eine SharePoint-Aktion erstellen und diesen mit einem niedrig privilegierten Benutzer teilen, was zu einem Leck des SharePoint JWT-Zugriffstokens führen könnte.
- Erweiterung auf andere Dienste: Die Schwachstelle könnte auch auf andere Dienste wie Power Apps und Copilot Studio ausgeweitet werden, indem ein scheinbar harmloses Canvas-App oder ein Copilot-Agent erstellt wird, um das Token eines Benutzers zu stehlen.
- Interaktion über Teams: Durch die Einbettung der Canvas-App in einen Teams-Kanal könnten Tokens von Benutzern erfasst werden, die mit der App interagieren, was die Reichweite des Angriffs weiter erhöht.
Microsofts Reaktion: Bug-Bounty-Programm
Um die Sicherheit seiner Produkte zu verbessern, hat Microsoft sein Bug-Bounty-Programm für Microsoft 365 erweitert. Die Belohnungen reichen von 500 USD für moderate Probleme bis zu 27.000 USD für kritische Schwachstellen. Die Initiative zielt darauf ab, Sicherheitsforscher weltweit zu ermutigen, Schwachstellen in Microsoft 365-Diensten zu identifizieren und zu melden.
Belohnungsstruktur
- 500 USD für moderate Schwachstellen
- 27.000 USD für kritische Schwachstellen
- Zusätzliche Boni von 15% bis 80% für hochriskante Szenarien
Fazit
Die kürzlich entdeckten Sicherheitslücken in Microsoft 365 verdeutlichen die Notwendigkeit einer ständigen Wachsamkeit im Bereich der Cybersicherheit. Microsofts Bemühungen, Sicherheitsforscher einzubeziehen und Schwachstellen proaktiv zu beheben, sind entscheidend, um die Sicherheit seiner Nutzer zu gewährleisten. Die Zusammenarbeit mit der Sicherheitsgemeinschaft wird als Schlüssel zur Verbesserung der Sicherheitslage angesehen.
