資安實驗室Zenity Labs指出,微軟低程式碼開發平臺Power Platform的SharePoint連接器存在重大層級的伺服器偽造請求(SSRF)漏洞,一旦攻擊者成功利用,就有機會挖掘使用者的帳密資料,從而冒用這些使用者的名義,向SharePoint的API發送請求,滲透敏感資料,並執行未經授權的活動。
對此,Zenity Labs於去年9月通報,微軟在10月上旬確認漏洞,並於10月下旬頒發獎金給研究人員,最終於12月完成修補。值得留意的是,Zenity Labs指出這種弱點影響範圍相當廣,不光SharePoint連接器,Power Automate、Power Apps、Copilot Studio、Copilot365也可能曝險,這樣的情況使得該漏洞的危害範圍擴大許多,因為攻擊者有機會從Power Platform生態系統多個服務試圖利用漏洞,從而在受害企業組織持續活動,卻不被發現。
針對這項漏洞發生的原因,Zenity Labs資安研究員Dmitry Lozovoy指出,是SharePoint連接器的輸入驗證不足所致,攻擊者可濫用自訂數值(custom value)的功能,並植入偽造的URL,導致連接器接受輸入內容並直接向伺服器發送請求。
基於這樣的控管疏漏,攻擊者在發動伺服器偽造請求攻擊後,就有機會得到SharePoint的Token,研究人員以此進行相關驗證之後,發現這組Token居然就是流程建立者的Token,而且能從外部使用,這也意味著,攻擊者能輕易利用cURL或是Burp Suite等工具發出請求,進行API呼叫。
不過,利用這項漏洞必須搭配指定條件,那就是攻擊者事先必須取得特定Power Platform角色身分(Environment Maker、Basic User),才有機會觸發。
熱門新聞
2025-03-10
2025-03-10
2025-03-10
2025-03-10
2025-03-13
