Tijdens Black Hat USA 2023 in Las Vegas komen veel nieuwe cyberdreigingen aan het licht. Een daarvan betreft een kwetsbaarheid bij Microsoft 365-gastaccounts, die minder veilig blijken te zijn dat de techgigant gedacht zal hebben. Gewapend met enkel een trial-versie van Power Apps en een gastaccount kan een kwaadwillende interne gegevens stelen.
Organisaties kunnen gastaccounts gebruiken binnen Microsoft 365 om tijdelijk beperkte toegang te verlenen aan een 365-tenancy. De reden om dit in te zetten kan variëren, maar is bijvoorbeeld nuttig om gevoelige bestanden te delen. Het is niet de bedoeling dat er veel meer mee kan, maar low-code securityspecialist Michael Bargury omschrijft dat er aardig wat mis kan gaan.
Bargury kaart tijdens zijn presentatie aan dat het wellicht te eenvoudig is om een gastaccount te verkrijgen. Elke gebruiker kan namelijk een query uitvoeren op uitnodigingen die nog openstaan, die zonder enige vorm van verificatie gelinkt kunnen worden met een extern account. Admins kunnen daarnaast ook nog eens niet achterhalen welk account precies met de uitnodiging verbonden is.
Datadiefstal mogelijk
Normaal gesproken is Power Apps afgesloten voor gastaccounts, maar niet de proefversie ervan. Daarmee is het al mogelijk om te switchen naar de Power Apps-directory van de bezochte organisatie. Vandaaruit kunnen aanvallers applicaties binnen de tenant opzetten en zelfs data stelen.
Het achterliggende probleem is echter vooral toegangsbeheer, meent Bargury. Veel organisaties volgen de best practices wat dat betreft niet. In tegenstelling tot een brede adoptie van zero-trust en least-privilege is er juist sprake van onbeperkte toegang tot applicaties binnen de eigen beveiligde omgeving. Het is daarom zaak om te kijken of gastaccounts bij Power Apps kunnen komen in de eigen infrastructuur.
Microsoft zou inmiddels aan het werk zijn met patches om de kwetsbaarheid tegen te gaan. Het heeft klaarblijkelijk meer werk te verrichten: al eerder bleek een ander cybergevaar voor het bedrijf uit Redmond te bestaan rondom OneDrive.
Lees ook: Microsoft OneDrive is een gewillige ransomware-handlanger
1 dag geleden
