Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性 | ScanNetSecurity
2024.03.19(火)

Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性

URLが「https://make.powerapps.com」 で始まることのみを検証する欠陥で、攻撃者はこれを悪用し、サブドメイン「https://make.powerapps.com.fakecorp.ca」 などを作成し、信頼されていないコンテンツを Power Apps のタブに読み込ませることが可能となる。

脆弱性と脅威 脅威動向

 Tenable, Inc.は6月14日、Microsoft Power Apps 内の欠陥が攻撃者に悪用されてメール、Teams のメッセージ、OneDriveのファイル盗取の可能性について同社ブログで発表した。

 Microsoft Teams のユーザーは、デフォルト機能で所属しているチーム内のタブでアプリを起動でき、企業もOffice 365 や Microsoft Teams を Business Basic 以上のライセンスで使用している場合は、同様にタブ内で Microsoft Power Apps を起動できるが、Tenable社ではPower Apps タブに読み込まれたコンテンツに、不適切に固定された正規表現が適用されていることを発見した。

 Tenable社によると、タブ内のコンテンツのソースを検証するメカニズムが、出典URLが「https://make.powerapps.com/」ではなく「https://make.powerapps.com」 で始まることのみを検証し、それより深く検証しないという欠陥で、攻撃者はこの欠陥を悪用し、自分が制御している任意のドメインの配下に https://make.powerapps.com.fakecorp.ca などのサブドメインを作成し、そこから信頼されていないコンテンツを Power Apps のタブに読み込ませることが可能となる。

 本脆弱性は、Microsoft Teams がその中で起動されている Microsoft Power Apps に付与している権限によってさらに深刻化し、悪用が成功した場合に、アプリが起動されているタブにアクセスするユーザー全員が乗っ取られる可能性があり、乗っ取られたユーザーの Teams 内のグループメッセージの閲覧、メールや OneDrive の保管先にアクセスする等が可能となる。

 Microsoft では本件の解決策を実装済みで、エンドユーザー企業は対応の必要がない。

《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×