Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性 | ScanNetSecurity
2024.07.24(水)

Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性

URLが「https://make.powerapps.com」 で始まることのみを検証する欠陥で、攻撃者はこれを悪用し、サブドメイン「https://make.powerapps.com.fakecorp.ca」 などを作成し、信頼されていないコンテンツを Power Apps のタブに読み込ませることが可能となる。

脆弱性と脅威

 Tenable, Inc.は6月14日、Microsoft Power Apps 内の欠陥が攻撃者に悪用されてメール、Teams のメッセージ、OneDriveのファイル盗取の可能性について同社ブログで発表した。

 Microsoft Teams のユーザーは、デフォルト機能で所属しているチーム内のタブでアプリを起動でき、企業もOffice 365 や Microsoft Teams を Business Basic 以上のライセンスで使用している場合は、同様にタブ内で Microsoft Power Apps を起動できるが、Tenable社ではPower Apps タブに読み込まれたコンテンツに、不適切に固定された正規表現が適用されていることを発見した。

 Tenable社によると、タブ内のコンテンツのソースを検証するメカニズムが、出典URLが「https://make.powerapps.com/」ではなく「https://make.powerapps.com」 で始まることのみを検証し、それより深く検証しないという欠陥で、攻撃者はこの欠陥を悪用し、自分が制御している任意のドメインの配下に https://make.powerapps.com.fakecorp.ca などのサブドメインを作成し、そこから信頼されていないコンテンツを Power Apps のタブに読み込ませることが可能となる。

 本脆弱性は、Microsoft Teams がその中で起動されている Microsoft Power Apps に付与している権限によってさらに深刻化し、悪用が成功した場合に、アプリが起動されているタブにアクセスするユーザー全員が乗っ取られる可能性があり、乗っ取られたユーザーの Teams 内のグループメッセージの閲覧、メールや OneDrive の保管先にアクセスする等が可能となる。

 Microsoft では本件の解決策を実装済みで、エンドユーザー企業は対応の必要がない。

《高橋 潤哉( Junya Takahashi )》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. マイクロソフトが 7 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 7 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

  2. 裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

    裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

  3. セキュリティホール情報<2003/05/06-1>

    セキュリティホール情報<2003/05/06-1>

  4. TeamCity におけるパス文字列処理の不備に起因する認証回避の脆弱性(Scan Tech Report)

  5. スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

  6. PHPの脆弱性(CVE-2024-4577)を狙う攻撃に注意を呼びかけ

  7. Windows 版 GlobalProtect App における権限昇格につながる任意のファイル削除の脆弱性(Scan Tech Report)

  8. ネットバンキングによる不正送金増加 金融庁注意喚起

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. センチュリー・システムズ製 FutureNet NXRシリーズ、VXRシリーズおよび WXRシリーズに複数の脆弱性

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×