セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 ニュース解説 脆弱性解説|Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性

脆弱性解説|Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性

ニュース解説
目次
  • 今回の解説ニュース
  • 脆弱性について解説
  • 脆弱性の悪用例と確認方法について

今回の解説ニュース

Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性

Tenable, Inc.は6月14日、Microsoft Power Apps 内の欠陥が攻撃者に悪用されてメール、Teams のメッセージ、OneDriveのファイル盗取の可能性について同社ブログで発表した。(記事はこちら)


【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

Microsoft Power Appsの脆弱性が原因で、Microsoft Teamsのタブを開いたユーザの権限が乗っ取られる可能性があるということです。今回、報告された脆弱性の内容や対策について説明します。

今回報告されたのは、Teamsで悪意のあるユーザが、同じチーム内のユーザに対してPower Appsタブのアプリを経由して攻撃できる可能性がある脆弱性です。タブ内のコンテンツを検証するメカニズムに欠陥があり、悪意のあるコンテンツを読み込ませることが可能であるということです。

脆弱性が悪用されると、Power Appsに割り当てられた権限次第では、Teamsのタブにアクセスしたユーザの権限が乗っ取られ、Teamsのグループメッセージやメール、OneDriveなどにアクセスされる可能性があるということです。

脆弱性について解説

今回報告された脆弱性について、どこに問題があるかについて説明します。

まず、今回報告された脆弱性の問題点は「タブ内のコンテンツのソースを検証するメカニズムが、出典URLが特定の文字列で始まることのみを検証」していることが原因とされています。この検証自体の目的は、タブ内に読み込まれるコンテンツを信頼できるドメイン内のみに制限することであると考えられます。しかし、URLが特定の文字列で始まること「のみ」を確認しているため、URLに続いて別の文字列をドメイン名として続けることにより、悪意のあるコンテンツを読み込ませることが可能であったということです。

本来の目的を達成するための正しい検証として様々な方法が考えられますが、特定の文字列で始まることのみを検証する方法であれば、今回検証していた文字列に対しては、たった1文字足りていなかった可能性があります。現在は脆弱性が修正されているということで、確認することはできませんが、誰もが知るグローバル企業の有名アプリであっても、属人的である以上はケアレスミスが発生しうるということがわかる事例といえます。

脆弱性の悪用例と確認方法について

今回報告された脆弱性について、どのように悪用される可能性があるか、悪用された場合の確認方法について説明します。

今回報告された脆弱性を悪用すると、Microsoftが提供する特定のサービスに対して、タブを開いたユーザとしてアクセスできるトークンを窃取することができます。Webサービスで使われるトークンとは、サーバがユーザを識別するために払い出す認証情報です。通常はIDとパスワードなどの認証を経てトークンを払い出しますが、何らかの脆弱性が原因でトークンが漏洩した場合、ユーザへのなりすましなどに悪用される可能性があります。

攻撃者はタブを開いてしまったユーザのトークンを窃取した後に、そのトークンでアクセスできるMicrosoftのサービスを経由して、OutlookのメールやTeamsのメッセージ、OneDriveやSharePointのファイルなど、様々なMicrosoftのサービスへアクセスできるトークンを窃取することができるということです。

脆弱性が悪用がされていたか確認するためには、Teamsに不審なタブが設置されていないか確認することが必要です。もし、不審なタブが設置されていた場合は、利用しているMicrosoftのサービスに不審なアクセスがないか確認することが必要です。また、トークンが窃取されている可能性がありますので、不審なタブにアクセスした可能性のあるユーザに対してパスワードの変更を強制するなど、トークンが再利用されないように対策をしましょう。

Voicyでニュース解説ラジオ配信中!

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!

この記事の著者 セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。

\ 記事をシェアする /

Contact

お見積り・ご相談など、お気軽にご相談ください

ご相談・ご質問はこちら

お問い合わせ

お見積り依頼はこちら

お見積り依頼

資料請求はこちら

資料請求

お電話でのご相談はこちら
(平日10:00~18:00)

TEL.050-5532-3255
サイトTOPへ