Microsoft hat PowerShell entwickelt, um alltägliche Aufgaben und Konfigurationen für Windows zu automatisieren. Sie war äußerst erfolgreich - sowohl für Administratoren als auch für Hacker. Ihre einzigartigen Funktionen haben PowerShell zum Aushängeschild für Live-Off-The-Land (LotL)-Angriffe gemacht.
Wie PowerShell wurde auch Power Automate entwickelt, um alltägliche Aufgaben zu automatisieren - dieses Mal für Office 365 (O365)-Benutzer, z. B.
- Speichern von E-Mail-Anhängen in OneDrive for Business
- Aufzeichnung von Formularantworten in SharePoint
- Erstellen von Aufgaben für markierte Office 365-E-Mails
Ziemlich cool, oder?
Power Automate ist in allen O365-Tenants standardmäßig aktiviert und wird mit etwa 150 Konnektoren ausgeliefert. Es gibt außerdem eine gleiche Anzahl, wenn nicht sogar mehr, an Premium-Konnektoren, die ebenfalls erworben werden können und unzählige Möglichkeiten bieten.
Stellen Sie sich Power Automate als ein zusammenhängendes System von Legosteinen vor - Sie können eine oder mehrere Aktionen miteinander verbinden, um eine unbegrenzte Vielfalt von Abläufen zu schaffen, die auf Ihren Bedürfnissen basieren. Ich wette, Sie stellen sich bereits vor, was Sie alles tun können...
Leben auf dem Land in Office 365
Als die Sicherheitsforscher von Vectra begannen, die Sicherheit von Office 365 zu untersuchen, fiel ihnen Power Automate schnell ins Auge. Je mehr sie recherchierten, desto mehr waren sie erstaunt, was alles möglich war, sobald sie einfachen, nicht privilegierten Zugang zu Office 365 hatten. Die Verwendung von Power Automate für "Live off the land"-Techniken rückte kürzlich in den Vordergrund, als Microsoft-Forscher herausfanden, dass fortgeschrittene Bedrohungsakteure in einem großen multinationalen Unternehmen Power Automate für die automatisierte Exfiltration von Daten verwendeten, die 213 Tage lang unentdeckt blieb.
Schauen wir uns an, wie dies erreicht werden kann. Der Ablauf beginnt mit einem Auslöser, der einen OneDrive-Ordner überwacht. Wenn eine neue Datei hinzugefügt wird (dies kann auch für Aktualisierungen geschehen), stellt der Fluss eine Verbindung zu einem persönlichen Dropbox-Ordner her und kopiert den Inhalt der Datei. Der Besitzer des OneDrive-Ordners erhält keine Benachrichtigung über diesen Vorgang. Die Übertragung erfolgt über cloud an cloud und berührt somit niemals ein Netzwerk oder die Sicherheitskontrolle von endpoint .
Und im Gegensatz zu PowerShell verfügt Power Automate über eine intuitive Benutzeroberfläche (UI), die die Einrichtung zu einem Kinderspiel macht. Leicht, einfach und unglaublich leistungsstark.
Möchten Sie zusätzlich zu den Dateien auch sensible E-Mails exportieren? Fügen Sie einfach einen weiteren Power Automate-Fluss hinzu.
Power Automate ist für Benutzer großartig - es ist offensichtlich, warum Microsoft es entwickelt hat. Aber für Sicherheitsexperten ist es erschreckend. Bedenken Sie:
- Sie ist standardmäßig aktiviert
- Jeder Benutzer kann seine eigenen Abläufe erstellen
- Flows können Sicherheitsrichtlinien umgehen, einschließlich Data Loss Prevention (DLP)
- Es gibt keine Möglichkeit, einzelne Anschlüsse zu deaktivieren - es geht um alles oder nichts.
- Angreifer können sich für kostenlose Testversionen anmelden, um Zugang zu Premium-Konnektoren zu erhalten, die noch mehr leisten
Wir haben nur an der Oberfläche gekratzt. In unserem nächsten Blog über die Sicherheit von Office 365 werden wir uns mit fortschrittlicheren Möglichkeiten befassen, wie Power Automate genutzt werden kann, um sich von Office 365 zu ernähren, und wie Office 365-Sicherheitsteams dieser Bedrohung einen Schritt voraus sein können. Bleiben Sie dran!
Vectra Detect for Office 365 analysiert und korreliert Ereignisse wie verdächtige Logins, bösartige App-Installationen, E-Mail-Weiterleitungsregeln und den Missbrauch nativer Office 365-Werkzeuge wie Power Automate.