Utilisation de Power Automate pour exfiltrer discrètement des données dans Microsoft 365

Découvrez comment des acteurs malveillants peuvent utiliser Microsoft Power Automate pour automatiser l’exfiltration de données, la communication C2, les mouvements latéraux et l’évitement des solutions DLP.
Eric Saraga
6 minute de lecture
Dernière mise à jour 15 septembre 2023

Qu’est-ce que Power Automate ?

Power Automate, anciennement Microsoft Flow, permet d’automatiser des workflows entre divers services et applications. Avec Power Automate, vous pouvez créer dans Microsoft 365 des « flux » pour Outlook, SharePoint et OneDrive afin d’automatiser le partage ou l’envoi de fichiers, le transfert de courriels, etc.

Cette fonctionnalité est très puissante au quotidien, mais elle peut aussi être utilisée par des acteurs malveillants pour automatiser l’exfiltration de données, la communication C2, les mouvements latéraux et l’évitement des solutions DLP.

Obtenez une évaluation gratuite des risques liés aux données

Comment ça marche ?

Power Automate est activé par défaut dans les applications Microsoft 365 et permet à n’importe quel utilisateur de créer ses propres flux. Ces flux peuvent être mis en place par voie programmatique ou via l’interface utilisateur.

Pour créer un flux, un utilisateur doit d’abord créer une connexion qui permet au flux d’accéder à l’application ou la ressource adéquate à l’aide des droits de cet utilisateur.

Dès que la connexion est établie et le flux enregistré, ce dernier est exécuté. Toute activité réalisée par le flux sera consignée sous le nom de l’utilisateur qui a créé la connexion.

Ce comportement est illustré dans l’exemple de journal suivant, tiré de compliance.microsoft.com/auditlogsearch.Cette illustration présente une action exécutée automatiquement par le flux de Ringo, à savoir la création d’un lien de partage pour le fichier Share_me.docx. Les actions sont consignées sous le nom de Ringo, car la connexion a été créée avec son compte, mais elles sont en réalité réalisées automatiquement.

Comment les attaquants peuvent-ils détourner Power Automate ?

Tout comme les règles de transfert des clients de messagerie peuvent servir à exfiltrer des données, les flux Power Automate permettent d’exfiltrer des courriels, mais aussi des fichiers SharePoint et OneDrive. Vous pouvez également exfiltrer des données provenant d’autres applications Microsoft 365 (et même de MSGraph).

Penchons-nous sur quelques exemples.

Exfiltration de courriels

MicrosoftTeams-image-3

Il ne s’agit pas d’une règle de transfert définie dans Outlook/Exchange et elle ne sera donc pas bloquée ou détectée par les fonctions correspondantes liées à ce type de règle.

Exfiltration de fichiers via des liens partagés

Le flux suivant génère un lien de partage anonyme pour tous les fichiers créés sur le site SharePoint auquel l’utilisateur a accès et envoie ce lien via à un appel à l’API (méthode POST) au serveur de l’attaquant.

Lors de la création d’un flux dont le déclenchement survient à la création d’un fichier, le flux surveille tous les fichiers créés sur le site SharePoint, même ceux dont le propriétaire du flux n’est pas l’auteur. Tant que le propriétaire du flux est autorisé à consulter le fichier, le flux se déclenchera.

Dans la plupart des environnements, les droits SharePoint sont complexes et difficiles à gérer. Par conséquent, de nombreux utilisateurs disposent d’accès à des informations dont ils n’ont pas besoin, une aubaine pour les attaquants.

Cerise sur le gâteau, si le flux est désactivé pendant quelques jours, les fichiers créés pendant cette période seront détectés par le flux lors de sa réactivation et envoyés eux aussi à l’attaquant.

Création de flux avec un script

Vous pouvez créer des flux par voie programmatique. Il n’existe pas d’API Power Automate spécifique pour cette action, mais les terminaux des flux permettent de rechercher des connexions existantes et de créer un flux.

Notre script montre comment un hacker pourrait exécuter une attaque BEC.

Une fois qu’un compte Microsoft 365 est compromis, les attaquants n’ont plus qu’à exécuter une commande pour exfiltrer les données sensibles, sans avoir à créer manuellement de flux Power Automate.

Le script suivant crée un flux nommé « Email Forwarding » qui transfère automatiquement tous les e-mails reçus vers la boîte de réception du hacker.

Le flux s’affiche dans l’interface et est actif :

Son nom est personnalisable : il peut tout à fait être remplacé par un intitulé plus obscur.

Il est possible d’utiliser des flux malveillants à d’autres fins, comme récupérer une arborescence organisationnelle via Delve, réunir des statistiques sur les fichiers SharePoint, etc.

Détournement des flux via les applications Azure

Comme nous l’avons évoqué dans notre étude précédente, les attaquants peuvent faire installer aux utilisateurs des applications Azure malveillantes qui paraissent officielles et approuvées par Microsoft.

Une fois que l’utilisateur a installé une application de ce type, un acteur malveillant peut tout à fait détourner Power Automate sans jamais avoir accès aux identifiants du compte.

Tout d’abord, nous créons une application sur le tenant de l’attaquant, puis envoyons un lien à notre victime. En cliquant sur ce lien, celle-ci sera redirigée vers la page de demande d’autorisations pour l’application Azure. Une fois que l’utilisateur aura donné son autorisation, notre application disposera des droits nécessaires pour créer un flux.

Cette image illustre la demande d’autorisations pour la création et la modification de flux.

img6-png-1

L’application authentifie la demande à l’aide d’un domaine et d’une URL Microsoft valides, ce qui renforce les chances de réussite.

Cette méthode a toutefois un défaut : je ne suis pas parvenu à créer une connexion Power Automate avec l’application Azure. Je n’ai pu qu’utiliser des connexions existantes, car le jeton de l’application n’inclut pas le droit de création. Cela signifie que recourir à des applications Azure pour ce type d’attaque nous limite aux utilisateurs ayant déjà créé des connexions dans Power Automate.

Une méthode plus sûre consisterait à tirer parti des identifiants de l’utilisateur ou d’un jeton d’authentification Power Automate. Il serait alors possible de créer des connexions et des flux par voie programmatique, sans interaction avec l’utilisateur, et d’élaborer librement des flux d’exfiltration automatisés.

Détection et prévention

Ces attaques présentent différents vecteurs que les hackers peuvent utiliser pour accéder à Power Automate au sein d’une organisation.

Avec Varonis, Microsoft 365 bénéficie d’alertes comportementales déclenchées lors de la détection d’accès anormaux aux données (définis à partir des habitudes des utilisateurs). Ces alertes fonctionnent que les actions soient réalisées manuellement par l’utilisateur, via des scripts ou avec Power Automate.

Il s’agit sans doute de la ligne de défense la plus simple contre l’exfiltration de données via Power Automate, car vous n’avez pas à écrire de règles de détection spécifiques ou à rechercher manuellement des modifications suspectes des adresses IP ou des agents utilisateurs.

Les alertes comportementales sont également très efficaces pour détecter les infections par des malwares s’exécutant dans le contexte de l’utilisateur. En effet, il est très difficile pour les attaquants d’imiter le comportement habituel d’un utilisateur.

Surveillance des authentifications inhabituelles auprès des ressources Power Automate

Azure AD consigne chaque connexion dans son journal des connexions. À ce titre, il peut jouer un rôle central dans la surveillance des accès aux ressources.

Nous pouvons analyser les connexions aux ressources Power Automate (alias « Microsoft Flow Service ») et générer des alertes en cas d’anomalie.

L’événement ci-dessus montre que notre script est exécuté par l’utilisateur Ringo et s’authentifie auprès de Microsoft Flow Service avec l’application Azure Active Directory PowerShell, ce qui est inhabituel. Une authentification classique via l’interface utilisateur utilise le portail Microsoft Flow.

Autres anomalies à rechercher :

  • Connexions depuis des emplacements en liste noire
  • Connexions par des comptes d’administrateur dédiés
  • Utilisation anormale des données par un utilisateur

Surveillance des créations de flux Power Automate

Nous pouvons directement nous plonger dans les journaux de flux pour prendre connaissance des nouveaux flux :

CleanShot 2022-02-03 at 07.27.53@2x

Notez que ces journaux ne précisent pas ce qui a changé dans le flux ou quel flux a été créé avec quelle connexion. Toutefois, ils permettent de mieux se rendre compte de ce qui se passe une fois l’utilisateur authentifié auprès de la ressource Power Automate. Il est possible que l’utilisateur soit autorisé à se connecter depuis n’importe quel emplacement, mais pas à y créer des flux.

Surveillance de l’activité automatisée des flux

Les actions automatisées exécutées par Power Automate sont identifiées par l’agent utilisateur azure-logic-apps/* dans les journaux, comme nous pouvons le voir ici :

Autre point à noter : l’action est toujours réalisée depuis une adresse IP de Microsoft. Toutefois, cette information pose un problème de faux positifs, car la plateforme elle-même appartient à Microsoft.

Avec cet agent utilisateur, nous pouvons immédiatement générer des alertes sur les actions suspectes ou comparer l’activité automatisée à l’activité habituelle de l’utilisateur et ses activités automatisées passées pour identifier d’éventuelles anomalies.

Surveillance des applications Azure

L’utilisation d’applications Azure pour cette attaque ne laisse pas exactement les mêmes traces qu’une utilisation directe des identifiants. Nous pouvons voir la différence dans les journaux de connexion d’Azure AD :

L’application utilisée pour l’authentification est « MicrosoftOffice » : il s’agit de notre application malveillante que nous avons nommée ainsi pour faciliter le phishing. La ressource est quant à elle toujours le Microsoft Flow Service.

La surveillance ou la limitation des authentifications auprès de Microsoft Flow Service aux seules applications approuvées limite la surface d’attaque et réduira ainsi le risque d’exploitation de Power Automate.

La surveillance des autorisations accordées aux applications peut également contribuer à éviter cette attaque, ainsi que d’autres, potentiellement destructrices.

Blocage des courriels transférés par Power Automate

Bloquez directement l’exfiltration par courriel à l’aide de contrôles de connecteurs :

https://docs.microsoft.com/en-us/power-platform/admin/block-forwarded-email-from-power-automate

Références :

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Try Varonis free.

Get a detailed data risk report based on your company’s data.
Deploys in minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

varonis-ouvre-un-centre-d’hébergement-de-données-en-australie-pour-accompagner-ses-clients-saas
Varonis ouvre un centre d’hébergement de données en Australie pour accompagner ses clients SaaS
L’expansion de Varonis en Australie permet aux clients d’obtenir des résultats automatisés en matière de sécurité des données, tout en respectant les normes nationales en matière de confidentialité.
comment-utiliser-autoruns-pour-détecter-et-éliminer-les-malwares-sous-windows
Comment utiliser Autoruns pour détecter et éliminer les malwares sous Windows
Cet article explique comment utiliser le logiciel Autoruns de Sysinternals pour détecter les logiciels potentiellement indésirables installés et exécutés automatiquement sur votre ordinateur.
comment-varonis-contribue-à-la-sécurité-des-e-mails
Comment Varonis contribue à la sécurité des e-mails
Découvrez comment réduire de manière proactive votre surface d’attaque par e-mail, arrêter l’exfiltration de données et limiter les risques liés à l’IA grâce à une sécurité précise et automatisée des e-mails.
ce-que-l’automatisation-signifie-pour-la-cybersécurité,-et-pour-votre-entreprise
Ce que l’automatisation signifie pour la cybersécurité, et pour votre entreprise
Dans cet article, nous vous expliquons comment l’automatisation contribue à transformer les informations pertinentes en actions, à se défendre contre les cyberattaques, à atténuer les risques, à renforcer la conformité et à améliorer la productivité.