Gefährliche Microsoft 365-Lücke: Wie Sie illegale Zugriffe über Power-Platform-Gastkonten verhindern

VonNicki Borell Power-Platform

Auf der Sicherheitskonferenz Blackhat 2023, die im August in Las Vegas stattfand, wurde eine gravierende Sicherheitslücke in der Power Plattform demonstriert. Über Gastbenutzer-Konten ist es möglich, einen Microsoft 365-Tenant-Highjack durchzuführen. Das dafür erforderliche Tool ist auf GitHub erhältlich.

Der Vortrag über diese Sicherheitslücke hatte den beschreibenden Titel „All You Need is Guest“. Das beschriebene Problem beruht auf einer bisher für unverdächtig gehaltenen Funktion von Azure AD. Mit dieser ist es möglich, Gastbenutzern für bestimmte Funktionen der Power Platform Zugriff von außen auf geschäftsinterne Ressourcen zu gewähren.

Wie sich nun herausgestellt hat, können Gäste jedoch über undokumentierte APIs die auferlegten Beschränkungen umgehen und sich unerlaubten Zugriff auf interne Bereiche eines Tenant verschaffen. Das Skript dafür findet sich auf GitHub unter power-pwn.

Die Einladungsseite für den Vortrag ‚All you need is Guest‘ auf der Blackhat-Konferenz beschreibt kurz die Problematik der Microsoft 365-Lücke.

Die Hürden zur Durchführung solcher unautorisierter Zugriffe auf Microsoft 365 Tenants sind recht niedrig. Es bedarf dazu lediglich einer Trial- oder Seeded-Lizenz für die PowerPlatform. Unerfreulich ist daran vor allem der Umstand, dass dieser Lizenztyp bis heute nicht administrativ deaktiviert werden kann. Auch ist es nicht möglich, über die Microsoft 365-Einstellungen zu unterbinden, dass Benutzer sich diese Lizenz selbst beschaffen.

Deaktivieren von Einstellungen nur begrenzt wirksam

Welche grundlegenden Möglichkeiten es für Administratoren gibt, um Testversionen und Self-Service-Käufe von Benutzern zu verwalten, beschreibt Microsoft auf dieser Seite: Verwalten von Self-Service-Käufen und Testversionen. Des Weiteren gibt es auch fertige Skripte, um diese Funktionen so weit wie möglich zu deaktivieren, etwa dieses hier auf GitHub: AllowSelfServicePurchase for the MSCommerce PowerShell module.

Allerdings lässt sich mit obigen Maßnahmen die sogenannte Seeded License nicht deaktivieren. Diese steht den Benutzern immer zur Verfügung.

Gastbenutzer sperren mit Zugriffs-Richtline

Um vor solchen Angriffen sicher zu sein, ist daher ein anderer Ansatz notwendig. Als Lösung bietet sich eine Richtlinie für bedingten Zugriff (Conditonal Access Policy) an. Mit der hier gezeigten verbieten Sie allen Gastbenutzern den Zugriff auf die Power Platform:

Diese Einstellungen in den Richtlinien für bedingten Zugriff (Conditional Access Policies) nehmen Sie vor, um Gastbenutzer auf der Power Platform zu verbieten.

Falls für bestimmte geschäftliche Funktionen auch Gastbenutzern Zugriff auf die Power Platform eingeräumt werden muss, können Sie dies in den Einstellungen über „Specific users included“ auswählen:

Falls bestimmte Benutzer als Gäste Zugriff auf Funktionen der Power Platform benötigen, können Sie diese hier festlegen.

Die hier festgelegten Benutzer können dann auch mit Gastkonto auf interne Funktionen zugreifen.

Latest posts by Nicki Borell (see all)

Verwandte Beiträge:

  1. Gastbenutzer in Microsoft 365 und Teams per AAD einrichten, verwalten und in volle Mitglieder umwandeln
  2. Cross-Tenant-Access – Zusammenarbeit jetzt auch über Tenant-Grenzen mit externen Microsoft 365-Benutzern
  3. Teams Shared Channels (Teams Connect): So konfigurieren Sie die Zusammenarbeit mit externen Nutzern
  4. Gewinnen Sie volle Kontrolle über Ihre Low-Code-Apps, Flows und Bots – mit einer Power Platform Governance
  5. Power-Plattform als Unternehmensstrategie: Die vier Erfolgsfaktoren für Low-Code-Apps
Subscribe
Benachrichtige mich zu:
0 Comments
Inline Feedbacks
View all comments