Microsoft Power Platform

2025: Обнаружена уязвимость в Microsoft Power Platform, дающая посторонним доступ к конфиденциальной информации

НКЦКИ в конце июня опубликовал сообщение^[1] об обнаружении критической уязвимости в Microsoft Power Automate BDU:2025-07071^[2] с уровнем критичности 9,8 (из 10), которая позволяет по сети получить доступ к учетным данным и поднять полномочия в платформе Microsoft Power. Разработчик выпустил исправления, которые рекомендуется оперативно установить, чтобы не допустить воровства учетных данных и взлома информационных систем.

Microsoft Power Automate, который ранее назывался Microsoft Flow, является сервисом для автоматизации рабочих процессов в экосистеме Microsoft. Он входит в группу продуктов Microsoft Power Platform вместе с Power BI, Power Apps и Power Virtual Agents. Сервис позволяет создавать потоки — последовательности действий, которые автоматически выполняются после установленных событий или при соблюдении определенных условий.

Microsoft Power Automate – это сервис из группы продуктов Microsoft Power Platform, предназначенный для автоматизации задач, – напомнил читателям TAdviser Андрей Слободчиков, независимый эксперт по информационной безопасности. – С 2022 года Microsoft приостановила продажи на территории России, а с 2024 года отключила подписки ряда российских компаний на облачные сервисы. Это значительно уменьшило количество уязвимых компонентов в российских компаниях. Тем не менее, продукт всё ещё используется в некоторых компаниях и может стать уязвимой точкой в инфраструктуре.

Обнаруженная в начале июня и устраненная в его конце ошибка относится к классу получения неавторизованного доступа к конфиденциальной информации (Obtain Sensitive Information) – CWE-200. Обычно этот класс ошибок имеет не очень высокий уровень критичности, однако, когда с ее помощью можно получить по сети доступ к информации об аутентификации в системе, то критичность сильно возрастает, как в этом случае. За обнаружение данной уязвимости Microsoft поблагодарила исследователя под именем Феликс Б. – других подробностей о нем компания не публикует.

Microsoft Power Automate — это преимущественно облачное SaaS-решение и десктопное приложение, – пояснил для TAdviser ситуацию Сергей Гордейчик, генеральный директор «СайберОК». – В открытом доступе в интернете – в виде веб-интерфейсов – оно практически не размещается, за исключением отдельных шлюзов и интеграций. В рамках технического мониторинга мы не зафиксировали активного присутствия Power Automate среди российских компаний — редкие экземпляры относятся к инфраструктуре Microsoft и расположены за пределами РФ.

Тем не менее, внутри инфраструктуры корпоративных заказчиков – именно им нужны компоненты автоматизации бизнес-процессов на платформе Microsoft – уязвимые компоненты все-таки могут присутствовать. Это позволяет использовать необновленные сервера для горизонтального перемещения внутри корпоративной сети.

𝓲

Фото: Freepik

Microsoft Power Automate чрезвычайно широко распространен в российских организациях, в том числе государственных, – заявил TAdviser Даниил Чернов, автор продукта Solar appScreener. – Во-первых, он входит в состав многих корпоративных подписок Microsoft 365 и Office, используются подавляющим большинством компаний в России. Во-вторых, Power Automate активно используется как в крупных корпорациях и государственных учреждениях, так и в среднем бизнесе для решения рутинных задач: от автоматической обработки данных в Excel до интеграции различных систем, например, при автоматизации документооборота на базе «1С».

Таким образом, использование уязвимого продукта совместно с Microsoft 365 и Office, например, через макровирус для Excel в фишинговом сообщении можно расценивать как возможный вариант первичного вектора проникновения внутрь корпоративной сети.

Причина критичности уязвимости лежит в реализации риска: Power Automate возвращает в ответ на специально сформированный запрос защищённые данные (токены, строки подключения, переменные окружения) без проверки прав доступа, – пояснила для TAdviser неожиданно высокий уровень критичности уязвимости Ирина Дмитриева, киберэксперт и инженер-аналитик лаборатории «Газинформсервис». – Для поиска агента предпринимается сканирование сети на предмет обнаружения прослушивающего агента, затем осуществляется отправка составленного HTTP-запроса к уязвимому API-методу с параметрами запроса, которые вызывают «слив» данных. Концептуально ответ содержит JSON-объект с конфиденциальной информацией (access_token, client_secret).

Как отмечает Андрей Слободчиков, через специально сформированный HTTP-запрос к API Power Automate злоумышленник может получить информацию для обмана системы аутентификации, что, в свою очередь, дает посторонним возможность выполнить следующие вредоносные действия:

• Манипулировать автоматизированными бизнес-процессами или разрушать их, что может привести к потере доступности и утрате целостности критической корпоративной информации;
• Повысить уровень привилегий с помощью полученной от уязвимого компонента информации и осуществить дальнейшее перемещение по взаимосвязанным службам Microsoft, что в итоге может привести к бесконтрольному привилегированному доступу ко всей инфраструктуре компании.

Для защиты от эксплуатации уязвимостей, нацеленных на разглашение конфиденциальной информации, такой как учетные и персональные данные пользователей, Ирина Дмитриева рекомендует фильтровать входящий трафик к сервисам, которые обрабатывают чувствительные данные, и фиксировать все запросы к хранилищам секретов и API, отдающим чувствительные данные.TAdviser Security 100: Крупнейшие ИБ-компании в России + 100 претендентов 123.7 т

Даниил Чернов также советует правильно настроить компоненты сетевой безопасности и сегментацию сети, чтобы ограничить доступ к критически важным компонентам извне. Также стоит придерживаться принципа минимальных привилегий, чтобы в случае компрометации одного из сегментов сети ущерб был локализован.

Не рекомендуется забывать и о системах мониторинга и обнаружения вторжений, которые могут зафиксировать аномальную активность, указывающую на попытку эксплуатации уязвимости, и помочь службе информационной безопасности своевременно отреагировать на угрозу.

2019: Внедрение функций RPA

Ноябрь 2019 года стал месяцем фактического выхода Microsoft на рынок программного обеспечения для роботизированной автоматизации процессов. Соответствующая функциональность появилась в продукте Power Platform, который объединяет сервисы разработки и интеграции приложений и инструменты бизнес-аналитики.

Платформа получила решение для автоматизации процессов Power Automate, которое ранее называлось Microsoft Flow. Новая технология теперь создаёт интерфейсных роботов для автоматизации в любых приложениях, в том числе не поддерживающих интеграцию через API.

Ноябрь 2019 года стал месяцем фактического выхода Microsoft на рынок ПО для роботизированной автоматизации процессов

В Microsoft утверждают, что Power Automate способен существенно упростить автоматизацию процессов в организации, так как для ее настройки не требуется знание программирования: пользователю нужно только продемонстрировать выполнение действия, которое он хотел бы автоматизировать.

Одной из самых больших проблем, с которыми сталкиваются компании, является масштабирование и автоматизация бизнес-процессов — от оцифровки ручных и бумажных процессов до автоматизации сложных процессов, охватывающих устаревшие и современные приложения, — говорит корпоративный вице-президент по бизнес-приложениям Microsoft Джеймс Филлипс (James Phillips).. — RPA в короткие сроки стала ключевой технологией для решения многих из этих задач, но, как правило, требуется сборная солянка из сервисов автоматизации, которые ещё нужно интегрировать и которыми нужно управлять, прежде чем настоящая работа может быть выполнена».

Power Automate решает эту проблему благодаря упрощённому интерфейсу, позволяющему сотрудникам создавать и воспроизводить сценарии взаимодействия программного робота с человеком, а затем запускать ботов, которые могут автоматизировать выполнение повседневных функций, говорится в сообщении Microsoft.^[3]

Примечания