Tenable, Inc.は6月14日、Microsoft Power Apps 内の欠陥が攻撃者に悪用されてメール、Teams のメッセージ、OneDriveのファイル盗取の可能性について同社ブログで発表した。
Microsoft Teams のユーザーは、デフォルト機能で所属しているチーム内のタブでアプリを起動でき、企業もOffice 365 や Microsoft Teams を Business Basic 以上のライセンスで使用している場合は、同様にタブ内で Microsoft Power Apps を起動できるが、Tenable社ではPower Apps タブに読み込まれたコンテンツに、不適切に固定された正規表現が適用されていることを発見した。
Tenable社によると、タブ内のコンテンツのソースを検証するメカニズムが、出典URLが「https://make.powerapps.com/」ではなく「https://make.powerapps.com」 で始まることのみを検証し、それより深く検証しないという欠陥で、攻撃者はこの欠陥を悪用し、自分が制御している任意のドメインの配下に https://make.powerapps.com.fakecorp.ca などのサブドメインを作成し、そこから信頼されていないコンテンツを Power Apps のタブに読み込ませることが可能となる。
本脆弱性は、Microsoft Teams がその中で起動されている Microsoft Power Apps に付与している権限によってさらに深刻化し、悪用が成功した場合に、アプリが起動されているタブにアクセスするユーザー全員が乗っ取られる可能性があり、乗っ取られたユーザーの Teams 内のグループメッセージの閲覧、メールや OneDrive の保管先にアクセスする等が可能となる。
Microsoft では本件の解決策を実装済みで、エンドユーザー企業は対応の必要がない。
Microsoft Teams のユーザーは、デフォルト機能で所属しているチーム内のタブでアプリを起動でき、企業もOffice 365 や Microsoft Teams を Business Basic 以上のライセンスで使用している場合は、同様にタブ内で Microsoft Power Apps を起動できるが、Tenable社ではPower Apps タブに読み込まれたコンテンツに、不適切に固定された正規表現が適用されていることを発見した。
Tenable社によると、タブ内のコンテンツのソースを検証するメカニズムが、出典URLが「https://make.powerapps.com/」ではなく「https://make.powerapps.com」 で始まることのみを検証し、それより深く検証しないという欠陥で、攻撃者はこの欠陥を悪用し、自分が制御している任意のドメインの配下に https://make.powerapps.com.fakecorp.ca などのサブドメインを作成し、そこから信頼されていないコンテンツを Power Apps のタブに読み込ませることが可能となる。
本脆弱性は、Microsoft Teams がその中で起動されている Microsoft Power Apps に付与している権限によってさらに深刻化し、悪用が成功した場合に、アプリが起動されているタブにアクセスするユーザー全員が乗っ取られる可能性があり、乗っ取られたユーザーの Teams 内のグループメッセージの閲覧、メールや OneDrive の保管先にアクセスする等が可能となる。
Microsoft では本件の解決策を実装済みで、エンドユーザー企業は対応の必要がない。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)