Microsoft desarrolló PowerShell para automatizar tareas y configuraciones mundanas de Windows. Ha tenido un gran éxito, tanto para administradores como para hackers. Sus capacidades únicas han convertido a PowerShell en el póster de los ataques "live-off-the-land" (LotL).
Al igual que PowerShell, Power Automate también se creó para automatizar tareas mundanas, esta vez para usuarios de Office 365 (O365), por ejemplo.
- Guardar archivos adjuntos de correo electrónico en OneDrive para la Empresa
- Registrar respuestas de formularios en SharePoint
- Crear tareas pendientes para los correos electrónicos marcados de Office 365
Muy guay, ¿eh?
Power Automate está activado por defecto en todos los inquilinos de O365 y viene de serie con unos 150 conectores. También hay un número igual, si no más, de conectores premium disponibles para comprar, así como un sinfín de posibilidades.
Piense en Power Automate como en un sistema interconectado de legos: puede conectar una o más acciones para crear una variedad ilimitada de flujos basados en sus necesidades. Apuesto a que ya te estás imaginando las cosas que puedes hacer...
Vivir de la tierra en Office 365
Cuando los investigadores de seguridad de Vectra empezaron a analizar la seguridad de Office 365, Power Automate les llamó rápidamente la atención. Cuanto más investigaban, más se sorprendían de lo que era posible una vez que tenían acceso básico y sin privilegios a Office 365. El uso de Power Automate para técnicas en vivo y en directo saltó a la palestra recientemente, cuando la investigación de Microsoft descubrió que actores de amenazas avanzadas en una gran organización multinacional lo utilizaban para automatizar la exfiltración de datos, que pasó desapercibida durante 213 días.
Veamos cómo conseguirlo. El flujo comienza con un disparador que monitoriza una carpeta de OneDrive. Cuando se añade un nuevo archivo (también puede hacerse para actualizaciones), el flujo se conecta a una carpeta personal de Dropbox y copia el contenido del archivo. El propietario de la carpeta OneDrive no recibe ninguna notificación de que esto está ocurriendo. La transferencia es de cloud a cloud, por lo que nunca toca un control de seguridad de red o de punto final.
Y a diferencia de PowerShell, Power Automate tiene una interfaz de usuario (UI) intuitiva que hace que la configuración sea pan comido. Fácil, sencillo e increíblemente potente.
¿Desea exportar correos electrónicos confidenciales además de archivos? Sólo tiene que añadir otro flujo de Power Automate.
Power Automate es genial para los usuarios, es obvio por qué Microsoft lo creó. Pero para los profesionales de la seguridad, es aterrador. Considérelo:
- Está activada por defecto
- Cada usuario puede crear sus propios flujos
- Los flujos pueden eludir las políticas de seguridad, incluida la prevención de pérdida de datos (DLP)
- No hay forma de desactivar conectores individuales, es todo o nada.
- Los atacantes pueden inscribirse en pruebas gratuitas para acceder a conectores premium que hacen aún más
Sólo hemos arañado la superficie. En nuestro próximo blog sobre seguridad en Office 365, trataremos formas más avanzadas de utilizar Power Automate para vivir de la tierra en Office 365 y cómo los equipos de seguridad de Office 365 pueden adelantarse a esta amenaza. Permanezca atento.
Vectra Detect para Office 365 funciona analizando y correlacionando eventos como inicios de sesión sospechosos, instalaciones de aplicaciones maliciosas, reglas de reenvío de correo electrónico y abuso de herramientas nativas de Office 365 como Power Automate.