Microsoft a développé PowerShell pour automatiser les tâches et les configurations courantes de Windows. Il a connu un succès fulgurant, tant pour les administrateurs que pour les pirates informatiques. Ses capacités uniques ont fait de PowerShell la tête d'affiche des attaques de type "live-off-the-land" (LotL).
Comme PowerShell, Power Automate a été conçu pour automatiser des tâches banales, cette fois-ci pour les utilisateurs d'Office 365 (O365), par exemple.
- Enregistrer les pièces jointes d'un courriel sur OneDrive for Business
- Enregistrer les réponses à un formulaire dans SharePoint
- Créer des tâches à faire pour les courriels Office 365 signalés
Plutôt cool, non ?
Power Automate est activé par défaut dans tous les locataires O365 et est livré en standard avec environ 150 connecteurs. Il existe également un nombre équivalent, voire plus, de connecteurs premium disponibles à l'achat, ce qui offre d'innombrables possibilités.
Considérez Power Automate comme un système interconnecté de legos : vous pouvez connecter une ou plusieurs actions pour créer une variété illimitée de flux en fonction de vos besoins. Je parie que vous imaginez déjà les choses que vous pouvez faire...
Vivre de la terre dans Office 365
Lorsque les chercheurs en sécurité de Vectra ont commencé à disséquer la sécurité d'Office 365, Power Automate a rapidement attiré leur attention. Plus ils avançaient dans leurs recherches, plus ils étaient stupéfaits de voir ce qu'il était possible de faire une fois qu'ils avaient un accès de base non privilégié à Office 365. L'utilisation de Power Automate pour les techniques de survie a été mise en évidence récemment lorsque les chercheurs de Microsoft ont découvert que cybercriminels dans une grande organisation multinationale l'utilisait pour automatiser l'exfiltration de données, qui est restée inaperçue pendant 213 jours.
Voyons comment y parvenir. Le flux commence par un déclencheur qui surveille un dossier OneDrive. Lorsqu'un nouveau fichier est ajouté (ce qui peut également être fait pour les mises à jour), le flux se connecte à un dossier Dropbox personnel et copie le contenu du fichier. Le propriétaire du dossier OneDrive ne reçoit aucune notification à ce sujet. Le transfert s'effectue de cloud à cloud, de sorte qu'il n'entre jamais en contact avec un réseau ou un contrôle de sécurité endpoint .
Et contrairement à PowerShell, Power Automate dispose d'une interface utilisateur (UI) intuitive qui facilite la configuration. Facile, simple et incroyablement puissant.
Vous souhaitez exporter des e-mails sensibles en plus des fichiers ? Il suffit d'ajouter un autre flux Power Automate.
Power Automate est formidable pour les utilisateurs - il est évident que Microsoft l'a conçu. Mais pour les professionnels de la sécurité, c'est terrifiant. Pensez-y :
- Il est activé par défaut
- Chaque utilisateur peut créer ses propres flux
- Les flux peuvent contourner les politiques de sécurité, y compris la prévention des pertes de données (DLP).
- Il n'y a aucun moyen de désactiver des connecteurs individuels - c'est tout ou rien.
- Les attaquants peuvent s'inscrire à des essais gratuits pour avoir accès à des connecteurs premium qui permettent d'aller encore plus loin.
Nous n'avons fait qu'effleurer la surface. Dans notre prochain blog sur la sécurité d'Office 365, nous aborderons des méthodes plus avancées d'utilisation de Power Automate pour vivre de la terre dans Office 365 et nous verrons comment les équipes de sécurité d'Office 365 peuvent garder une longueur d'avance sur cette menace. Restez à l'écoute !
Vectra Detect for Office 365 analyse et met en corrélation des événements tels que les connexions suspectes, les installations d'applications malveillantes, les règles de transfert d'e-mails et l'utilisation abusive des outils natifs d'Office 365 tels que Power Automate.