Microsoft Power Appsの欠陥でメールやTeams のメッセージ、OneDriveのファイル盗取の可能性

　Tenable, Inc.は6月14日、Microsoft Power Apps 内の欠陥が攻撃者に悪用されてメール、Teams のメッセージ、OneDriveのファイル盗取の可能性について同社ブログで発表した。

　Microsoft Teams のユーザーは、デフォルト機能で所属しているチーム内のタブでアプリを起動でき、企業もOffice 365 や Microsoft Teams を Business Basic 以上のライセンスで使用している場合は、同様にタブ内で Microsoft Power Apps を起動できるが、Tenable社ではPower Apps タブに読み込まれたコンテンツに、不適切に固定された正規表現が適用されていることを発見した。

　Tenable社によると、タブ内のコンテンツのソースを検証するメカニズムが、出典URLが「https://make.powerapps.com/」ではなく「https://make.powerapps.com」 で始まることのみを検証し、それより深く検証しないという欠陥で、攻撃者はこの欠陥を悪用し、自分が制御している任意のドメインの配下に https://make.powerapps.com.fakecorp.ca などのサブドメインを作成し、そこから信頼されていないコンテンツを Power Apps のタブに読み込ませることが可能となる。

　本脆弱性は、Microsoft Teams がその中で起動されている Microsoft Power Apps に付与している権限によってさらに深刻化し、悪用が成功した場合に、アプリが起動されているタブにアクセスするユーザー全員が乗っ取られる可能性があり、乗っ取られたユーザーの Teams 内のグループメッセージの閲覧、メールや OneDrive の保管先にアクセスする等が可能となる。

　Microsoft では本件の解決策を実装済みで、エンドユーザー企業は対応の必要がない。