espemicr
Firma
Uso de Power Automate para la exfiltración de datos secretos en Microsoft 365
Debes saber que Partner Microsoft Power Automate, antes conocido como Microsoft Flow, permite a los usuarios automatizar flujos de trabajo entre varias aplicaciones y servicios. Con Power Automate, es posible crear "flujos" en Microsoft 365 para Outlook, SharePoint y OneDrive para compartir o enviar archivos automáticamente, reenviar correos electrónicos y mucho más.
Sin duda, se trata de una potente función para automatizar las tareas cotidianas, pero puede ser utilizada por los atacantes para automatizar la exfiltración de datos, la comunicación C2, el movimiento lateral y eludir las soluciones DLP.
¿Cómo funciona?
Power Automate está activado por defecto para las aplicaciones de Microsoft 365 y permite a los usuarios crear sus propios flujos mediante programación o utilizando la interfaz de usuario del planificador de flujos.
Para crear un flujo, lo primero que hay que hacer es establecer una conexión. Esto permite que el propio flujo acceda a la aplicación o recurso deseado utilizando los permisos del usuario.
Una vez establecida la conexión y guardado el flujo, éste comenzará a ejecutarse. Las actividades realizadas se registran a nombre del usuario que estableció la conexión.
Aquí vemos el registro de una acción de flujo automatizada, donde el flujo del usuario Ringo crea un enlace para compartir el archivo 'Share_me.docx'. Las acciones se registran a nombre del usuario Ringo, ya que es él quien estableció la conexión con su cuenta, aunque en realidad sean automatizadas.
Debes saber que Partner Microsoft Power Automate, antes conocido como Microsoft Flow, permite a los usuarios automatizar flujos de trabajo entre varias aplicaciones y servicios. Con Power Automate, es posible crear "flujos" en Microsoft 365 para Outlook, SharePoint y OneDrive para compartir o enviar archivos automáticamente, reenviar correos electrónicos y mucho más.
Sin duda, se trata de una potente función para automatizar las tareas cotidianas, pero puede ser utilizada por los atacantes para automatizar la exfiltración de datos, la comunicación C2, el movimiento lateral y eludir las soluciones DLP.
¿Cómo funciona?
Power Automate está activado por defecto para las aplicaciones de Microsoft 365 y permite a los usuarios crear sus propios flujos mediante programación o utilizando la interfaz de usuario del planificador de flujos.
Para crear un flujo, lo primero que hay que hacer es establecer una conexión. Esto permite que el propio flujo acceda a la aplicación o recurso deseado utilizando los permisos del usuario.
Una vez establecida la conexión y guardado el flujo, éste comenzará a ejecutarse. Las actividades realizadas se registran a nombre del usuario que estableció la conexión.
Aquí vemos el registro de una acción de flujo automatizada, donde el flujo del usuario Ringo crea un enlace para compartir el archivo 'Share_me.docx'. Las acciones se registran a nombre del usuario Ringo, ya que es él quien estableció la conexión con su cuenta, aunque en realidad sean automatizadas.