Un Riesgo Inesperado en el Ecosistema de Power Platform
Investigadores de ciberseguridad han revelado una vulnerabilidad crítica, ya corregida, que afectaba al conector de Microsoft SharePoint dentro de Power Platform. Este fallo podría haber permitido a actores malintencionados robar credenciales de usuarios y ejecutar ataques posteriores con acceso no autorizado a datos sensibles.
¿Cómo Funcionaba la Vulnerabilidad?
El problema radicaba en una falla de Server-Side Request Forgery (SSRF), derivada del uso de la funcionalidad “custom value” en el conector de SharePoint. Esta función permitía a un atacante insertar URL personalizadas como parte de un flujo, lo que facilitaba la explotación de la vulnerabilidad.
Para que el ataque tuviera éxito, el atacante necesitaba contar con los roles de Environment Maker y Basic User dentro de Power Platform. Esto implica que primero debería haber comprometido una organización objetivo para obtener dichos permisos. Con estos roles, el atacante podía crear y compartir recursos maliciosos, como aplicaciones y flujos, y ejecutar código en nombre del usuario afectado.
Impacto en Servicios Interconectados
Lo más preocupante de esta vulnerabilidad es su alcance. Podía explotarse en varios servicios dentro del ecosistema de Power Platform, incluyendo:
- Power Automate
- Power Apps
- Copilot Studio
- Copilot 365
Incluso era posible ampliar el ataque incrustando aplicaciones Canvas maliciosas en canales de Microsoft Teams. De esta forma, bastaba con que un usuario interactuara con la aplicación para que sus tokens de acceso fueran robados, facilitando la escalada de privilegios y el acceso a más recursos dentro de la organización.
Acciones Tomadas y Recomendaciones
Microsoft abordó esta vulnerabilidad tras una divulgación responsable en septiembre de 2024, lanzando un parche el 13 de diciembre del mismo año. Aunque el problema ya está solucionado, se recomienda a las organizaciones:
- Actualizar todos los entornos de Power Platform a la versión más reciente.
- Revisar los permisos de los roles Environment Maker y Basic User.
- Monitorear actividades inusuales en flujos y aplicaciones compartidas.
- Implementar controles de seguridad adicionales para la gestión de tokens y accesos API.
Reflexiones Finales
Este incidente subraya la importancia de mantener una vigilancia continua sobre las plataformas interconectadas. La naturaleza integrada de Power Platform, combinada con la gestión descentralizada de permisos, puede abrir puertas inadvertidas a ciberataques si no se gestionan adecuadamente.
La seguridad en el desarrollo de aplicaciones de bajo código no debe subestimarse. Las organizaciones deben adoptar un enfoque proactivo, asegurando configuraciones seguras y educando a sus usuarios sobre los riesgos potenciales.
