Threats
Uma vulnerabilidade no conector do SharePoint da Microsoft Power Platform permitiu que atacantes se passassem por utilizadores e acedessem dados sensíveis
12/02/2025
|
Uma falha de segurança grave no conector do SharePoint da Microsoft Power Platform expôs credenciais de utilizadores e permitiu a execução de ações não autorizadas em vários serviços, incluindo Power Apps, Power Automate, Copilot Studio e Copilot 365. A vulnerabilidade, rastreada como CVE-2024-49070, foi descoberta pelo Zenity Labs em setembro de 2024 e corrigida pela Microsoft em dezembro do mesmo ano. O problema residia numa validação inadequada de entradas no conector do SharePoint, tal como descrito pela plataforma online especializada em cibersegurança Cyber Security News, o que permitia a manipulação de URL personalizadas sem a devida verificação. Como resultado, agentes mal-intencionados podiam enganar utilizadores para acionarem pedidos a servidores controlados pelos atacantes, comprometendo tokens Web JSON (JWT) associados às credenciais das vítimas. Estes tokens, quando explorados, permitiam aceder a dados sensíveis, executar ações em nome dos utilizadores afetados e, assim, escalar privilégios dentro da rede. A exploração da falha exigia que os atacantes possuíssem as permissões Environment Maker e Basic User no Power Platform, o que lhes conferia a capacidade de criar e partilhar recursos. O impacto foi agravado pela sua natureza multiplataforma, afetando diferentes serviços da Microsoft, como o Power Automate, Power Apps, Copilot Studio e Copilot 365. A Microsoft classificou a vulnerabilidade como um problema “importante” de elevação de privilégio com impacto significativo, citando a Cyber Security News, para organizações que utilizam o SharePoint para colaboração e gestão de dados. As correções abrangeram o SharePoint Server 2016, 2019 e a Edição de Assinatura, bem como os serviços Power Platform. Apesar da mitigação da falha, é recomendado às organizações que garantam a aplicação das atualizações de segurança, restrinjam permissões de utilizadores para evitar explorações futuras e monitorem atividades suspeitas. Além disso, a formação de colaboradores sobre boas práticas de cibersegurança pode ajudar a prevenir ataques semelhantes no futuro. |
Receba todas as novidades na sua caixa de correio!
COMPLIANCE
Conselho de Ministros aprova proposta de lei para transpor NIS2
THREATS
CISA alerta para ataques em curso a falha crítica no Microsoft Outlook
THREATS
Falha crítica no SharePoint Connector da Microsoft expôs credenciais de utilizadores
THREATS
Dispositivos de rede alvo de ataque de força bruta com 2,8 milhões de endereços de IP
THREATS
Falhas de segurança críticas levam CISA a reforçar alertas de cibersegurança
THREATS
Ivanti e Fortinet corrigem falhas com novas atualizações
THREATS
DeepSeek levanta preocupações ao falhar testes de segurança
THREATS
Adobe corrige 45 falhas de segurança em software
THREATS
Microsoft lança correções para vulnerabilidades zero-day exploradas
THREATS
Modo restrito USB explorado em ciberataque contra dispositivos Apple
