محققان امنیت سایبری جزئیات آسیبپذیری وصلهشده ای را فاش کردهاند که بر Microsoft SharePoint Connector در Power Platform تأثیر میگذارد و در صورت سوءاستفاده موفقیتآمیز، میتواند به عوامل تهدید اجازه دهد اعتبار کاربر را به دست آورده و حملات بعدی را انجام دهند.
به گفته این محققین این کار میتواند به شکل اقدامات پس از بهرهبرداری آشکار شود که به مهاجم اجازه میدهد درخواست هایی را از طرف کاربر جعل هویت شده ای به SharePoint API ارسال کند و دسترسی غیرمجاز به دادههای حساس را امکانپذیر کند.
این آسیبپذیری را میتوان در Power Automate، Power Apps، Copilot Studio و Copilot 365 مورد سوء استفاده قرار داد که به طور قابلتوجهی دامنه آسیبهای احتمالی را گسترش میدهد.
این موضوع احتمال حمله موفقیت آمیز را افزایش می دهد و به هکرها اجازه می دهد چندین سرویس متصل به هم در اکوسیستم Power Platform را هدف قرار دهند.
پس از افشای این آسیب پذیری در در سپتامبر 2024، مایکروسافت آن را که با ارزیابی شدت “مهم” ارزیابی شد، در 13 دسامبر برطرف کرد.
با این حال، برای موفقیت آمیز بودن حمله، یک مهاجم باید یک نقش Environment Maker و نقش کاربر اصلی در Power Platform داشته باشد. این امر به این معنی است که آنها باید ابتدا از طریق ابزارهای دیگر به یک سازمان هدف دسترسی پیدا کنند و این نقش ها را به دست آورند.
مهاجم با نقش Environment Maker، می توانند منابع مخربی مانند برنامه ها و جریان ها را ایجاد کرده و به اشتراک بگذارند. نقش کاربر اصلی نیز به آنها اجازه می دهد تا برنامه ها را اجرا کنند و با منابعی که در Power Platform دارند تعامل داشته باشند.
در یک سناریوی حمله فرضی، یک عامل تهدید میتواند جریانی را برای یک اقدام SharePoint ایجاد کند و آن را با یک کاربر با امتیاز پایین به اشتراک بگذارد و در نتیجه توکن دسترسی شیرپوینت JWT آنها افشا می شود. مهاجم با داشتن این توکن ضبط شده، میتواند درخواست هایی را به خارج از پلتفرم Power از طرف کاربری که به او دسترسی داده شده است ارسال کند.
نکته اصلی این است که ماهیت بهم پیوسته سرویسهای پلتفرم Power میتواند منجر به خطرات امنیتی جدی شود، بهویژه با توجه به استفاده گسترده از ShairePoint Connector، جایی که بسیاری از دادههای حساس شرکتی در آن قرار دارند.
رفع یک آسیب پذیری حیاتی با امتیاز 9.9 را در سرویس Azure AI Face توسط مایکروسافت
مایکروسافت وصله های امنیتی ای برای رفع دو آسیب پذیری حیاتی که روی سرویس Azure AI Face و مایکروسافت اکانت اثر دارند و می تواند به مهاجم امکان ارتقا سطح دسترسی تحت شرایط خاصی را بدهد، منتشر کرد.
آسیب پذیری های مذکور به شرح زیر هستند:
• CVE-2025-21396 (CVSS score: 7.5) – Microsoft Account Elevation of Privilege Vulnerability
• CVE-2025-21415 (CVSS score: 9.9) – Azure AI Face Service Elevation of Privilege Vulnerability
از طریق بهره برداری از آسیب پذیری CVE-2025-21415 که یک حفره امنیتی بای پس احراز هویت از طریق spoofing در سرویس Azure AL Faqce است، مهاجم احراز هویت شده، می تواند امتیازات خود در سراسر شبکه را ارتقا دهد.
از طرف دیگر آسیب پذیری CVE-2025-21396 از یک مورد عدم احراز هویت نشات گرفته که می تواند به مهاجم احراز هویت نشده امکان ارتقای سطح امتیازات را بدهد.
مایکروسافت از این دو آسیب پذیری کاملا اطلاع داشته و هم چنین از وجود کد بهره برداری PoC برای آسیب پذیری CVE-2025-21415 مطلع بوده و هر دوی آنها را وصله نموده است.
منبع:
