Chybné nastavení zabezpečení

• Chybná konfigurace vede k anonymnímu přístupu k citlivým datům nebo operacím, nechráněným endpointům, secrets a nadměrnému sdílení.
• Mnoho konfigurací se nastavuje na úrovni aplikace = spíše je nastavují byznys uživatelé než administrátoři.

Jak zranitelnosti předcházet

🔴 Přečtěti si dokumentaci dodavatele a postupujte podle best practices příruček.

🔴 Zajistěte, aby konfigurace odpovídala best practices v daném oboru.

🔴 Monitorujte, zda konfigurace nevykazuje odchylky.

🔴 Implementujte CMS pro změnu konfigurace na úrovni tenanta.

Příklad zneužití zranitelnosti

1. Vývojář vytvoří aplikaci, která vystavuje API endpoint.
   • Nenakonfiguruje ho tak, aby byl zakázán anonymní přístup.
   • Útočníci proskenují subdomény low-code/no-code platformy, najdou aplikaci a ukradnou její data.
2. Vývojář vytvoří automatizaci spouštěnou web hookem.
   • Webhook však nezabezpečí pomocí secrets.
   • Útočníci identifikují webhook a automatizaci mohou spouštět dle libosti.
     • Automatizace může měnit nebo mazat data.

Kam dál

• Microsoft Internal Security Best Practices: Secure Power Platform Development
• By Design: How Default Permissions on Microsoft Power Apps Exposed Millions