Una vulnerabilità nelle API di Microsoft Power Pages sta attirando l’attenzione degli esperti di sicurezza informatica. Aaron Costello, Chief of SaaS Security Research di AppOmni, ha identificato un errore di configurazione nei controlli di accesso della piattaforma che può portare all’esposizione di milioni di dati sensibili, mettendo a rischio la sicurezza di utenti interni ed esterni.
La piattaforma Power Pages e il problema alla base
Power Pages è una soluzione low-code di Microsoft che consente di creare rapidamente siti web grazie al sistema intuitivo di drag-and-drop. La sua versatilità ne fa uno strumento apprezzato per chi desidera sviluppare siti senza particolari competenze tecniche. Tuttavia, proprio questa semplicità può diventare un’arma a doppio taglio se la configurazione dei permessi non viene gestita correttamente.
La vulnerabilità deriva da una configurazione errata dei controlli di accesso, legata a delle implementazioni non sicure. Nel dettaglio vengono assegnati permessi troppo elevati agli utenti esterni. Questi possono sfruttare le API per accedere a dati sensibili nel database.
Power Pages distingue i ruoli “Anonymous User” e “Authenticated User”. Quest’ultimo, usato per gli utenti registrati, concede privilegi troppo ampi, inclusi quelli su dati interni delle organizzazioni. L’errore è trattare gli “Authenticated User” come utenti interni, invece di limitarne i permessi come previsto per gli utenti esterni.
Gestione degli accessi in Microsoft Power Pages
Microsoft Power Pages utilizza un sistema di controllo multilivello. A livello di sito, si configurano impostazioni generali come l’autenticazione o la registrazione pubblica. A livello di tabella, si definiscono ruoli e permessi specifici (lettura, modifica, cancellazione). Infine, a livello di colonna, i profili di sicurezza permettono di limitare l’accesso a dati sensibili, mascherando informazioni critiche.
Tuttavia, questa ultima protezione è spesso trascurata, lasciando esposti dati sensibili anche agli utenti classificati come “Authenticated”. Permessi eccessivi nelle API, la registrazione aperta e configurazioni globali amplificano il rischio di accessi non autorizzati. Come spiega Aaron Costello, senza i profili di sicurezza a livello di colonna, tutte le informazioni accessibili tramite API possono finire nelle mani di utenti esterni.
Durante i suoi test, Costello ha scoperto milioni di record sensibili esposti, comprendenti nomi, email, numeri di telefono e indirizzi. Nonostante gli alert di Microsoft su configurazioni rischiose, molte organizzazioni ignorano il problema. La soluzione migliore è rimuovere i permessi elevati per gli utenti esterni e implementare profili di sicurezza per identificare e proteggere i dati sensibili. In casi più complessi, si raccomanda l’uso di endpoint personalizzati per gestire in modo sicuro le informazioni condivise.
https://www.securityinfo.it/2024/11/15/lapi-di-microsoft-power-pages-puo-esporre-dati-sensibili/
