Falsch konfigurierte Microsoft Power Apps geben 38 Millionen Datensätze preis

Der Sicherheitsanbieter Upguard hat herausgefunden, dass Microsoft Power Apps unter Umständen aufgrund einer Voreinstellung vertrauliche Daten preisgeben. Die Forscher von Upguard fanden unter anderem Sozialversicherungsnummern, E-Mail-Adressen und COVID-19-Impstatus. Insgesamt sollen 38 Millionen Datensätze öffentlich zugänglich gewesen sein.

Microsoft Power Apps erlauben die Entwicklung von Low-Code-Anwendungen sowie öffentlicher und interner Websites. Die Schwachstelle wiederum steckt in der Konfiguration einer OData genannten Programmierschnittstelle. Sie kann benutzt werden, um Daten öffentlich zugänglich zu machen, entweder “anonym oder über eine kommerzielle Authentifizierung”.

Allerdings ist die Programmierschnittstelle ab Werk so konfiguriert, dass sie einen Zugriff auf Daten erlaubt. Microsoft weist auf diesen Umstand auch mit einem Warnung hin: “Seien Sie vorsichtig, wenn Sie OData Feed ohne Tabellenberechtigungen für vertrauliche Informationen aktivieren. Auf den OData Feed kann anonym und ohne Berechtigungsprüfungen zugegriffen werden, falls ‘Tabellenberechtigungen aktivieren’ deaktiviert ist.”

Von dem Problem betroffen sind Apps und Websites von 47 Organisationen. Darunter sind die Regierungen der US-Bundestaaten Indiana und Maryland, die Stadt New York, sowie Unternehmen wie American Airlines, J.B. Hunt und auch Microsoft.

Die Forscher von Upguard entdeckten den Bug am 24. Mai. Die Schwachstelle meldete das Unternehmen einen Monat später vertraulich an Microsoft. Der Softwarekonzern teilte kurz darauf mit, es handele sich nicht um einen Fehler, sondern um eine beabsichtigte Funktion. Daraufhin setzten sich die Forscher mit den betroffenen Microsoft-Kunden in Verbindung, um sie über ihre falsch konfigurierten Power Apps sowie die frei verfügbaren Daten zu informieren.

Upguard weist auch darauf hin, dass auch Microsoft von den falsch konfigurierten Power Apps betroffen war. Unter anderem war eine Liste mit Kontaktdaten wie E-Mail-Adressen und Telefonnummern von Microsoft-Mitarbeitern frei zugänglich. Die Liste gehörte zu Microsofts Global Payroll Services.

“Wir verstehen zwar die Position von Microsoft (und stimmen ihr zu), dass es sich hier nicht um eine reine Software-Schwachstelle handelt, aber es ist ein Plattformproblem, das Codeänderungen am Produkt erfordert und daher in denselben Arbeitsablauf wie Schwachstellen eingeordnet werden sollte” lautet das Fazit der Forscher. “Es ist eine bessere Lösung, das Produkt als Reaktion auf das beobachtete Benutzerverhalten zu ändern, als den systemischen Datenverlust als Fehlkonfiguration des Endbenutzers abzustempeln, so dass das Problem fortbesteht und die Endbenutzer dem Cybersicherheitsrisiko einer Datenverletzung ausgesetzt werden.”