La fonctionnalité Microsoft Power Automate (anciennement connu sous le nom de Microsoft Flow) permet aux utilisateurs d’automatiser les flux de travail entre diverses applications et services. À l’aide de Power Automate, il est possible de créer des "flux" dans Microsoft 365 pour Outlook, SharePoint et OneDrive afin de partager ou d’envoyer automatiquement des fichiers, de transférer des emails, etc.

Cette fonctionnalité est extrêmement intéressante pour automatiser des tâches au quotidien, mais elle peut également être utilisée par des cybercriminels pour automatiser l’exfiltration de données, mettre en place une communication Command & Control, des mouvements latéraux et échapper aux solutions de Data Loss Prevention.

Dans leur nouvelle recherche, disponible ici, les experts Varonis montrent le procédé utilisé par les attaquants. Pour mener leur attaque, les acteurs malveillants incitent leurs victimes à installer une application Azure malveillante qui crée ensuite des "flux" automatisés susceptibles de :

–  Transférer furtivement à l’attaquant tous les e-mails entrants
–  Créer et envoyer des liens de partage pour tous les fichiers nouvellement créés auxquels la victime peut accéder.