Eine Sicherheitslücke in Microsoft Power BI erlaubt es unbefugten Nutzern, auf sensible Daten zuzugreifen, die den Berichten zugrunde liegen. Diese Schwachstelle betrifft zehntausende Organisationen und ermöglicht den Zugriff auf Mitarbeiter-, Kunden- und potenziell vertrauliche Daten.
Durch die Ausnutzung dieser Schwachstelle können Angreifer Informationen extrahieren, die über das in den Berichten sichtbare Maß hinausgehen, einschließlich zusätzlicher Datenattribute, Datensätze und Details hinter aggregierten oder anonymisierten Daten.
Entdeckung und Reaktion
Die Schwachstelle wurde von Nokod Security an Microsoft gemeldet. Microsoft betrachtet dies jedoch als eine Funktion und nicht als Sicherheitsproblem. Power BI semantische Modelle legen alle zugrunde liegenden Daten offen, einschließlich versteckter Tabellen, Spalten und detaillierter Datensätze, selbst wenn im Bericht nur aggregierte Daten oder ein Datenausschnitt visualisiert wird.
Details der Ausnutzung
Öffentliche Power BI-Berichte lösen beim Ausführen eine Datenabfrage über eine POST-Anfrage an den Endpunkt „/public/reports/querydata“ auf dem Server wabi-west-europe-f-primary-api.analysis.windows.net aus.
Im Gegensatz dazu verwenden organisatorische Berichte einen anderen Endpunkt auf pbipweu14-westeurope.pbidedicated.windows.net, speziell „/webapi/capacities/<capacityObjectId>/workloads/QES/QueryExecutionService/automatic/public/query“, der sich wahrscheinlich auf einen Kapazitätsobjekt-Identifikator für die Autorisierung stützt.
Die Abfragen werden mit JSON-Payloads in einem proprietären Format spezifiziert, um Daten im zugrunde liegenden semantischen Modell des Berichts abzurufen. Nutzer können Daten sowohl aus sichtbaren als auch versteckten Spalten/Tabellen anfordern, solange sie Teil des Modells sind.
Ein Beispiel zeigt das Abrufen der „name“-Spalte aus der „Products“-Tabelle und das Filtern nach Produkten, die den Buchstaben „c“ enthalten. Dies verdeutlicht, wie jede Visualisierung effektiv eine benutzerdefinierte Abfrage ausführt, um ihre spezifischen Datenanforderungen zu erfüllen.
Angreifer können Power BI-Berichte ausnutzen, um auf versteckte Daten zuzugreifen. Während das Entfernen von Filtern und Aggregationen in Visualisierungen einfach ist, erfordert das Hinzufügen unsichtbarer Daten Kenntnisse über das Datenschema.
Dieses Schema kann von einem öffentlichen Berichtsendpunkt „/conceptualschema“ oder einem organisatorischen Berichtsendpunkt „/explore/conceptualschema“ abgerufen werden. Diese Endpunkte legen das gesamte semantische Modell offen, einschließlich versteckter Spalten und Tabellen, selbst wenn der Berichtsersteller diese als versteckt markiert hat. Dies ermöglicht es dem Angreifer, weitere Anfragen zu erstellen, um auf die verborgenen Informationen zuzugreifen.
Eine Schwachstelle besteht darin, dass eine in einem Power BI-Bericht verborgene SQL-Tabelle dennoch über die „query“-API zugänglich ist, obwohl sie nicht von der „conceptualschema“-API zurückgegeben wird.
Sicherheitsbedenken
Laut Nokod Security ist die Schwachstelle besonders besorgniserregend für Organisationen, die Berichte mit vertraulichen Informationen wie Finanzdaten oder Gesundheitsdaten teilen. Es wurden zahlreiche Berichte gefunden, die gegen Personen aus verschiedenen Gruppen, wie Universitäten und Regierungswebsites, verwendet werden könnten. Diese Berichte zeigen, dass das zugrunde liegende Datenmodell über API-Aufrufe zugänglich ist und private Daten wie PII (personenbezogene Informationen) und PHI (Gesundheitsinformationen) offenlegen kann.
Die Entdeckung dieser Schwachstelle unterstreicht die Notwendigkeit strenger Sicherheitsmaßnahmen und eine erhöhte Wachsamkeit seitens der Nutzer, um den Schutz sensibler Daten zu gewährleisten.
4o
