Han surgido detalles sobre tres vulnerabilidades de seguridad ahora parcheadas en Dynamics 365 y Power Apps Web API que podrían resultar en la exposición de datos.
los defectos, descubierto por la empresa de ciberseguridad Stratus Security, con sede en Melbourne, se han solucionado a partir de mayo de 2024. Dos de las tres deficiencias residen en Power Platform Filtro de API web de ODatamientras que la tercera vulnerabilidad tiene sus raíces en la API de recuperación de XML.
La causa principal de la primera vulnerabilidad es la falta de control de acceso en el filtro API web de OData, lo que permite el acceso a tabla de contactos que sostiene información sensible como nombres completos, números de teléfono, direcciones, datos financieros y hashes de contraseñas.
Luego, un actor de amenazas podría convertir la falla en un arma para realizar una búsqueda booleana para extraer el hash completo adivinando cada carácter del hash secuencialmente hasta que se identifique el valor correcto.
“Por ejemplo, comenzamos enviando comienza con (adx_identity_passwordhash, ‘a’) y luego comienza con (adx_identity_passwordhash ‘aa’) luego comienza con (adx_identity_passwordhash, ‘ab’) y así sucesivamente hasta que devuelve resultados que comienzan con ab”, dijo Stratus Security.
“Continuamos este proceso hasta que la consulta arroje resultados que comiencen con ‘ab’. Finalmente, cuando no haya más caracteres que devuelvan un resultado válido, sabremos que hemos obtenido el valor completo”.
La segunda vulnerabilidad, por otro lado, radica en el uso de la cláusula orderby en la misma API para obtener los datos de la columna necesaria de la tabla de la base de datos (por ejemplo, Dirección de correo electrónico1que se refiere a la dirección de correo electrónico principal del contacto).
Por último, Stratus Security también descubrió que la API FetchXML podría explotarse junto con la tabla de contactos para acceder a columnas restringidas mediante una consulta de orden.
“Al utilizar la API FetchXML, un atacante puede crear una consulta de orden en cualquier columna, evitando por completo los controles de acceso existentes”, dijo. “A diferencia de las vulnerabilidades anteriores, este método no requiere que el orden sea descendente, lo que añade una capa de flexibilidad al ataque”.
Por lo tanto, un atacante que utilice estas fallas como arma podría compilar una lista de hashes de contraseñas y correos electrónicos, luego descifrar las contraseñas o vender los datos.
“El descubrimiento de vulnerabilidades en Dynamics 365 y Power Apps API subraya un recordatorio crítico: la ciberseguridad requiere vigilancia constante, especialmente para las grandes empresas que poseen tantos datos como Microsoft”, dijo Stratus Security.
About the Author
