Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Graves fallos de seguridad solucionados en Microsoft Dynamics 365 y Power Apps Web API
  • Tecnología

Graves fallos de seguridad solucionados en Microsoft Dynamics 365 y Power Apps Web API

teknomers 2 de Ocak de 2025 (Last updated: 2 de Ocak de 2025) 3 minutes read
Graves fallos de seguridad solucionados en Microsoft Dynamics 365 y


02 de enero de 2025Ravie LakshmananVulnerabilidad / Protección de Datos

Han surgido detalles sobre tres vulnerabilidades de seguridad ahora parcheadas en Dynamics 365 y Power Apps Web API que podrían resultar en la exposición de datos.

los defectos, descubierto por la empresa de ciberseguridad Stratus Security, con sede en Melbourne, se han solucionado a partir de mayo de 2024. Dos de las tres deficiencias residen en Power Platform Filtro de API web de ODatamientras que la tercera vulnerabilidad tiene sus raíces en la API de recuperación de XML.

La causa principal de la primera vulnerabilidad es la falta de control de acceso en el filtro API web de OData, lo que permite el acceso a tabla de contactos que sostiene información sensible como nombres completos, números de teléfono, direcciones, datos financieros y hashes de contraseñas.

Ciberseguridad

Luego, un actor de amenazas podría convertir la falla en un arma para realizar una búsqueda booleana para extraer el hash completo adivinando cada carácter del hash secuencialmente hasta que se identifique el valor correcto.

“Por ejemplo, comenzamos enviando comienza con (adx_identity_passwordhash, ‘a’) y luego comienza con (adx_identity_passwordhash ‘aa’) luego comienza con (adx_identity_passwordhash, ‘ab’) y así sucesivamente hasta que devuelve resultados que comienzan con ab”, dijo Stratus Security.

“Continuamos este proceso hasta que la consulta arroje resultados que comiencen con ‘ab’. Finalmente, cuando no haya más caracteres que devuelvan un resultado válido, sabremos que hemos obtenido el valor completo”.

API web de Microsoft Dynamics 365 y Power Apps

La segunda vulnerabilidad, por otro lado, radica en el uso de la cláusula orderby en la misma API para obtener los datos de la columna necesaria de la tabla de la base de datos (por ejemplo, Dirección de correo electrónico1que se refiere a la dirección de correo electrónico principal del contacto).

Por último, Stratus Security también descubrió que la API FetchXML podría explotarse junto con la tabla de contactos para acceder a columnas restringidas mediante una consulta de orden.

Ciberseguridad

“Al utilizar la API FetchXML, un atacante puede crear una consulta de orden en cualquier columna, evitando por completo los controles de acceso existentes”, dijo. “A diferencia de las vulnerabilidades anteriores, este método no requiere que el orden sea descendente, lo que añade una capa de flexibilidad al ataque”.

Por lo tanto, un atacante que utilice estas fallas como arma podría compilar una lista de hashes de contraseñas y correos electrónicos, luego descifrar las contraseñas o vender los datos.

“El descubrimiento de vulnerabilidades en Dynamics 365 y Power Apps API subraya un recordatorio crítico: la ciberseguridad requiere vigilancia constante, especialmente para las grandes empresas que poseen tantos datos como Microsoft”, dijo Stratus Security.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Gran paso hacia Internet 6G utilizando SPACE LASER mientras China ‘supera al Starlink de Elon Musk’ con una prueba ultrarrápida de 100 gbps
Next: Alcalde Uithoorn: “sin palabras” para el campo de batalla de Zijdelwaard durante la víspera de Año Nuevo

Related Stories

Apple dominará ampliamente el mercado de los relojes inteligentes IA
  • Tecnología

Apple dominará ampliamente el mercado de los relojes inteligentes IA en 2026

teknomers 11 de Temmuz de 2026
Una falsa herramienta de análisis DNS propaga un malware a
  • Tecnología

Una falsa herramienta de análisis DNS propaga un malware a través de 222 repositorios de GitHub

teknomers 11 de Temmuz de 2026
Amazon tiene un descuento del 30% en este aspirador escoba
  • Tecnología

Amazon tiene un descuento del 30% en este aspirador escoba lavador Dreame con una ficha técnica impresionante.

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

Cita del día de Homero sobre la caridad: Cita del día de Homero: ‘La caridad que es un pequeño detalle para nosotros puede ser preciosa para…’ – cita motivacional del poeta griego de La Ilíada y La Odisea sobre lecciones de vida acerca de la caridad, la generosidad, ayudar a los demás y por qué los pequeños actos de bondad pueden hacer la mayor diferencia en la vida de alguien.

teknomers 11 de Temmuz de 2026
  • Deporte

Superliga: Leigh 24-18 Castleford Tigers – Leopards refuerzan su candidatura a los playoffs

teknomers 11 de Temmuz de 2026
  • Deporte

Tour de Francia 2026, etapa 9: horarios y puntos de paso de la caravana entre Malemort y Ussel.

teknomers 11 de Temmuz de 2026
  • Cultura

Audiovisual público: cinco minutos para comprender el «contre-rapport Alloncle» de los senadores LR

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.