{"id":1513669,"date":"2025-01-02T14:23:13","date_gmt":"2025-01-02T14:23:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/graves-fallos-de-seguridad-solucionados-en-microsoft-dynamics-365-y-power-apps-web-api\/"},"modified":"2025-01-02T14:23:18","modified_gmt":"2025-01-02T14:23:18","slug":"graves-fallos-de-seguridad-solucionados-en-microsoft-dynamics-365-y-power-apps-web-api","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/graves-fallos-de-seguridad-solucionados-en-microsoft-dynamics-365-y-power-apps-web-api\/","title":{"rendered":"Graves fallos de seguridad solucionados en Microsoft Dynamics 365 y Power Apps Web API"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>02 de enero de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad \/ Protecci\u00f3n de Datos<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Han surgido detalles sobre tres vulnerabilidades de seguridad ahora parcheadas en Dynamics 365 y Power Apps Web API que podr\u00edan resultar en la exposici\u00f3n de datos.<\/p>\n

los defectos, descubierto<\/a> por la empresa de ciberseguridad Stratus Security, con sede en Melbourne, se han solucionado a partir de mayo de 2024. Dos de las tres deficiencias residen en Power Platform Filtro de API web de OData<\/a>mientras que la tercera vulnerabilidad tiene sus ra\u00edces en la API de recuperaci\u00f3n de XML<\/a>.<\/p>\n

La causa principal de la primera vulnerabilidad es la falta de control de acceso en el filtro API web de OData, lo que permite el acceso a tabla de contactos<\/a> que sostiene informaci\u00f3n sensible<\/a> como nombres completos, n\u00fameros de tel\u00e9fono, direcciones, datos financieros y hashes de contrase\u00f1as.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Luego, un actor de amenazas podr\u00eda convertir la falla en un arma para realizar una b\u00fasqueda booleana para extraer el hash completo adivinando cada car\u00e1cter del hash secuencialmente hasta que se identifique el valor correcto.<\/p>\n

“Por ejemplo, comenzamos enviando comienza con (adx_identity_passwordhash, ‘a’) y luego comienza con (adx_identity_passwordhash<\/a> ‘aa’) luego comienza con (adx_identity_passwordhash, ‘ab’) y as\u00ed sucesivamente hasta que devuelve resultados que comienzan con ab”, dijo Stratus Security.<\/p>\n

“Continuamos este proceso hasta que la consulta arroje resultados que comiencen con ‘ab’. Finalmente, cuando no haya m\u00e1s caracteres que devuelvan un resultado v\u00e1lido, sabremos que hemos obtenido el valor completo”.<\/p>\n

\"API<\/a><\/div>\n

La segunda vulnerabilidad, por otro lado, radica en el uso de la cl\u00e1usula orderby en la misma API para obtener los datos de la columna necesaria de la tabla de la base de datos (por ejemplo, Direcci\u00f3n de correo electr\u00f3nico1<\/a>que se refiere a la direcci\u00f3n de correo electr\u00f3nico principal del contacto).<\/p>\n

Por \u00faltimo, Stratus Security tambi\u00e9n descubri\u00f3 que la API FetchXML podr\u00eda explotarse junto con la tabla de contactos para acceder a columnas restringidas mediante una consulta de orden.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“Al utilizar la API FetchXML, un atacante puede crear una consulta de orden en cualquier columna, evitando por completo los controles de acceso existentes”, dijo. “A diferencia de las vulnerabilidades anteriores, este m\u00e9todo no requiere que el orden sea descendente, lo que a\u00f1ade una capa de flexibilidad al ataque”.<\/p>\n

Por lo tanto, un atacante que utilice estas fallas como arma podr\u00eda compilar una lista de hashes de contrase\u00f1as y correos electr\u00f3nicos, luego descifrar las contrase\u00f1as o vender los datos.<\/p>\n

“El descubrimiento de vulnerabilidades en Dynamics 365 y Power Apps API subraya un recordatorio cr\u00edtico: la ciberseguridad requiere vigilancia constante, especialmente para las grandes empresas que poseen tantos datos como Microsoft”, dijo Stratus Security.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n