Dynamics 365 ve Power Apps Web API’sinde verilerin açığa çıkmasına neden olabilecek, şu anda yamalı olan üç güvenlik açığı hakkında ayrıntılar ortaya çıktı.
Kusurlar, keşfedildi Melbourne merkezli siber güvenlik şirketi Stratus Security tarafından gerçekleştirilen bu sorun, Mayıs 2024 itibarıyla giderilmiştir. Üç eksiklikten ikisi Power Platform’un OData Web API Filtresiüçüncü güvenlik açığı ise FetchXML API’si.
İlk güvenlik açığının temel nedeni, OData Web API Filtresi’nde erişim kontrolünün olmaması ve dolayısıyla erişime izin verilmesidir. kişiler tablosu bu tutar hassas bilgiler tam adlar, telefon numaraları, adresler, finansal veriler ve şifre karmaları gibi.
Bir tehdit aktörü daha sonra, doğru değer tanımlanana kadar hash’in her karakterini sırayla tahmin ederek hash’in tamamını çıkarmak için boole tabanlı bir arama gerçekleştirmek üzere kusuru silah haline getirebilir.
“Örneğin, startwith(adx_identity_passwordhash, ‘a’) göndererek başlıyoruz, ardından startwith(adx_identity_passwordhash ‘aa’) sonra başlarwith(adx_identity_passwordhash , ‘ab’) ve ab ile başlayan sonuçları döndürene kadar böyle devam eder,” dedi Stratus Security.
“Sorgu ‘ab’ ile başlayan sonuçları döndürene kadar bu işleme devam ediyoruz. Sonunda, başka karakter geçerli bir sonuç döndürmediğinde, tam değeri elde ettiğimizi anlarız.”
Öte yandan ikinci güvenlik açığı, verileri gerekli veritabanı tablosu sütunundan (örn. E-PostaAdresi1kişinin birincil e-posta adresini ifade eder).
Son olarak Stratus Security, FetchXML API’sinin, bir sıralama sorgusu kullanılarak kısıtlı sütunlara erişmek için kişiler tablosuyla birlikte kullanılabileceğini de buldu.
“Bir saldırgan, FetchXML API’sini kullanırken mevcut erişim kontrollerini tamamen atlayarak herhangi bir sütunda sıralı bir sorgu oluşturabilir” dedi. “Önceki güvenlik açıklarından farklı olarak bu yöntem, sıralamanın azalan sırada olmasını gerektirmiyor ve saldırıya bir esneklik katmanı ekliyor.”
Bu nedenle, bu kusurları silah haline getiren bir saldırgan, şifre karmalarının ve e-postaların bir listesini derleyebilir, ardından şifreleri kırabilir veya verileri satabilir.
Stratus Security, “Dynamics 365 ve Power Apps API’deki güvenlik açıklarının keşfi, kritik bir hatırlatmanın altını çiziyor: Siber güvenlik, özellikle Microsoft gibi çok fazla veri tutan büyük şirketler için sürekli dikkat gerektirir.” dedi.
