Detalhes emergiram sobre três vulnerabilidades de segurança agora corrigidas no Dynamics 365 e Power Apps Web API que poderiam resultar na exposição de dados.
As falhas, descobertas pela empresa de cibersegurança sediada em Melbourne, Stratus Security, foram resolvidas até maio de 2024.
Duas das três deficiências residem no OData Web API Filter da Power Platform, enquanto a terceira vulnerabilidade está enraizada na FetchXML API.
A causa raiz da primeira vulnerabilidade é a falta de controle de acesso no OData Web API Filter, permitindo assim o acesso à tabela de contatos que contém informações sensíveis, como nomes completos, números de telefone, endereços, dados financeiros e hashes de senhas.
Um ator de ameaça poderia então armar a falha para realizar uma busca baseada em boolean para extrair o hash completo, adivinhando cada caractere do hash sequencialmente até que o valor correto seja identificado.
"Por exemplo, começamos enviando startswith(adx_identity_passwordhash, 'a'), depois startswith(adx_identity_passwordhash , 'aa'), seguido por startswith(adx_identity_passwordhash , 'ab') e assim por diante, até que ele retorne resultados que começam com ab", disse a Stratus Security.
"Continuamos esse processo até que a consulta retorne resultados que começam com 'ab'.
Eventualmente, quando nenhum caractere adicional retorna um resultado válido, sabemos que obtivemos o valor completo," complementa a empresa.
A segunda vulnerabilidade, por outro lado, reside no uso da cláusula orderby na mesma API para obter os dados da coluna da tabela de banco de dados necessária (por exemplo, EMailAddress1, que se refere ao endereço de email principal do contato).
Por último, a Stratus Security também descobriu que a FetchXML API poderia ser explorada em conjunto com a tabela de contatos para acessar colunas restritas usando uma consulta orderby.
"Ao utilizar a FetchXML API, um atacante pode criar uma consulta orderby em qualquer coluna, contornando completamente os controles de acesso existentes", afirmou.
Ao contrário das vulnerabilidades anteriores, esse método não exige que o orderby seja em ordem decrescente, adicionando uma camada de flexibilidade ao ataque. Assim, um atacante explorando essas falhas poderia compilar uma lista de hashes de senhas e e-mails, e então quebrar as senhas ou vender os dados.
"A descoberta de vulnerabilidades no Dynamics 365 e Power Apps API sublinha um lembrete crítico: a cibersegurança requer vigilância constante, especialmente para grandes empresas que possuem tantos dados como a Microsoft", disse a Stratus Security.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...