Han surgido detalles sobre tres vulnerabilidades de seguridad ahora parchadas en Dynamics 365 y Power Apps Web API que podrían provocar la exposición de datos.
Las fallas, descubiertas por la empresa de ciberseguridad Stratus Security con sede en Melbourne, se abordaron en mayo de 2024. Dos de las tres deficiencias residen en el filtro de API web OData de Power Platform , mientras que la tercera vulnerabilidad tiene su raíz en la API FetchXML .
La causa principal de la primera vulnerabilidad es la falta de control de acceso en el filtro de API web de OData, lo que permite el acceso a la tabla de contactos que contiene información confidencial como nombres completos, números de teléfono, direcciones, datos financieros y hashes de contraseñas.
Un actor de amenazas podría entonces utilizar la falla como arma para realizar una búsqueda basada en valores booleanos para extraer el hash completo adivinando cada carácter del hash secuencialmente hasta identificar el valor correcto.
«Por ejemplo, comenzamos enviando startswith(adx_identity_passwordhash, ‘a’), luego startswith( adx_identity_passwordhash , ‘aa’), luego startswith(adx_identity_passwordhash, ‘ab’) y así sucesivamente hasta que devuelva resultados que comiencen con ab», dijo Stratus Security.
«Continuamos con este proceso hasta que la consulta devuelva resultados que comiencen con ‘ab’. Finalmente, cuando ningún otro carácter devuelva un resultado válido, sabremos que hemos obtenido el valor completo».
La segunda vulnerabilidad, por otro lado, radica en utilizar la cláusula orderby en la misma API para obtener los datos de la columna de la tabla de base de datos necesaria (por ejemplo, EMailAddress1 , que se refiere a la dirección de correo electrónico principal del contacto).
Por último, Stratus Security también descubrió que la API FetchXML podría explotarse junto con la tabla de contactos para acceder a columnas restringidas mediante una consulta orderby.
«Al utilizar la API FetchXML, un atacante puede crear una consulta orderby en cualquier columna, evadiendo por completo los controles de acceso existentes», afirmó. «A diferencia de las vulnerabilidades anteriores, este método no requiere que la consulta orderby esté en orden descendente, lo que agrega una capa de flexibilidad al ataque».
Un atacante que utilice estas fallas como arma podría, por lo tanto, compilar una lista de hashes de contraseñas y correos electrónicos y luego descifrar las contraseñas o vender los datos.
«El descubrimiento de vulnerabilidades en la API de Dynamics 365 y Power Apps subraya un recordatorio crítico: la ciberseguridad requiere una vigilancia constante, especialmente para las grandes empresas que almacenan tantos datos como Microsoft», afirmó Stratus Security.
Fuente y redacción: thehackernews.com
