Er zijn details naar voren gekomen over drie inmiddels gepatchte beveiligingsproblemen in Dynamics 365 en Power Apps Web API die zouden kunnen leiden tot blootstelling van gegevens.
De fouten, ontdekt door het in Melbourne gevestigde cyberbeveiligingsbedrijf Stratus Security, zijn vanaf mei 2024 verholpen. Twee van de drie tekortkomingen liggen in het OData Web API Filter van Power Platform, terwijl de derde kwetsbaarheid zijn oorsprong vindt in de FetchXML API.
De hoofdoorzaak van de eerste kwetsbaarheid is het gebrek aan toegangscontrole op het OData Web API Filter, waardoor toegang mogelijk wordt tot de contacttabel die gevoelige informatie bevat, zoals volledige namen, telefoonnummers, adressen, financiële gegevens en wachtwoord-hashes.
Een bedreigingsacteur zou de fout vervolgens kunnen bewapenen door een op Boolean gebaseerde zoekopdracht uit te voeren om de volledige hash te extraheren door elk teken van de hash opeenvolgend te raden totdat de juiste waarde is geïdentificeerd.
“We beginnen bijvoorbeeld met het verzenden van startswith(adx_identity_passwordhash, ‘a’) en vervolgens startswith(adx_identity_passwordhash, ‘aa’) en vervolgens startswith(adx_identity_passwordhash, ‘ab’) enzovoort, totdat er resultaten worden geretourneerd die beginnen met ab”, aldus Stratus Security. .
“We gaan door met dit proces totdat de zoekopdracht resultaten oplevert die beginnen met ‘ab’. Uiteindelijk, als er geen verdere tekens meer een geldig resultaat opleveren, weten we dat we de volledige waarde hebben verkregen.”
De tweede kwetsbaarheid ligt daarentegen in het gebruik van de orderby-clausule in dezelfde API om de gegevens uit de benodigde databasetabelkolom te verkrijgen (bijvoorbeeld EMailAddress1, dat verwijst naar het primaire e-mailadres voor de contactpersoon).
Ten slotte ontdekte Stratus Security ook dat de FetchXML API in combinatie met de contacttabel kon worden misbruikt om toegang te krijgen tot beperkte kolommen met behulp van een orderby-query.
“Bij gebruik van de FetchXML API kan een aanvaller een orderby-query op elke kolom maken, waarbij hij de bestaande toegangscontroles volledig omzeilt”, aldus het rapport. “In tegenstelling tot de eerdere kwetsbaarheden vereist deze methode niet dat de volgorde in aflopende volgorde is, wat een laag flexibiliteit aan de aanval toevoegt.”
Een aanvaller die deze fouten als wapen gebruikt, zou daarom een lijst met wachtwoord-hashes en e-mails kunnen samenstellen en vervolgens de wachtwoorden kunnen kraken of de gegevens kunnen verkopen.
“De ontdekking van kwetsbaarheden in de Dynamics 365 en Power Apps API onderstreept een cruciale herinnering: cyberbeveiliging vereist constante waakzaamheid, vooral voor grote bedrijven die zoveel gegevens bijhouden, zoals Microsoft”, aldus Stratus Security.