Dynamics 365 ve Power Apps Web API’sinde verilerin açığa çıkmasıyla sonuçlanabilecek, yamalanmış üç güvenlik açığı hakkında ayrıntılar ortaya çıktı.
Melbourne merkezli siber güvenlik şirketi Stratus Security tarafından keşfedilen kusurlar Mayıs 2024 itibarıyla giderildi. Üç eksiklikten ikisi Power Platform’un OData Web API Filtresinde yer alırken, üçüncü güvenlik açığı FetchXML API’sinden kaynaklanıyor.
İlk güvenlik açığının temel nedeni, OData Web API Filtresi’nde erişim kontrolünün olmaması ve dolayısıyla tam adlar, telefon numaraları, adresler, finansal veriler ve şifre karmaları gibi hassas bilgileri içeren kişiler tablosuna erişime izin verilmesidir.
Bir tehdit aktörü daha sonra, doğru değer tanımlanana kadar hash’in her karakterini sırayla tahmin ederek hash’in tamamını çıkarmak için boole tabanlı bir arama gerçekleştirmek üzere kusuru silah haline getirebilir.
Stratus Security, “Örneğin, startwith(adx_identity_passwordhash, ‘a’) göndererek başlıyoruz, ardından startwith(adx_identity_passwordhash, ‘aa’) sonra startwith(adx_identity_passwordhash, ‘ab’) ve ab ile başlayan sonuçları döndürene kadar bu şekilde devam ediyoruz.” dedi. .
“Sorgu ‘ab’ ile başlayan sonuçları döndürene kadar bu işleme devam ediyoruz. Sonunda, başka karakter geçerli bir sonuç döndürmediğinde, tam değeri elde ettiğimizi anlarız.”
Öte yandan ikinci güvenlik açığı, verileri gerekli veritabanı tablosu sütunundan (örneğin, kişinin birincil e-posta adresini ifade eden EMailAddress1) elde etmek için aynı API’deki orderby cümlesinin kullanılmasından kaynaklanmaktadır.
Son olarak Stratus Security, FetchXML API’sinin, bir sıralama sorgusu kullanılarak kısıtlı sütunlara erişmek için kişiler tablosuyla birlikte kullanılabileceğini de buldu.
“Bir saldırgan, FetchXML API’sini kullanırken, mevcut erişim kontrollerini tamamen atlayarak herhangi bir sütunda sıralı bir sorgu oluşturabilir” dedi. “Önceki güvenlik açıklarından farklı olarak bu yöntem, sıralamanın azalan sırada olmasını gerektirmiyor ve saldırıya bir esneklik katmanı ekliyor.”
Bu nedenle, bu kusurları silah haline getiren bir saldırgan, şifre karmalarının ve e-postaların bir listesini derleyebilir, ardından şifreleri kırabilir veya verileri satabilir.
Stratus Security, “Dynamics 365 ve Power Apps API’deki güvenlik açıklarının keşfi, kritik bir hatırlatmanın altını çiziyor: Siber güvenlik, özellikle Microsoft gibi çok fazla veri tutan büyük şirketler için sürekli dikkat gerektirir.” dedi.