Các lỗ hổng bảo mật nghiêm trọng đã được vá trong Microsoft Dynamics 365 và Power Apps Web API

Các lỗ hổng bảo mật nghiêm trọng đã được vá trong Microsoft Dynamics 365 và Power Apps Web API

Ba lỗ hổng bảo mật hiện đã được vá trong Dynamics 365 và Power Apps Web API có thể dẫn đến việc lộ dữ liệu.

Các lỗ hổng này đã được giải quyết vào tháng 5 năm 2024. Hai trong số ba lỗ hổng nằm trong Bộ lọc API Web OData của Power Platform, trong khi lỗ hổng thứ ba bắt nguồn từ API FetchXML.

Nguyên nhân gốc rễ của lỗ hổng đầu tiên là thiếu quyền kiểm soát quyền truy cập trên Bộ lọc API Web OData, do đó cho phép truy cập vào bảng danh bạ chứa thông tin nhạy cảm như tên đầy đủ, số điện thoại, địa chỉ, dữ liệu tài chính và hàm băm mật khẩu.

Sau đó, kẻ tấn công có thể lợi dụng lỗ hổng này để thực hiện tìm kiếm dựa trên boolean nhằm trích xuất toàn bộ hàm băm bằng cách đoán từng ký tự của hàm băm theo trình tự cho đến khi xác định được giá trị chính xác.

"Ví dụ, chúng tôi bắt đầu bằng cách gửi startswith(adx_identity_passwordhash, 'a') sau đó startswith(adx_identity_passwordhash, 'aa') sau đó startswith(adx_identity_passwordhash, 'ab') và cứ tiếp tục như vậy cho đến khi trả về kết quả bắt đầu bằng ab", Stratus Security cho biết.

"Chúng tôi tiếp tục quá trình này cho đến khi truy vấn trả về kết quả bắt đầu bằng 'ab'. Cuối cùng, khi không có ký tự nào trả về kết quả hợp lệ nữa, chúng tôi biết mình đã có được giá trị đầy đủ".

Mặt khác, lỗ hổng thứ hai nằm ở việc sử dụng mệnh đề orderby trong cùng một API để lấy dữ liệu từ cột bảng cơ sở dữ liệu cần thiết (ví dụ: EMailAddress1, tham chiếu đến địa chỉ email chính của liên hệ).

Cuối cùng, các chuyên gia bảo mật cũng phát hiện ra rằng API FetchXML có thể bị khai thác kết hợp với bảng liên hệ để truy cập các cột bị hạn chế bằng truy vấn orderby.

"Khi sử dụng API FetchXML, kẻ tấn công có thể tạo truy vấn orderby trên bất kỳ cột nào, hoàn toàn bỏ qua các biện pháp kiểm soát truy cập hiện có", báo cáo cho biết. "Không giống như các lỗ hổng trước đây, phương pháp này không yêu cầu orderby phải theo thứ tự giảm dần, giúp tăng thêm tính linh hoạt cho cuộc tấn công".

Do đó, kẻ tấn công lợi dụng các lỗ hổng này có thể biên soạn danh sách băm mật khẩu và email, sau đó bẻ khóa mật khẩu hoặc bán dữ liệu.

"Việc phát hiện ra các lỗ hổng trong API Dynamics 365 và Power Apps nhấn mạnh một lời nhắc nhở quan trọng: an ninh mạng đòi hỏi phải luôn cảnh giác, đặc biệt là đối với các công ty lớn nắm giữ nhiều dữ liệu như Microsoft".

Hương – Theo TheHackerNews