Microsoft Dynamics 365 和 Power Apps Web API 中存在严重安全漏洞

有关 Dynamics 365 和 Power Apps Web API 中三个现已修补的安全漏洞的详细信息已经浮出水面，这些漏洞可能会导致数据泄露。

这些漏洞由位于墨尔本的网络安全公司 Stratus Security发现，并已于 2024 年 5 月得到解决。三个缺陷中的两个存在于 Power Platform 的OData Web API Filter中，而第三个漏洞则源于FetchXML API。

第一个漏洞的根本原因是 OData Web API Filter 缺乏访问控制，从而允许访问包含敏感信息（例如全名、电话号码、地址、财务数据和密码哈希）的联系人表。

然后，威胁行为者可以利用该漏洞进行基于布尔的搜索，通过依次猜测哈希中的每个字符直到找到正确的值来提取完整​​的哈希。

Stratus Security 表示： “例如，我们首先发送 startswith(adx_identity_passwordhash，'a')，然后发送 startswith( adx_identity_passwordhash，'aa')，然后发送 startswith(adx_identity_passwordhash，'ab') 等等，直到返回以 ab 开头的结果。”

“我们继续这个过程，直到查询返回以‘ab’开头的结果。最终，当没有其他字符返回有效结果时，我们就知道我们已经获得了完整的值。”

另一方面，第二个漏洞在于使用同一 API 中的 orderby 子句从必要的数据库表列中获取数据（例如，EMailAddress1，它指的是联系人的主要电子邮件地址）。

最后，Stratus Security 还发现，可以结合 FetchXML API 与联系人表利用 orderby 查询来访问受限列。

“利用 FetchXML API 时，攻击者可以对任意列进行 orderby 查询，完全绕过现有的访问控制，”报告称。“与之前的漏洞不同，这种方法不需要 orderby 降序排列，从而为攻击增加了一层灵活性。”

因此，利用这些漏洞的攻击者可以编制密码哈希和电子邮件列表，然后破解密码或出售数据。

Stratus Security 表示：“Dynamics 365 和 Power Apps API 中发现的漏洞强调了一个重要的提醒：网络安全需要时刻保持警惕，特别是对于像微软这样掌握大量数据的大公司而言。”