Em maio de 2024, a Microsoft corrigiu três falhas de segurança importantes que afetavam o Dynamics 365 e a API Web do Power Apps, as quais poderiam expor dados sensíveis dos usuários. Essas vulnerabilidades foram identificadas pela empresa de segurança cibernética Stratus Security, com sede em Melbourne, e poderiam permitir o acesso não autorizado a informações confidenciais, como dados financeiros e senhas.
Falhas de Segurança Críticas no Microsoft Dynamics 365 e Power Apps
Vulnerabilidades no OData Web API Filter e Seus Riscos
As falhas envolviam principalmente dois componentes: o OData Web API Filter da Power Platform e a API FetchXML. A primeira vulnerabilidade estava relacionada à falta de controle de acesso na filtragem da API OData. Esse problema permitia que um atacante acessasse tabelas de contatos, expondo dados como nomes, números de telefone e hashes de senhas. O problema podia ser explorado por meio de consultas booleanas que permitiam a extração de hashes de senha, utilizando uma técnica que tentava adivinhar os caracteres do hash um por um até descobrir o valor completo.
Impactos da Vulnerabilidade na API FetchXML e Métodos de Exploração
A segunda falha estava associada ao uso incorreto da cláusula “orderby” na mesma API. Ao manipular essa cláusula, um invasor poderia acessar dados sensíveis de colunas específicas da tabela de contatos, como o endereço de e-mail principal. Isso significava que o atacante poderia recuperar dados sem ser impedido por controles de acesso existentes, aumentando a flexibilidade do ataque.
Notícias Relacionadas
Ataque cibernético
Detalhes sobre ataque cibernético expõem vulnerabilidades em extensões do Chrome
Hackers comprometeram 35 extensões do Chrome, afetando mais de 2,6 milhões de usuários, em uma campanha de phishing sofisticada. Ataque focou em contas comerciais do Facebook para roubo de dados e monetização.
Segurança online
16 extensões do Chrome hackeadas, comprometendo dados de mais de 600.000 usuários
Mais de 600.000 usuários foram afetados por um ataque que comprometeu 16 extensões populares do Chrome, expondo dados e credenciais. Saiba como a segurança de extensões pode ser vulnerável.
Por fim, a vulnerabilidade na API FetchXML permitia que um invasor criasse consultas “orderby” em qualquer coluna da tabela de contatos, ignorando os controles de acesso previamente implementados. Essa falha dava ainda mais liberdade ao atacante, já que não era necessário que a consulta fosse ordenada de forma decrescente.
Essas falhas ressaltam a importância de uma vigilância constante em segurança cibernética, especialmente para grandes empresas, como a Microsoft, que armazenam grandes volumes de dados sensíveis. A correção das vulnerabilidades foi um passo essencial para proteger as informações dos usuários e prevenir o uso indevido de dados pessoais.
