吳明宜微軟Dynamics 365與Power Apps被揭露3大漏洞,涉及OData與FetchXML API,可能外洩敏感資訊如密碼與電郵,攻擊者可繞過存取控制取得資料,漏洞已於2023年5月修補。
Dynamics 365 與 Power Apps Web API 被安全研究人員揭露,存在 3 個可造成密碼或身份資訊外洩的重大漏洞,微軟已在通報後將之修補。
3 個漏洞是由墨爾本安全廠商 Stratus Security 發現。其中二個是在 Power Platform 的 OData Web API Filter,第三個漏洞在 FetchXML API 。
第一項漏洞 Root cause 是 OData Web API Filter 欠缺存取控制,因而同意存取儲存敏感資訊,像是使用者全名、電話號碼、地址、財務資料和密碼雜湊的聯絡表。這讓攻擊者可利用這漏洞進行布林 (Boolean) 搜尋,接連猜測出全部雜湊字元,以汲取出完整的雜湊。第二項漏洞則是利用同一個 API 中的 orderby clause 以從必要的資料庫表欄位中取得資料(例如 EMailAddress1 指的是聯絡人的主要電子郵箱)。
第三個漏洞是位於 FetchXML API,該漏洞可連同聯絡人表格濫用,利用 orderby 查詢存取原本受限制的欄位。研究人員指出,利用 FetchXML API,攻擊者可以在任何欄位進行 orderby 查詢,完全繞過既有的存取控制,使攻擊更加彈性。而濫用這個漏洞的攻擊者可編譯一個密碼雜湊和電子郵件清單,然後破譯密碼或盜賣資料。
微軟已經在去年 5 月 24 日完成三個漏洞的修補。
同時研究人員也說明,Dynamics 365 和 Power Apps API 三個漏洞的發現也突顯出,持續提高警覺的必要性,尤其是擁有大量資訊的大型企業。