Detail telah muncul tentang tiga kerentanan keamanan yang kini telah ditambal di Dynamics 365 dan Power Apps Web API yang dapat mengakibatkan paparan data.
Kelemahan tersebut, ditemukan oleh perusahaan keamanan siber yang berbasis di Melbourne, Stratus Security, telah diatasi pada Mei 2024. Dua dari tiga kekurangan tersebut terdapat pada Filter OData Web API Power Platform, sedangkan kerentanan ketiga berakar pada API FetchXML.
Akar penyebab kerentanan pertama adalah kurangnya kontrol akses pada OData Web API Filter, sehingga memungkinkan akses ke tabel kontak yang menyimpan informasi sensitif seperti nama lengkap, nomor telepon, alamat, data keuangan, dan hash kata sandi.
Aktor ancaman kemudian dapat mempersenjatai kelemahan tersebut untuk melakukan pencarian berbasis boolean untuk mengekstrak hash lengkap dengan menebak setiap karakter hash secara berurutan hingga nilai yang benar teridentifikasi.
“Misalnya, kita mulai dengan mengirimkan startwith(adx_identity_passwordhash, 'a') lalu startwith(adx_identity_passwordhash , 'aa') lalu startwith(adx_identity_passwordhash , 'ab') dan seterusnya hingga mengembalikan hasil yang dimulai dengan ab,” kata Stratus Security .
“Kami melanjutkan proses ini hingga kueri mengembalikan hasil yang dimulai dengan 'ab'. Akhirnya, ketika tidak ada karakter lebih lanjut yang memberikan hasil valid, kami mengetahui bahwa kami telah memperoleh nilai lengkap.”
Kerentanan kedua, di sisi lain, terletak pada penggunaan klausa orderby di API yang sama untuk mendapatkan data dari kolom tabel database yang diperlukan (misalnya, EMailAddress1, yang mengacu pada alamat email utama untuk kontak tersebut).
Terakhir, Stratus Security juga menemukan bahwa FetchXML API dapat dieksploitasi bersama dengan tabel kontak untuk mengakses kolom terbatas menggunakan kueri orderby.
“Saat memanfaatkan FetchXML API, penyerang dapat membuat kueri orderby pada kolom mana pun, sepenuhnya melewati kontrol akses yang ada,” katanya. “Berbeda dengan kerentanan sebelumnya, metode ini tidak mengharuskan orderby berada dalam urutan menurun, sehingga menambahkan lapisan fleksibilitas pada serangan.”
Oleh karena itu, penyerang yang memanfaatkan kelemahan ini dapat menyusun daftar hash kata sandi dan email, kemudian memecahkan kata sandi atau menjual datanya.
“Penemuan kerentanan di Dynamics 365 dan Power Apps API menggarisbawahi pengingat penting: keamanan siber memerlukan kewaspadaan terus-menerus, terutama bagi perusahaan besar yang menyimpan begitu banyak data seperti Microsoft,” kata Stratus Security.
