HackerNews 编译,转载请注明出处:
有关Dynamics 365和Power Apps Web API中三个已修复安全漏洞的详情已公布,这些漏洞存在数据泄露风险。
这些漏洞由墨尔本网络安全公司Stratus Security发现,并于2024年5月得到修复。其中两个漏洞位于Power Platform的OData Web API Filter中,第三个则涉及FetchXML API。
首个漏洞源于OData Web API Filter缺乏访问控制,使得攻击者可访问包含敏感信息的联系人表,如全名、电话号码、地址、财务数据及密码哈希。
攻击者可利用此漏洞进行布尔搜索,通过逐个猜测哈希字符来提取完整哈希,直至找到正确值。
“例如,我们先发送startswith(adx_identity_passwordhash, ‘a’),再发送startswith(adx_identity_passwordhash, ‘aa’),接着是startswith(adx_identity_passwordhash, ‘ab’),依此类推,直至返回以’ab’开头的结果,”Stratus Security指出。
“继续此过程,直至查询返回以’ab’开头的有效结果。当无更多字符返回有效结果时,即表示我们已获取完整值。”
至于微软Dynamics 365和Power Apps Web API的第二个漏洞,则在于利用同一API中的orderby子句从必要数据库表列(如联系人的主要电子邮件地址EMailAddress1)获取数据。
此外,Stratus Security还发现,FetchXML API可与联系人表结合使用,通过orderby查询访问受限列。“使用FetchXML API时,攻击者可针对任意列构建orderby查询,完全绕过现有访问控制,”该公司表示,“与先前漏洞不同,此方法无需orderby以降序排列,为攻击增添了灵活性。”
因此,利用这些漏洞的攻击者可编制密码哈希和电子邮件列表,进而破解密码或出售数据。
“Dynamics 365和Power Apps API中的漏洞再次提醒我们:网络安全需持续警惕,尤其是像微软这样掌握大量数据的大公司,”Stratus Security强调。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
