Falhas Graves Corrigidas no Microsoft Dynamics 365 e na API do Power Apps

Em maio de 2024, a Microsoft corrigiu três graves vulnerabilidades de segurança que afetavam o Dynamics 365 e a API Web do Power Apps. As falhas, descobertas pela empresa de segurança cibernética Stratus Security, poderiam permitir a exposição de dados sensíveis, como informações pessoais, hashes de senhas e endereços de e-mail. A correção dessas falhas é um lembrete da importância da segurança cibernética e da necessidade de vigilância contínua em ambientes corporativos.

 

As Vulnerabilidades Identificadas

1. Controle de acesso inadequado no filtro OData Web API

A primeira vulnerabilidade residia no filtro da API Web OData.

  • Problema:
    A API não possuía controles de acesso adequados, permitindo que agentes maliciosos acessassem a tabela de contatos, que continha informações confidenciais como nomes, endereços, dados financeiros e hashes de senhas.

  • Método de exploração:
    Um invasor podia executar consultas booleanas iterativas para adivinhar hashes de senhas. Por exemplo:

    • Enviar a consulta startswith(adx_identity_passwordhash, 'a').
    • Continuar o processo com consultas como startswith(adx_identity_passwordhash, 'aa') ou startswith(adx_identity_passwordhash, 'ab').
    • Repetir até identificar o hash completo.

 

2. Vazamento de dados com cláusula “orderby” no filtro OData Web API

A segunda falha envolvia o uso inadequado da cláusula orderby na API para obter informações específicas da tabela de contatos, como o endereço de e-mail principal (EMailAddress1).

  • Problema:
    A cláusula permitia que invasores contornassem os controles de acesso para acessar informações de colunas restritas.

 

3. Exploração da API FetchXML para ignorar controles de acesso

A terceira vulnerabilidade estava na API FetchXML, usada para consultas avançadas no Dynamics 365.

  • Problema:
    Um invasor podia usar a função orderby em qualquer coluna para acessar dados restritos, ignorando completamente os controles de acesso existentes.

  • Diferença em relação às outras falhas:
    Este método não exigia a ordenação em ordem decrescente, tornando o ataque ainda mais flexível.

 

Impacto das Vulnerabilidades

As falhas poderiam permitir que invasores:

  • Compilassem listas de dados confidenciais: Incluindo hashes de senhas e endereços de e-mail.
  • Quebrassem senhas: Utilizando ataques de força bruta para descriptografar os hashes obtidos.
  • Vendesse ou utilizasse os dados para outros ataques: Como phishing direcionado ou invasão de contas.

 

Exemplos práticos das explorações

1. Exemplo de consulta boolean para descobrir hashes:

startswith(adx_identity_passwordhash, ‘abc’) // Retorna verdadeiro se o hash começar com “abc”.

 

2. Uso da cláusula “orderby” para acessar dados:

<fetchxml>
<entity name=”contact”>
<attribute name=”EMailAddress1″ />
<order attribute=”EMailAddress1″ />
</entity>
</fetchxml>

 

Neste exemplo, um invasor consegue acessar o endereço de e-mail principal de contatos sem os devidos privilégios.

 

 

Medidas tomadas e recomendações

Correções implementadas pela Microsoft

As vulnerabilidades foram corrigidas em atualizações lançadas em maio de 2024, reforçando os controles de acesso na API Web do OData e na API FetchXML.

 

Recomendações para empresas e usuários

  • Atualização contínua de sistemas:

    • Garantir que o Dynamics 365 e o Power Apps estejam sempre na versão mais recente.

  • Monitoramento ativo:

    • Implementar soluções que identifiquem e bloqueiem tentativas de acesso não autorizado.

  • Princípio de menor privilégio:

    • Restringir o acesso às tabelas e funções da API apenas para usuários e sistemas autorizados.

  • Auditorias de segurança:

    • Realizar verificações regulares em APIs expostas para identificar possíveis falhas de segurança.

 

Conclusão

As vulnerabilidades descobertas no Dynamics 365 e no Power Apps são um alerta para a importância de práticas de segurança robustas em sistemas críticos. A correção dessas falhas pela Microsoft demonstra a necessidade de ações proativas para proteger dados sensíveis e evitar explorações maliciosas. Empresas devem adotar uma postura preventiva para mitigar riscos e garantir a segurança de suas informações.

 

Fonte e imagens: https://thehackernews.com/2025/01/severe-security-flaws-patched-in.html