.png)
Microsoft Dynamics 365 ve Power Apps Web API'sinde Düzeltme Eki Bulunan Ciddi Güvenlik Açıkları
Dynamics 365 ve Power Apps Web API'sinde verilerin açığa çıkmasına neden olabilecek, şu anda yama uygulanmış üç güvenlik açığı hakkında ayrıntılar ortaya çıktı.
Melbourne merkezli siber güvenlik şirketi Stratus Security tarafından keşfedilen kusurlar, Mayıs 2024 itibarıyla ele alındı. Üç eksiklikten ikisi Power Platform'un OData Web API Filtresi'nde, üçüncü güvenlik açığı ise FetchXML API'sinde bulunur.
İlk güvenlik açığının temel nedeni, OData Web API Filtresi'nde erişim denetiminin olmamasıdır ve bu nedenle tam adlar, telefon numaraları, adresler, finansal veriler ve parola karmaları gibi hassas bilgileri tutan kişiler tablosuna erişim sağlar.
Bir tehdit aktörü daha sonra, doğru değer tanımlanana kadar karmanın her karakterini sırayla tahmin ederek tam karmayı çıkarmak için boole tabanlı bir arama gerçekleştirmek için kusuru silahlandırabilir.
Stratus Security, "Örneğin, startswith(adx_identity_passwordhash, 'a') göndererek başlıyoruz, ardından startswith(adx_identity_passwordhash, 'aa') sonra beginswith(adx_identity_passwordhash, 'ab') ve ab ile başlayan sonuçları döndürene kadar devam ediyoruz" dedi.
"Sorgu 'ab' ile başlayan sonuçlar döndürene kadar bu işleme devam ediyoruz. Sonunda, başka hiçbir karakter geçerli bir sonuç döndürmediğinde, tam değeri elde ettiğimizi biliyoruz."
.jpg)
İkinci güvenlik açığı ise gerekli veritabanı tablosu sütunundan (örneğin, kişinin birincil e-posta adresini ifade eden EMailAddress1) verileri almak için aynı API'deki orderby yan tümcesinin kullanılmasında yatmaktadır.
Son olarak, Stratus Security, FetchXML API'sinin, bir orderby sorgusu kullanarak kısıtlı sütunlara erişmek için kişiler tablosuyla birlikte kullanılabileceğini de buldu.
"FetchXML API'sini kullanırken, bir saldırgan mevcut erişim kontrollerini tamamen atlayarak herhangi bir sütunda bir orderby sorgusu oluşturabilir" dedi. "Önceki güvenlik açıklarından farklı olarak, bu yöntem orderby'nin azalan sırada olmasını gerektirmiyor ve saldırıya bir esneklik katmanı ekliyor."
Bu nedenle, bu kusurları silahlandıran bir saldırgan, parola karmalarının ve e-postaların bir listesini derleyebilir, ardından parolaları kırabilir veya verileri satabilir.
Stratus Security, "Dynamics 365 ve Power Apps API'deki güvenlik açıklarının keşfi, kritik bir hatırlatmanın altını çiziyor: siber güvenlik, özellikle Microsoft gibi çok fazla veri tutan büyük şirketler için sürekli tetikte olmayı gerektiriyor" dedi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı