Recentemente, foram revelados detalhes sobre três vulnerabilidades críticas, agora corrigidas, no Microsoft Dynamics 365 e na API Web do Power Apps, que poderiam expor dados sensíveis. Essas falhas foram descobertas pela empresa de cibersegurança australiana Stratus Security e corrigidas pela Microsoft em maio de 2024. Duas das vulnerabilidades estavam no OData Web API Filter do Power Platform, enquanto a terceira residia na API FetchXML.
A primeira falha estava relacionada à ausência de controles de acesso adequados no OData Web API Filter, permitindo o acesso à tabela de contatos. Essa tabela armazenava informações sensíveis, incluindo nomes completos, números de telefone, endereços, dados financeiros e hashes de senhas. Um invasor poderia explorar essa brecha para realizar ataques de busca booleana e extrair hashes de senhas, testando cada caractere sequencialmente até obter o valor completo.
Segundo a Stratus Security, o método funciona ao enviar consultas como startswith(adx_identity_passwordhash, ‘a’), ajustando o prefixo até que o resultado seja válido, permitindo a reconstrução gradual do hash. A segunda vulnerabilidade explorava o uso da cláusula orderby na mesma API para acessar informações de colunas sensíveis, como o endereço de e-mail primário armazenado na tabela de contatos (EMailAddress1). Assim como a primeira falha, essa brecha permitia a extração de dados de maneira não autorizada.
Já a terceira vulnerabilidade foi encontrada na API FetchXML, que podia ser explorada em conjunto com a tabela de contatos para acessar colunas restritas usando consultas orderby. Diferentemente das outras falhas, essa abordagem não exigia o uso de ordenação em ordem decrescente, oferecendo maior flexibilidade aos invasores. Essas vulnerabilidades poderiam ser utilizadas para compilar listas de hashes de senhas e e-mails, que, posteriormente, poderiam ser quebrados ou vendidos no mercado clandestino. A exploração dessas falhas representa um risco significativo, dado o volume de dados sensíveis armazenados por empresas de grande porte que utilizam essas ferramentas.