Severe Security Flaws Patched in Microsoft Dynamics 365 and Power Apps Web API
- 발견된 취약점
- OData Web API Filter에서 두 가지 취약점이 발견됨
- 첫 번째: 접근 제어 결여로 인해 연락처 테이블에 저장된 민감 정보(이름, 전화번호, 주소, 금융 데이터, 암호 해시 등)에 접근 가능
- 두 번째: orderby 절을 사용해 특정 열 데이터를 추출 가능 (예: EMailAddress1, 주 이메일 주소)
- FetchXML API의 취약점
- orderby 쿼리를 사용해 제한된 열의 데이터에 접근 가능
- 기존의 접근 제어를 우회할 수 있으며, 추가적인 유연성을 제공
- OData Web API Filter에서 두 가지 취약점이 발견됨
- 구체적인 공격 방식
- 첫 번째 취약점: Boolean 기반 검색으로 암호 해시를 추출
- 예:
startswith(adx_identity_passwordhash, 'a'),startswith(adx_identity_passwordhash, 'aa')등으로 문자 하나씩 확인 - 올바른 값이 반환될 때까지 반복하여 전체 해시 값을 확보
- 예:
- 두 번째 및 세 번째 취약점: orderby 절을 사용해 제한된 데이터에 접근
- FetchXML API에서는 내림차순 정렬 조건 없이도 공격 가능
- 첫 번째 취약점: Boolean 기반 검색으로 암호 해시를 추출
- 위험성과 잠재적 영향
- 공격자는 이메일 주소와 암호 해시 목록을 수집 가능
- 수집된 암호 해시는 크래킹 후 악용되거나 판매될 수 있음
- 기업 및 개인의 데이터 유출 위험 증가
- 패치 현황
- 해당 취약점은 2024년 5월 기준으로 패치 완료
- Microsoft Dynamics 365 및 Power Apps 사용자에게 최신 버전 업데이트 권장
- 결론
- 접근 제어 강화 및 API 사용 정책 개선 필요
- 보안 테스트와 취약점 관리를 정기적으로 수행해야 함
- 민감 데이터 접근 시 추적 및 로깅 기능 강화
- 기업은 보안 투자와 사용자 데이터 보호에 지속적으로 집중해야 함
'Kant's IT > Vulnerability' 카테고리의 다른 글
| 미국에서 공개된 삼성 제로 클릭 취약점 (0) | 2025.01.20 |
|---|---|
| 이반티 VPN 취약점 악용한 제로데이 공격 사례와 보안 대응 방안 (0) | 2025.01.20 |
| 포페이스(Four-Faith) 산업용 라우터 취약점: CVE-2024-12856 (0) | 2025.01.15 |
| 디링크 오래된 장비에서 발견된 취약점 악용 사례 분석 (0) | 2025.01.14 |
| 7-Zip 0-Day 취약점 주장 논란: 사실 여부와 보안 권고 (0) | 2025.01.14 |