Sommario
Un’indagine condotta da Stratus Security ha rivelato tre vulnerabilità critiche in Microsoft 365 all’interno delle API Web di Dynamics 365 e Power Apps di Microsoft. Questi difetti mettono a rischio i dati sensibili di milioni di utenti aziendali e settori chiave come finanza, sanità e amministrazioni governative.
Le vulnerabilità critiche in Microsoft 365 scoperte
Le falle sono state individuate durante un test di penetrazione su applicazioni ospitate su Microsoft Power Pages, evidenziando problemi sistematici di controllo degli accessi nelle API.
Vulnerabilità 1: Mancanza di Controllo degli Accessi sull’API OData
La prima vulnerabilità riguarda la capacità di filtrare dati attraverso l’API OData senza rispettare i controlli sugli accessi. Questo difetto consente agli attaccanti di eseguire attacchi di tipo SQL Injection “blind boolean-based”, rivelando colonne non esposte ufficialmente, come hash di password o dati personali.
Vulnerabilità 2: Exploit della Query Orderby
Nonostante una patch iniziale, un’ulteriore falla nel sistema consente di accedere direttamente ai dati sensibili utilizzando una query orderby desc. Questa tecnica rende più facile l’esfiltrazione di informazioni su larga scala, rendendo la vulnerabilità particolarmente pericolosa.
Vulnerabilità 3: Bypass dell’Accesso Attraverso FetchXML
La terza vulnerabilità sfrutta l’API FetchXML, che consente di accedere a colonne protette tramite un’altra variante di query orderby. Questo metodo offre maggiore flessibilità rispetto alle precedenti tecniche, aggravando i rischi di esposizione.
Impatto sulle aziende
Queste vulnerabilità critiche in Microsoft 365 compromettono dati contenuti in tabelle ampiamente utilizzate, come account e contatti, che includono informazioni personali, hash di password, indirizzi e numeri di telefono. Con migliaia di applicazioni che utilizzano Power Pages e Dynamics 365, il potenziale impatto potrebbe colpire milioni di utenti.
Scenari di rischio
- Furto di credenziali: Gli attaccanti possono utilizzare hash di password per compromettere account aziendali, fornendo un accesso iniziale per ulteriori attacchi.
- Vendita di dati sensibili: Informazioni raccolte potrebbero essere vendute su larga scala nel dark web, esponendo aziende e utenti a violazioni successive.
- Danni finanziari: Secondo il rapporto IBM sui costi delle violazioni dei dati, una fuga di 14 milioni di record potrebbe costare oltre 2,3 miliardi di euro.
Soluzioni e azioni di Microsoft
Microsoft ha rilasciato patch per risolvere le vulnerabilità tra febbraio e maggio 2024. Tuttavia, la frequenza con cui queste falle sono state scoperte suggerisce un problema sistemico nella sicurezza delle piattaforme Dynamics 365 e Power Apps.
Stratus Security sottolinea l’importanza di un’analisi profonda del design della piattaforma e delle procedure di sviluppo per prevenire futuri exploit.
Queste vulnerabilità critiche in Microsoft 365 rappresentano un richiamo urgente per le organizzazioni a rafforzare le proprie difese. La sicurezza dei dati richiede attenzione costante, audit regolari e un approccio proattivo alla protezione delle informazioni sensibili.
