MÜNCHEN (IT BOLTWISE) – Microsoft hat kürzlich kritische Sicherheitslücken in seinen Dynamics 365 und Power Apps Web APIs behoben, die potenziell zu erheblichen Datenexpositionen führen könnten. Diese Schwachstellen, die von dem australischen Cybersicherheitsunternehmen Stratus Security entdeckt wurden, wurden im Mai 2024 geschlossen.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die jüngste Entdeckung von Sicherheitslücken in Microsofts Dynamics 365 und Power Apps Web API hat die Bedeutung von kontinuierlicher Wachsamkeit im Bereich der Cybersicherheit erneut unterstrichen. Diese Schwachstellen, die von Stratus Security aufgedeckt wurden, könnten Angreifern ermöglichen, auf sensible Daten zuzugreifen, was erhebliche Risiken für Unternehmen darstellt, die diese Plattformen nutzen.
Besonders besorgniserregend sind zwei der drei Schwachstellen, die im OData Web API Filter der Power Platform gefunden wurden. Die erste Schwachstelle resultiert aus einem Mangel an Zugriffskontrollen, der es Angreifern ermöglicht, auf die Kontakttabelle zuzugreifen, die sensible Informationen wie vollständige Namen, Telefonnummern, Adressen, Finanzdaten und Passwort-Hashes enthält. Ein Angreifer könnte diese Schwachstelle ausnutzen, um durch eine boolesche Suche die vollständigen Hashes zu extrahieren, indem er jeden Charakter des Hashes nacheinander errät.
Die zweite Schwachstelle betrifft die Verwendung der orderby-Klausel in derselben API, um Daten aus der erforderlichen Datenbanktabellenspalte zu erhalten. Diese Schwachstelle könnte es Angreifern ermöglichen, gezielt auf bestimmte Daten zuzugreifen, indem sie die Sortierfunktion missbrauchen.
Zusätzlich wurde eine Schwachstelle in der FetchXML API entdeckt, die es Angreifern ermöglicht, auf eingeschränkte Spalten zuzugreifen, indem sie eine orderby-Abfrage verwenden. Diese Methode umgeht die bestehenden Zugriffskontrollen und bietet Angreifern eine flexible Möglichkeit, auf sensible Daten zuzugreifen.
Die Behebung dieser Schwachstellen durch Microsoft ist ein wichtiger Schritt zur Sicherung der Daten von Unternehmen, die auf Dynamics 365 und Power Apps angewiesen sind. Dennoch zeigt dieser Vorfall, dass selbst große Unternehmen wie Microsoft nicht immun gegen Sicherheitslücken sind und dass kontinuierliche Sicherheitsüberprüfungen unerlässlich sind.
Die Entdeckung und Behebung dieser Schwachstellen bietet auch eine Gelegenheit, die Sicherheitspraktiken in der Softwareentwicklung zu überdenken und zu verbessern. Unternehmen sollten sicherstellen, dass ihre Systeme regelmäßig auf Schwachstellen überprüft werden und dass sie über robuste Zugriffskontrollen verfügen, um unbefugten Zugriff zu verhindern.
In der Zukunft könnten solche Vorfälle dazu führen, dass Unternehmen verstärkt in Sicherheitslösungen investieren, um ihre Daten zu schützen. Die Bedeutung von Cybersicherheit wird weiter zunehmen, da immer mehr Daten in der Cloud gespeichert werden und die Bedrohungen durch Cyberangriffe zunehmen.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de. Bitte vergiss nicht in deiner eMail die Artikel-Headline zu nennen: "Sicherheitslücken in Microsoft Dynamics 365 und Power Apps Web API geschlossen".
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Sicherheitslücken in Microsoft Dynamics 365 und Power Apps Web API geschlossen" für unsere Leser?
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Sicherheitslücken in Microsoft Dynamics 365 und Power Apps Web API geschlossen" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.