Hace poco, Microsoft abordó y corrigió tres vulnerabilidades críticas que afectaban a dos de sus plataformas más populares: Dynamics 365 y Power Apps Web API. Estas herramientas son fundamentales para muchas empresas que las utilizan diariamente para gestionar datos, automatizar procesos y manejar información confidencial.
Sin embargo, las fallas de seguridad detectadas, que fueron descubiertas por la firma de ciberseguridad Stratus Security, representaban un grave riesgo: podían permitir a atacantes acceder a datos sensibles, como nombres, direcciones, números de teléfono, información financiera e incluso contraseñas.
El problema con la primera vulnerabilidad radica en la falta de control de acceso en el filtro de API web de OData. Esto básicamente permitía que cualquier persona con intenciones maliciosas pudiera acceder a una tabla de contactos que contenía información sensible, como nombres completos, números de teléfono, direcciones, datos financieros e incluso los hashes de contraseñas. Sí, tal cual suena: datos importantes totalmente vulnerables.
Un atacante podría aprovechar esta falla para "jugar" con las consultas y descubrir poco a poco el hash completo de una contraseña. ¿Cómo lo haría? Stratus Security lo explicó con un ejemplo: el atacante empezaría enviando una consulta como startswith(adx_identity_passwordhash, 'a'). Si esto no funciona, prueba con startswith(adx_identity_passwordhash, 'aa'), luego startswith(adx_identity_passwordhash, 'ab'), y así, carácter por carácter, hasta encontrar el valor correcto.
Es un proceso lento pero efectivo, porque al final, cuando ninguna otra consulta devuelve resultados válidos, el atacante termina obteniendo el hash completo de la contraseña. Este tipo de ataques puede parecer tedioso, pero para los cibercriminales, el acceso a información tan valiosa vale completamente el esfuerzo.
La segunda vulnerabilidad está relacionada con el uso de la cláusula orderby en la misma API, lo que permite a un atacante acceder a datos específicos de la base de datos, como la columna de correos electrónicos principales (por ejemplo, EMailAddress1). Esto significa que, con una consulta bien diseñada, un atacante podría extraer datos sensibles sin restricciones aparentes.
Por otro lado, también se descubrió que la API FetchXML podía ser explotada junto con la tabla de contactos para acceder a columnas restringidas. Básicamente, un atacante podría usar una consulta orderby en cualquier columna, evadiendo los controles de acceso existentes. A diferencia de las vulnerabilidades anteriores, este método no requiere que la consulta esté en orden descendente, lo que hace el ataque aún más flexible y peligroso.
Con estas fallas, un ciberdelincuente podría crear una lista completa de correos electrónicos y hashes de contraseñas, lo que abre la puerta a actividades como descifrar las contraseñas, vender los datos o incluso usarlos para acceder a cuentas y sistemas protegidos.
Este tipo de problemas en plataformas tan importantes como Dynamics 365 y Power Apps son un recordatorio contundente de que la ciberseguridad no es opcional. Las empresas que manejan grandes cantidades de datos sensibles necesitan estar siempre un paso adelante para evitar que sus sistemas sean blanco de ataques.
Conoce más sobre: La Primera Vulnerabilidad de 2025 es una Inyección SQL
Es difícil saber con certeza quiénes fueron afectados, pero la lógica apunta a que el alcance podría ser enorme. Aunque Microsoft prohíbe la enumeración de otros inquilinos (es decir, buscar y listar aplicaciones en su infraestructura), un atacante podría usar herramientas bastante comunes, como subfinder, para localizar aplicaciones que operen en powerappsportal.com. Luego, con un vistazo rápido (o un script automatizado), podrían identificar tablas con columnas expuestas a través de las API.
Dada la popularidad de estas herramientas, no sería exagerado pensar que miles, tal vez incluso decenas de miles, de aplicaciones de Power Pages podrían haber sido vulnerables. Este tipo de aplicaciones suelen ser utilizadas por grandes empresas de consultoría, organizaciones sin fines de lucro e incluso instituciones financieras y de salud. Básicamente, cualquier organización que maneje datos sensibles podría haber estado en riesgo.
Las tablas más comunes que podrían haberse visto comprometidas son las de cuentas y contactos, las cuales contienen de todo: nombres, direcciones de correo electrónico, números de teléfono, direcciones físicas, identificaciones gubernamentales y, en algunos casos, incluso información financiera o hashes de contraseñas. En resumen, un paquete completo de datos valiosos para cualquier atacante.
Aunque no hay evidencia concreta de que todos estos datos hayan sido accedidos o filtrados, es razonable asumir que, si la vulnerabilidad existió durante un tiempo, es solo cuestión de tiempo para que alguien la explote. Microsoft cuenta con millones de usuarios en su ecosistema de Power Pages, lo que aumenta la probabilidad de que esta falla haya afectado a un número significativo de ellos.
¿La lección aquí? Este tipo de vulnerabilidades no solo representan un problema técnico, sino que tienen el potencial de impactar la privacidad y la seguridad de muchísimas personas y organizaciones. Por eso, identificar y corregir estas fallas antes de que lleguen a ser explotadas es absolutamente crucial.
Podría interesarte leer: Ataques Explotan Vulnerabilidad Crítica CVE-2024-49112: LDAP Nightmare
El descubrimiento de estas vulnerabilidades en la API de Dynamics 365 y Power Apps es un recordatorio claro de algo que a veces olvidamos: la ciberseguridad no es algo que se pueda descuidar, especialmente para empresas gigantes como Microsoft que manejan enormes cantidades de datos sensibles. Estas fallas no solo exponen riesgos técnicos, sino también posibles daños financieros y a la reputación, lo que puede afectar tanto a las empresas como a los usuarios que dependen de estas plataformas.
El hecho de que se hayan encontrado tres fallas importantes en un período tan corto también revela algo más preocupante: parece haber un problema de fondo en la arquitectura de seguridad de la plataforma. Esto sugiere que podrían existir más vulnerabilidades aún no descubiertas, lo que representa un riesgo constante.