Hello there, ('ω')ノ

 

不適切な認証により、100,000 を超える

Microsoft Dynamics 365 for Partner User へのアクセスが許可される可能性があるを。

 

脆弱性：

　IDOR

 

記事：

　https://mearegtu.medium.com/broken-access-control-cc6cfd793b15

 

序章：

Microsoft が調整した脆弱性開示の一環として、

攻撃者がMicrosoft Dynamics for 365 パートナー Web サイトのユーザの

個人識別情報 (名、姓、電子メール アドレス、MPN ID など) にアクセスできる

可能性があるダイナミクス ポータル内の重大な脆弱性を。

 

技術的な詳細：

ステップ 0x01：

有効なパートナー アカウントを使用して、

「Dynamics 365 for Partners」ポータルにログインして。

 

https://dynamicspartners.xxxxx.microsoft.com/

 

ステップ 0x02：

上記のアプリケーションは、バックグラウンドで

さまざまな API 呼び出しを呼び出し。

現在ログインしているユーザの詳細を取得して。

次の興味深い API 呼び出しを詳しく分析すると。

 

リクエスト

エンドポイント：/api/Users/email?emailId=maotg@???.onmicrosoft.com
ホスト：landapi-prod.azurewebsites.net
権限：Bearer eyJ....

 

「emailId」パラメータはデフォルトで、

現在ログインしているユーザの電子メール アドレスを受け取って。

 

 

レスポンス

アプリケーションは、現在ログインしているユーザの姓名、電子メール アドレス、

MPNID、AAD プロファイル ID、ロール名などを返して。

 

ステップ 0x03：

[脆弱性／予期しない動作] ここでの 1 つの重要なテスト ケースは、

電子メール アドレスを使用して Dynamics ポータル システムの詳細上の

他のユーザにアクセスしようとしていて。

 

以下は、他の利用者のメールアドレスを利用したシステム情報の不正な閲覧で。

アプリケーションは、

API 呼び出しで追加の承認を確認せずにユーザの詳細を公開して。

この例では、2 番目のテスト アカウントの電子メール アドレスを使用して。

 

リクエスト

エンドポイント：/api/Users/email?emailId=moxxx@???.onmicrosoft.com
ホスト：landapi-prod.azurewebsites.net
権限：Bearer eyJ....

 

 

レスポンス

アプリケーションは、他のアプリケーション ユーザの姓名、電子メール アドレス、

MPNID、AAD プロファイル ID、ロール名などを許可なく公開して。

ただし、この脆弱性を悪用するには、攻撃者はダイナミクス ポータルの

他のサイト ユーザの電子メール アドレスを事前に知っている必要があって。

 

ステップ 0x04：

次の方法は、二次承認なしですべてのユーザ データ (~112MB) を開示して。

このテスト ケースでは、/api/Users/email?emailId=<email address> の代わりに、

API を直接呼び出して /api/Users を直接実行して。

 

リクエスト

エンドポイント：/api/Users
ホスト：landapi-prod.azurewebsites.net
権限：Bearer eyJ....

 

 

レスポンス

112 メガバイトの Web サイト ユーザの詳細

おそらく、100,000 ユーザを超える可能性があって。

 

Best regards, (^^ゞ