Foram divulgadas duas vulnerabilidades "perigosas" de segurança no Microsoft Azure Bastion e no Azure Container Registry que poderiam ser exploradas para realizar ataques de cross-site scripting (XSS).
"As vulnerabilidades permitiram acesso não autorizado à sessão da vítima dentro do iframe do serviço Azure comprometido, o que pode levar a consequências graves, incluindo acesso não autorizado a dados, modificações não autorizadas e interrupção dos iframes dos serviços Azure", disse o pesquisador de segurança da Orca, Lidor Ben Shitrit, em um relatório compartilhado com o The Hacker News.
Os ataques XSS ocorrem quando os atores ameaçadores injetam código arbitrário em um site confiável, que é executado toda vez que usuários desavisados visitam o site.
As duas falhas identificadas pela Orca exploram uma fraqueza no postMessage iframe, que permite a comunicação entre origens diferentes entre objetos Window.
Isso significava que a falha poderia ser explorada para incorporar pontos finais em servidores remotos usando a tag iframe e, finalmente, executar código JavaScript malicioso, levando à violação de dados sensíveis.
No entanto, para explorar essas fraquezas, um ator de ameaça teria que conduzir reconhecimento em diferentes serviços Azure para identificar pontos finais vulneráveis incorporados no portal Azure que possam ter cabeçalhos X-Frame-Options ausentes ou CSPs fracos.
"Uma vez que o atacante incorporou com êxito o iframe em um servidor remoto, ele procede a explorar o ponto final mal configurado", explicou Ben Shitrit.
"Eles se concentram no manipulador postMessage, que manipula eventos remotos, como postMessages."
Ao analisar os postMessages legítimos enviados ao iframe de portal azure, o adversário pode subsequentemente criar payloads apropriados incorporando o iframe vulnerável em um servidor controlado pelo ator (por exemplo, ngrok) e criando um manipulador postMessage que entrega o payload malicioso.
Assim, quando uma vítima é atraída para visitar o ponto final comprometido, o "payload malicioso do postMessage é entregue ao iframe incorporado, acionando a vulnerabilidade XSS e executando o código do atacante no contexto da vítima".
Após a divulgação responsável das falhas em 13 de abril e 3 de maio de 2023, a Microsoft lançou correções de segurança para remediá-las.
Nenhuma outra ação é necessária por parte dos usuários do Azure.
A divulgação ocorre mais de um mês depois que a Microsoft corrigiu três vulnerabilidades no serviço Azure API Management que poderiam ser exploradas por atores mal-intencionados para obter acesso a informações confidenciais ou serviços de back-end.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...