Mais detalhes surgiram sobre um conjunto de falhas agora corrigidas de script entre sites (XSS) no serviço de análise de código aberto Microsoft Azure HDInsight, que poderia ser usado por um ator de ameaças para realizar atividades maliciosas.
"As vulnerabilidades identificadas consistiam em seis XSS armazenados e duas vulnerabilidades XSS refletidas, cada uma das quais poderia ser explorada para realizar ações não autorizadas, variando de acesso a dados a sequestro de sessão e entrega de payloads maliciosos", disse o pesquisador de segurança da Orca, Lidor Ben Shitrit, em um relatório compartilhado com o The Hacker News.
As questões foram abordadas pela Microsoft como parte de suas atualizações de Patch Tuesday para agosto de 2023.
A divulgação ocorre três meses após problemas semelhantes serem relatados no Azure Bastion e Azure Container Registry, que poderiam ter sido explorados para acesso e modificações de dados não autorizadas.
A lista de falhas é a seguinte -
CVE-2023-35393
(pontuação CVSS: 4.5) - Vulnerabilidade de Suplantação do Azure Apache Hive
CVE-2023-35394
(pontuação CVSS: 4.6) - Vulnerabilidade de Suplantação do Azure HDInsight Jupyter Notebook
CVE-2023-36877
(pontuação CVSS: 4.5) - Vulnerabilidade de Suplantação do Azure Apache Oozie
CVE-2023-36881
(pontuação CVSS: 4.5) - Vulnerabilidade de Suplantação do Azure Apache Ambari
CVE-2023-38188
(pontuação CVSS: 4.5) - Vulnerabilidade de Suplantação do Azure Apache Hadoop
"Um invasor teria que enviar ao alvo um arquivo malicioso que o alvo teria que executar", observou a Microsoft em seus comunicados para os erros.
"Um invasor autorizado com privilégios de convidado deve enviar a um alvo um site malicioso e convencê-los a abri-lo."
Os ataques XSS ocorrem quando um adversário injeta scripts maliciosos em um site legítimo, que posteriormente são executados nos navegadores da web das vítimas ao visitar o site.
Enquanto o XSS refletido visa usuários que são enganados para clicar em um link fraudulento, o XSS armazenado está embutido em uma página da web e afeta todos os usuários que a acessam.
A empresa de segurança em nuvem disse que todas as falhas são resultado de uma falta de sanitização adequada da entrada, que permite a renderização de caracteres maliciosos ao carregar o painel.
"Essas fraquezas permitem coletivamente que um invasor injete e execute scripts maliciosos quando os dados armazenados são recuperados e exibidos para os usuários", observou Ben Shitrit, instando as organizações a implementar validação de entrada adequada e codificação de saída para "garantir que os dados gerados pelo usuário sejam adequadamente sanitizados antes de serem exibidos nas páginas da web."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...