Se han revelado dos vulnerabilidades de seguridad «peligrosas» en Microsoft Azure Bastion y Azure Container Registry que podrían haberse aprovechado para llevar a cabo ataques de secuencias de comandos entre sitios (XSS).
«Las vulnerabilidades permitieron el acceso no autorizado a la sesión de la víctima dentro del iframe del servicio de Azure comprometido, lo que puede tener graves consecuencias, incluido el acceso no autorizado a los datos, las modificaciones no autorizadas y la interrupción de los iframes de los servicios de Azure», dijo en un comunicado el investigador de seguridad de Orca, Lidor Ben Shitrit. informe compartido con The Hacker News.
Los ataques XSS tienen lugar cuando los actores de amenazas inyectan código arbitrario en un sitio web confiable, que luego se ejecuta cada vez que los usuarios desprevenidos visitan el sitio.
Las dos fallas identificadas por Orca aprovechan una debilidad en el iframe postMessage, que permite la comunicación de origen cruzado entre los objetos de Windows.
Esto significaba que se podía abusar de la deficiencia para incrustar puntos finales dentro de servidores remotos usando la etiqueta iframe y, en última instancia, ejecutar código JavaScript malicioso, lo que pondría en peligro datos confidenciales.
Sin embargo, para explotar estas debilidades, un actor de amenazas tendría que realizar un reconocimiento en diferentes servicios de Azure para identificar los puntos finales vulnerables integrados en el portal de Azure que pueden tener encabezados de X-Frame-Options faltantes o Políticas de seguridad de contenido ( CSP ) débiles.
«Una vez que el atacante incrusta con éxito el iframe en un servidor remoto, procede a explotar el punto final mal configurado», explicó Ben Shitrit. «Se enfocan en el controlador postMessage, que maneja eventos remotos como postMessages».
Mediante el análisis de los postMessages legítimos enviados al iframe desde portal.azure[.]com, el adversario podría posteriormente crear las cargas apropiadas mediante la incrustación del iframe vulnerable en un servidor controlado por un actor (p. ej., ngrok) y la creación de un controlador de postMessage que entregue el malicioso carga útil.
Por lo tanto, cuando se atrae a una víctima para que visite el punto final comprometido, la «carga maliciosa de postMessage se entrega al iframe incrustado, lo que activa la vulnerabilidad XSS y ejecuta el código del atacante dentro del contexto de la víctima».
En una prueba de concepto (PoC) demostrada por Orca, se descubrió que un postMessage especialmente diseñado podía manipular el exportador SVG de vista de topología de Azure Bastion o el inicio rápido de Azure Container Registry para ejecutar una carga útil XSS.
Luego de la divulgación responsable de las fallas el 13 de abril y el 3 de mayo de 2023, Microsoft implementó correcciones de seguridad para remediarlas. No se requiere ninguna otra acción por parte de los usuarios de Azure.
La divulgación se produce más de un mes después de que Microsoft detectara tres vulnerabilidades en el servicio Azure API Management que podrían ser objeto de abuso por parte de actores malintencionados para obtener acceso a información confidencial o servicios de back-end.
Fuente y redacción: thehackernews.com