Se han revelado dos vulnerabilidades de seguridad “peligrosas” en Microsoft Azure Bastion y Azure Container Registry que podrían haberse aprovechado para llevar a cabo ataques de secuencias de comandos entre sitios (XSS).
“Las vulnerabilidades permitieron el acceso no autorizado a la sesión de la víctima dentro del iframe del servicio de Azure comprometido, lo que puede tener graves consecuencias, incluido el acceso no autorizado a los datos, las modificaciones no autorizadas y la interrupción de los iframes de los servicios de Azure”, dijo Lidor Ben Shitrit, investigador de seguridad de Orca. dicho en un informe compartido con The Hacker News.
Los ataques XSS tienen lugar cuando los actores de amenazas inyectan código arbitrario en un sitio web confiable, que luego se ejecuta cada vez que los usuarios desprevenidos visitan el sitio.
Las dos fallas identificadas por Orca aprovechan una debilidad en el iframe postMessage, que permite la comunicación de origen cruzado entre los objetos de Windows.
Esto significaba que se podía abusar de la deficiencia para incrustar puntos finales dentro de servidores remotos usando la etiqueta iframe y, en última instancia, ejecutar código JavaScript malicioso, lo que pondría en peligro datos confidenciales.
Sin embargo, para explotar estas debilidades, un actor de amenazas tendría que realizar un reconocimiento en diferentes servicios de Azure para identificar los puntos finales vulnerables integrados en el portal de Azure que pueden haber perdido. Opciones de marco X encabezados o políticas de seguridad de contenido débiles (CSP).
“Una vez que el atacante incrusta con éxito el iframe en un servidor remoto, procede a explotar el punto final mal configurado”, explicó Ben Shitrit. “Se enfocan en el controlador postMessage, que maneja eventos remotos como postMessages”.
Mediante el análisis de los mensajes legítimos enviados al iframe desde portal.azure[.]com, el adversario podría posteriormente crear cargas útiles apropiadas al incorporar el iframe vulnerable en un servidor controlado por un actor (p. ej., ngrok) y crear un controlador postMessage que entregue la carga útil maliciosa.
Por lo tanto, cuando se atrae a una víctima para que visite el punto final comprometido, la “carga maliciosa posterior al mensaje se entrega al iframe incrustado, lo que activa la vulnerabilidad XSS y ejecuta el código del atacante dentro del contexto de la víctima”.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
En una prueba de concepto (PoC) demostrada por Orca, se descubrió que un postMessage especialmente diseñado podía manipular el exportador SVG de vista de topología de Azure Bastion o el inicio rápido de Azure Container Registry para ejecutar una carga útil de XSS.
Luego de la divulgación responsable de las fallas el 13 de abril y el 3 de mayo de 2023, Microsoft implementó correcciones de seguridad para remediarlas. No se requiere ninguna otra acción por parte de los usuarios de Azure.
La divulgación se produce más de un mes después de que Microsoft detectara tres vulnerabilidades en el servicio Azure API Management que podrían ser objeto de abuso por parte de actores maliciosos para obtener acceso a información confidencial o servicios de back-end.
About the Author
