Una nueva falla cr\u00edtica de ejecuci\u00f3n remota de c\u00f3digo (RCE) descubierta que afecta a m\u00faltiples servicios relacionados con Microsoft Azure podr\u00eda ser explotada por un actor malintencionado para tomar el control completo de una aplicaci\u00f3n espec\u00edfica.<\/p>\n
\u201cLa vulnerabilidad se logra a trav\u00e9s de CSRF<\/a> (falsificaci\u00f3n de solicitud entre sitios) en el ubicuo servicio SCM Kudu”, dijo la investigadora de Ermetic Liv Matan dicho<\/a> en un informe compartido con The Hacker News. “Al abusar de la vulnerabilidad, los atacantes pueden implementar archivos ZIP maliciosos que contienen una carga \u00fatil en la aplicaci\u00f3n de Azure de la v\u00edctima”.<\/p>\n La firma israel\u00ed de seguridad de infraestructura en la nube, que denomin\u00f3 la deficiencia EmojiImplementar<\/strong>dijo que podr\u00eda permitir a\u00fan m\u00e1s el robo de datos confidenciales y el movimiento lateral a otros servicios de Azure.<\/p>\n Desde entonces, Microsoft solucion\u00f3 la vulnerabilidad a partir del 6 de diciembre de 2022, luego de la divulgaci\u00f3n responsable el 26 de octubre de 2022, adem\u00e1s de otorgar una recompensa por errores de $ 30,000.<\/p>\n El fabricante de Windows describe<\/a> Kudu como el “motor detr\u00e1s de una serie de caracter\u00edsticas en Azure App Service relacionadas con la implementaci\u00f3n basada en el control de c\u00f3digo fuente y otros m\u00e9todos de implementaci\u00f3n como Dropbox y la sincronizaci\u00f3n de OneDrive”.<\/p>\n En una cadena de ataque hipot\u00e9tica ideada por Ermetic, un adversario podr\u00eda explotar la vulnerabilidad CSRF en el panel Kudu SCM para vencer las salvaguardas establecidas para frustrar ataques de origen cruzado<\/a> mediante la emisi\u00f3n de una solicitud especialmente dise\u00f1ada al punto final “\/api\/zipdeploy” para entregar un archivo malicioso (por ejemplo, web shell) y obtener acceso remoto.<\/p>\n El archivo ZIP, por su parte, est\u00e1 codificado en el cuerpo de la solicitud HTTP, lo que hace que la aplicaci\u00f3n de la v\u00edctima navegue a un dominio de control de actores que aloja el malware a trav\u00e9s del servidor. pol\u00edtica del mismo origen<\/a> derivaci\u00f3n.<\/p>\n La falsificaci\u00f3n de solicitudes entre sitios, tambi\u00e9n conocida como navegaci\u00f3n mar\u00edtima o conducci\u00f3n de sesiones, es un vector de ataque mediante el cual un actor de amenazas enga\u00f1a a un usuario autenticado de una aplicaci\u00f3n web para que ejecute comandos no autorizados en su nombre. <\/p>\n “El impacto de la vulnerabilidad en la organizaci\u00f3n en su conjunto depende de los permisos de la identidad administrada de las aplicaciones”, dijo la compa\u00f1\u00eda. “La aplicaci\u00f3n efectiva del principio de privilegio m\u00ednimo puede limitar significativamente el radio de explosi\u00f3n”.<\/p>\n Los hallazgos llegan d\u00edas despu\u00e9s de que Orca Security revelara cuatro instancias de ataques de falsificaci\u00f3n de solicitudes del lado del servidor (SSRF) que afectaron a Azure API Management, Azure Functions, Azure Machine Learning y Azure Digital Twins.<\/p>\n <\/p>\n![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjvQlzFt8OTcseoPP2x_Oebi3v8lXoEfRIsieNeXAvUQbAghS4f4LoRWYTKCSZxDefY7VC2gdwMBvY0KA3mBpD3RbkHdS0jFniXCl5C5lJbzKwaxKuBzGz03_dwhV100llm_1tzL2CgysEIU6ERnpa3Lczkg2TeWLTTjiiTDjcOIPvdSeYlffAtN5OkEw\/s1800\/new.gif\")
<\/div>\n