Deux vulnérabilités de sécurité « dangereuses » ont été révélées dans Microsoft Azure Bastion et Azure Container Registry qui auraient pu être exploitées pour mener des attaques de type cross-site scripting (XSS).
« Les vulnérabilités ont permis un accès non autorisé à la session de la victime dans l’iframe du service Azure compromis, ce qui peut entraîner de graves conséquences, notamment un accès non autorisé aux données, des modifications non autorisées et une interruption des iframes des services Azure », a déclaré Lidor Ben Shitrit, chercheur en sécurité chez Orca. a dit dans un rapport partagé avec The Hacker News.
Les attaques XSS ont lieu lorsque des acteurs malveillants injectent du code arbitraire dans un site Web par ailleurs fiable, qui est ensuite exécuté chaque fois que des utilisateurs sans méfiance visitent le site.
Les deux failles identifiées par Orca tirent parti d’une faiblesse dans l’iframe postMessage, qui permet une communication cross-origin entre les objets Window.
Cela signifiait que la lacune pouvait être exploitée pour intégrer des points de terminaison dans des serveurs distants à l’aide de la balise iframe et finalement exécuter du code JavaScript malveillant, entraînant la compromission de données sensibles.
Cependant, afin d’exploiter ces faiblesses, un acteur malveillant devrait effectuer une reconnaissance sur différents services Azure pour identifier les points de terminaison vulnérables intégrés au portail Azure qui pourraient manquer X-Frame-Options en-têtes ou politiques de sécurité de contenu faibles (CSP).
« Une fois que l’attaquant a intégré avec succès l’iframe dans un serveur distant, il continue à exploiter le point de terminaison mal configuré », a expliqué Ben Shitrit. « Ils se concentrent sur le gestionnaire postMessage, qui gère les événements distants tels que postMessages. »
En analysant les postMessages légitimes envoyés à l’iframe depuis portal.azure[.]com, l’adversaire pourrait ensuite créer des charges utiles appropriées en intégrant l’iframe vulnérable dans un serveur contrôlé par un acteur (par exemple, ngrok) et en créant un gestionnaire postMessage qui délivre la charge utile malveillante.
Ainsi, lorsqu’une victime est amenée à visiter le point de terminaison compromis, « la charge utile postMessage malveillante est transmise à l’iframe intégré, déclenchant la vulnérabilité XSS et exécutant le code de l’attaquant dans le contexte de la victime ».
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Dans une preuve de concept (PoC) démontrée par Orca, un postMessage spécialement conçu s’est avéré capable de manipuler l’exportateur SVG Azure Bastion Topology View ou Azure Container Registry Quick Start pour exécuter une charge utile XSS.
Suite à la divulgation responsable des failles les 13 avril et 3 mai 2023, Microsoft a déployé des correctifs de sécurité pour les corriger. Aucune action supplémentaire n’est requise de la part des utilisateurs d’Azure.
La divulgation intervient plus d’un mois après que Microsoft a corrigé trois vulnérabilités dans le service Azure API Management qui pourraient être exploitées par des acteurs malveillants pour accéder à des informations sensibles ou à des services backend.