Pesquisadores descobrem falhas de XSS nos serviços do Azure

Da Redação
14/06/2023

Especialistas em cibersegurança da Orca Security identificaram duas vulnerabilidades críticas de cross-site scripting (XSS) nos serviços do Microsoft Azure. As falhas, que exploravam um ponto fraco no iframe postMessage, poderiam ter exposto os usuários da plataforma de nuvem a possíveis violações de segurança.

As vulnerabilidades foram encontradas no Azure Bastion e no Azure Container Registry – dois serviços comumente usados no ecossistema do Azure. “Apesar de vários aprimoramentos de segurança do Azure para mitigar a vulnerabilidade postMessage iframe XSS, ainda conseguimos descobrir dois serviços do Azure — Azure Bastion e Azure Container Registry — que eram exploráveis por meio dessa vulnerabilidade”, escreveu Orca em um relatório publicado nesta quarta-feira, 14.

A primeira delas está no manuseio incorreto do manipulador postMessage, que permitiu que os invasores explorassem três casos distintos de postMessage. Ao enviar um postMessage especialmente criado, os invasores podem executar scripts maliciosos, comprometendo potencialmente as sessões do usuário e os dados confidenciais.

Enquanto isso, a falha do Azure Container Registry permitiria que invasores injetassem e executassem scripts arbitrários no contexto do registro de contêiner. Isso possibilitaria que manipulassem o comportamento do aplicativo da web afetado e potencialmente roubassem informações confidenciais ou executassem ações não autorizadas.

Veja isso
Microsoft: queda de portal do Azure ocorreu por pico de tráfego 
Hackers usam console do Azure para acesso a máquinas virtuais

“As vulnerabilidades permitiriam acesso não autorizado à sessão da vítima dentro do iframe do serviço Azure comprometido, o que pode levar a consequências graves, incluindo acesso não autorizado a dados, modificações não autorizadas e interrupção dos iframes de serviços do Azure”, escreveu Orca.

A empresa relatou prontamente as vulnerabilidades à Microsoft. “Após a descoberta dessas vulnerabilidades, informamos imediatamente o Microsoft Security Response Center (MSRC), que conseguiu reproduzir os problemas.” “Ambas as vulnerabilidades foram corrigidas e verificadas, sem nenhuma ação adicional exigida pelos usuários do Azure”, diz o relatório.

A publicação ocorre três meses depois que a Orca Security divulgou informações sobre uma falha separada no Azure Service Fabric Explorer (SFX) da Microsoft, que eles chamaram de “Super FabriXss”.

Compartilhar: