最近,微软发布了有关两个严重安全漏洞的警告。这些漏洞存在于Microsoft Azure Bastion和Azure Container Registry中,并允许黑客执行跨站点脚本(XSS)攻击。
漏洞详细信息
据Orca安全研究员Lidor Ben Shitrit在其报告中指出:“这些漏洞允许在受感染的Azure服务iframe中未经授权访问受害者的会话,这可能导致严重后果,包括未经授权的数据访问、未经授权的修改以及Azure服务iframe的中断。”这些漏洞利用了postMessage iframe中的弱点,它可以实现Window对象之间的跨域通信。威胁行为者利用iframe标签将端点嵌入远程服务器,最终执行恶意JavaScript代码,从而导致敏感数据遭到破坏。
漏洞滥用情况
为了利用这些弱点,威胁行为者必须对不同的Azure服务进行侦察,以挑出Azure门户中嵌入的易受攻击的端点。这些端点可能缺少X-Frame-Options标头或内容安全策略(CSP)。通过分析从portal.azure.com发送到iframe的合法postMessages,对手随后可以通过将易受攻击的iframe嵌入到参与者控制的服务器(例如ngrok)中并创建一个传递恶意的postMessage处理程序来制作适当的有效载荷。
利用漏洞
负责Orca的Ben Shitrit在其报告中指出,一旦攻击者成功地将iframe嵌入到远程服务器中,他们将专注于处理postMessages等远程事件的postMessage处理程序。因此,当受害者访问受感染的端点时,“恶意的postMessage有效载荷将被传输到嵌入式iframe,触发XSS漏洞并在受害者的上下文中执行攻击者的代码。”
Microsoft的应对措施
Microsoft已于2023年4月13日和5月3日披露这些漏洞,并推出了安全修复程序来修复这些漏洞。Azure用户无需采取进一步行动。
评论 (0)