Ngày 19 tháng 1 năm 2023Ravie LakshmananBảo mật đám mây / Bảo mật dữ liệu
Một lỗ hổng thực thi mã từ xa (RCE) quan trọng mới được phát hiện ảnh hưởng đến nhiều dịch vụ liên quan đến Microsoft Azure có thể bị kẻ xấu khai thác để chiếm hoàn toàn quyền kiểm soát ứng dụng được nhắm mục tiêu.
Nhà nghiên cứu Ermetic Liv Matan cho biết trong một báo cáo được chia sẻ với The Hacker News: “Lỗ hổng bảo mật đạt được thông qua CSRF (giả mạo yêu cầu giữa các trang web) trên dịch vụ SCM phổ biến Kudu”. “Bằng cách lạm dụng lỗ hổng, kẻ tấn công có thể triển khai các tệp ZIP độc hại có chứa trọng tải cho ứng dụng Azure của nạn nhân.”
Công ty bảo mật cơ sở hạ tầng đám mây của Israel, được mệnh danh là thiếu sót EmojiTriển khaicho biết nó có thể tiếp tục cho phép đánh cắp dữ liệu nhạy cảm và di chuyển sang các dịch vụ Azure khác.
Kể từ đó, Microsoft đã khắc phục lỗ hổng bảo mật kể từ ngày 6 tháng 12 năm 2022, sau khi tiết lộ có trách nhiệm vào ngày 26 tháng 10 năm 2022, ngoài việc trao giải thưởng sửa lỗi trị giá 30.000 đô la.
Nhà sản xuất Windows mô tả Kudu là “công cụ đằng sau một số tính năng trong Dịch vụ ứng dụng Azure liên quan đến triển khai dựa trên kiểm soát nguồn và các phương pháp triển khai khác như đồng bộ hóa Dropbox và OneDrive.”
Trong một chuỗi tấn công giả định do Ermetic nghĩ ra, một kẻ thù có thể khai thác lỗ hổng CSRF trong bảng điều khiển Kudu SCM để đánh bại các biện pháp bảo vệ được áp dụng nhằm ngăn chặn các cuộc tấn công giữa các nguồn gốc bằng cách đưa ra một yêu cầu được tạo đặc biệt tới điểm cuối “/api/zipdeploy” để phân phối một kho lưu trữ độc hại (ví dụ: web shell) và giành quyền truy cập từ xa.
Giả mạo yêu cầu trên nhiều trang web, còn được gọi là lướt biển hoặc cưỡi phiên, là một vectơ tấn công, theo đó kẻ đe dọa lừa người dùng đã được xác thực của ứng dụng web thực hiện các lệnh trái phép thay mặt họ.
Về phần mình, tệp ZIP được mã hóa trong phần thân của yêu cầu HTTP, nhắc ứng dụng nạn nhân điều hướng đến miền kiểm soát diễn viên lưu trữ phần mềm độc hại thông qua bỏ qua chính sách cùng nguồn gốc của máy chủ.
Công ty cho biết: “Tác động của lỗ hổng bảo mật đối với toàn bộ tổ chức phụ thuộc vào quyền của các ứng dụng được quản lý danh tính. “Áp dụng hiệu quả nguyên tắc đặc quyền tối thiểu có thể hạn chế đáng kể bán kính vụ nổ.”
Phát hiện này được đưa ra vài ngày sau khi Orca Security tiết lộ bốn trường hợp tấn công giả mạo yêu cầu phía máy chủ (SSRF) ảnh hưởng đến Quản lý API Azure, Chức năng Azure, Học máy Azure và Azure Digital Twins.
