跨站点伪造漏洞将促进微软Azure服务中的远程代码执行 媒体
- 2
微软 Azure 服务中的跨站请求伪造漏洞
关键要点
研究人员在多个 Microsoft Azure 云服务中发现了跨站请求伪造CSRF漏洞,攻击者可以远程执行代码。漏洞源于 Kudu 工具的配置错误和安全绕过,影响了 Azure Functions、Azure App Service 和 Azure Logic Apps 等服务。漏洞被命名为 EmojiDeploy。微软对该漏洞支付了 30000 美元的漏洞奖金,并在 12 月 6 日推出了全球修复措施。研究人员 Ermetic 的发现指出,一项针对 Microsoft Azure 云服务的软件管理工具存在跨站请求伪造漏洞,该漏洞可能使攻击者接管受害者的应用并远程执行代码。该漏洞最早是由研究员 Liv Matan 于 10 月 26 日发现,并报告给了 Microsoft。
该漏洞的产生源于对 Kudu 工具的配置错误和安全绕过的利用,Kudu 是一种后端源代码管理SCM工具,用于管理和修改 web 应用程序,多个大型服务如 Azure Functions、Azure App Service 和 Azure Logic Apps均在使用此工具。
漏洞的名称源于 Kudu 的默认配置,使其容易受到跨站请求伪造攻击。这种方式允许攻击者创建恶意的域名系统DNS记录,通过使用特殊字符来绕过 SCM 服务器的来源检查。在这个实例中,Ermetic 研究人员使用的特殊字符是 “”,看起来像一个表情符号。
接下来,攻击者需要找到一个脆弱的端点,通过浏览器部署恶意的 zip 文件。只需轻击一下,攻击者就能以 www 用户身份运行代码和命令,窃取或删除敏感数据,接管应用的管理身份,并在其他 Azure 服务之间进行横向移动,为未来的网络钓鱼活动铺平道路。
攻击链信息来源:Ermetic
在一次采访中,Matan 表示,他最终关注了 Kudu,因为他意识到如果找到绕过其身份验证协议的方法,将可能提供广泛的访问权限及在多个 Azure 产品中的能力。他提到:“对于我们来说,似乎不可能同时针对所有那些服务,直到我们发现它们之间的共同点。”
据 Ermetic 称,发现漏洞后,微软向其颁发了 30000 美元的 漏洞奖金,在 12 月 6 日推出了全球修复措施。由于漏洞的披露,Ermetic 表示,微软加强了服务器的来源检查,并更改了 Kudu 使用的身份验证会话 cookies 的同站值。
Ermetic 的研究主管 Igal Gofman 说,寻找到 EmojiDeploy 这样的漏洞需要一定的技术技能,但依然需要用户先点击恶意链接才能进行利用。然而,一旦被利用,则攻击者很容易就能妥协 web 应用。
Gofman 进一步指出:“这不是一个小白用户的漏洞,但一旦高级攻击者发现这个漏洞,它就非常容易被利用。”
虽然微软已经修补了 EmojiDeploy 漏洞,但 Ermetic 研究人员建议组织采取若干措施来保护自己免受类似攻击。例如,对于具有广泛权限的后端工具如 Kudu,实施最小权限访问策略可以帮助降低被妥协的潜在损害。
EmojiDeploy 是本周披露的第二个针对主要 Azure 服务的漏洞。
在周二,Orca Security 公开了关于服务器端请求伪造的漏洞研究,影响了 Azure API Management、Azure Functions、Azure Machine Learning 和 Azure Digitals 等服务。
加速器手机版
