PostMessage iframe’deki bir kusurdan yararlanarak Siteler Arası Komut Dosyası Çalıştırmaya (XSS) izin veren Azure hizmetlerinde, Azure Bastion ve Azure Container Registry’de iki ciddi güvenlik açığı keşfedildi.
Siteler arası komut dosyası oluşturma (XSS), bir tehdit aktörü tarafından güvenilir bir web sitesine enjekte edildikten sonra kullanıcıların tarayıcıları tarafından istemeden yürütülen kötü amaçlı komut dosyalarıdır.
Tehdit aktörleri yetkisiz erişim elde edebilir, ağ sistemlerini tehlikeye atabilir ve hatta bu gerçekleştiğinde verileri çalabilir.
Orca Security, güvenlik açıklarını düzeltmesi ve doğrulaması için Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) bildirimde bulundu; MSRC, farkına varıldıktan sonra sorunları yeniden üretebilir.
Raporlara göre, her iki güvenlik açığı da doğrulandı ve giderildi, bu da Azure müşterilerinin başka bir işlem yapmasını gerektirmiyor.
Gömülü postMessage IFrame’leri ile XSS Saldırı Akışı
Uygulamalar, mesajları bir pencereden diğerine postMessages kullanarak iletir. PostMesajların da birçok güvenlik etkisi vardır ve düzgün yapılmazlarsa önemli bir güvenlik riski oluşturabilirler.
Araştırmacılar, “Azure Bastion ve Azure Container Registry’de keşfettiğimiz postMessage iframe güvenlik açığı, saldırganların iframe etiketini kullanarak uç noktaları uzak sunuculara yerleştirmesine izin verdi” dedi.
Siber güvenlik ekibi, bu kusuru uygun olmayan postMessage kaynak doğrulamasıyla birlikte kullanarak, saldırganların kötü amaçlı javascript kodu yürüterek hassas verileri tehlikeye atmış olabileceğini öğrendi.
Ek olarak, bir tehdit aktörünün, Azure portalı içinde gömülü olan ve X-Frame-Options üstbilgileri eksik olabilecek veya İçerik Güvenliği İlkeleri (CSP’ler) zayıf olabilecek savunmasız uç noktaları belirlemek için çeşitli Azure hizmetlerinde keşif yapması gerekir.
Ardından saldırgan, zayıf iframe’i aktör tarafından kontrol edilen bir sunucuya (ngrok gibi) gömerek ve portal.azure’den iframe’e teslim edilen geçerli postMessage’ları analiz ettikten sonra kötü amaçlı yükü gönderen bir postMessage işleyicisi geliştirerek gerekli yükleri oluşturabilir.[.]com.
Araştırmacılar, “Kurban sayfaya eriştiğinde, kötü amaçlı postMessage yükü gömülü iframe’e teslim edilerek XSS güvenlik açığını tetikler ve saldırganın kodunu kurbanın bağlamında yürütür” dedi.
Bunun sonucunda, verilere yetkisiz erişim, yönetici haklarının kaybı, veri hırsızlığı, yetkisiz değişiklikler veya Azure hizmetlerinin kesintiye uğraması gibi önemli sonuçlar ortaya çıkabilir.
Azure Bastion Topology View SVG dışa aktarıcısının veya Azure Container Registry Quick Start’ın, Orca tarafından sunulan bir kavram kanıtlamasında (PoC) özel olarak oluşturulmuş bir postMessage tarafından manipülasyona açık olduğu bulundu. Bu, bir XSS’nin yükünün yürütülmesine izin verdi.
Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin