Microsoft Azure’un hizmetlerinde “bir saldırganın iframe-postMessages kullanarak siteler arası komut dosyası çalıştırma (XSS) gerçekleştirmesine olanak tanıyan Azure Bastion ve Azure Container Registry’de” iki bulut güvenlik açığı bulundu. [and] Orca Security’ye göre, güvenliği ihlal edilmiş Azure hizmeti iframe’i içinde kurbanın oturumuna yetkisiz erişim sağladı.
Orca, hataların keşfedilmesinden hemen sonra Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) haber verdi. MSRC, yama uygulamak ve doğrulamak için güvenlik açıklarının varlığından haberdar edildikten sonra sorunları yeniden oluşturabildi.
Siteler arası komut dosyası oluşturma (XSS), bir tehdit aktörünün güvenilir bir web sitesine kötü amaçlı komut dosyaları enjekte ettiği ve sonuçta kullanıcıların tarayıcıları tarafından bilmeden yürütülen bir olaydır. Orca Security, bu noktada, tehdit aktörlerinin yetkisiz erişim sağlayabileceği, ağ sistemlerini tehlikeye atabileceği ve hatta verileri çalabileceği için bunun ciddi sonuçlara yol açabileceğini belirtti.
Bununla birlikte, Contrast Security’de CISO olan David Lindner, e-postayla gönderilen bir açıklamada, “Bu güvenlik açıkları, bir kurbanın kötü niyetli aktörün kontrol ettiği güvenliği ihlal edilmiş bir uç noktayı ziyaret etmesi için cezbedilmesini gerektiriyor” yorumunu yaptı. “Microsoft bunu düzeltmeli mi? Büyük olasılıkla, ancak bunları hiçbir şekilde ciddi olarak nitelendirmem. Herhangi biri saldırgan kontrollü bir uç noktaya çekilirse, zaten tüm bahisler iptal olur.”
Düzeltmeler otomatik olduğundan, Azure kullanıcılarının başka bir işlem yapmasına gerek yoktur, ancak uzlaşma işaretleri aramak isteyebilirler.