Uma nova vulnerabilidade que afetou vários serviços relacionados ao Microsoft Azure foi descoberta. A falha pode ser explorada por um hacker que será capaz de assumir completamente o controle de um aplicativo de destino.
“A vulnerabilidade é alcançada por meio de CSRF (falsificação de solicitações entre sites) no onipresente serviço SCM Kudu”, disse Liv Matan, pesquisadora da Ermetic, em um relatório compartilhado com o The Hacker News. “Ao abusar da vulnerabilidade, os invasores podem implantar arquivos ZIP maliciosos contendo uma carga útil no aplicativo Azure da vítima”.
publicidade
Leia mais:
A empresa de segurança de infraestrutura de nuvem deu o nome de EmojiDeploy à vulnerabilidade. O problema pode permitir roubo de dados confidenciais e movimentação lateral para outros serviços do Azure.
A Microsoft corrigiu a vulnerabilidade no dia 6 de dezembro de 2022, após a divulgação realizada no dia 26 de outubro de 2022, além de pagar uma recompensa pela descoberta do bug de US$ 30 mil.
“O impacto da vulnerabilidade na organização como um todo depende das permissões da identidade gerenciada pelos aplicativos”, disse a empresa. “Aplicar efetivamente o princípio do menor privilégio pode limitar significativamente o raio de alcance”.
Em uma cadeia de ataque hipotética desenvolvida pela Ermetic, um adversário poderia explorar a vulnerabilidade CSRF no painel Kudu SCM para derrotar as salvaguardas implementadas para impedir ataques de origem cruzada emitindo uma solicitação especialmente criada para o endpoint “/api/zipdeploy”, para entregar um arquivo malicioso (por exemplo, web shell) e obter acesso remoto.
As descobertas da falha vieram dias depois que a Orca Security revelou quatro instâncias de ataques de falsificação de solicitação do lado do servidor (SSRF), afetando o Gerenciamento de API do Azure, Azure Functions, Azure Machine Learning e Azure Digital Twins.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Fonte: Olhar Digital