Cyberthreat.id - Dua kerentanan keamanan "berbahaya" diungkapkan di Microsoft Azure Bastion dan Azure Container Registry yang dapat dieksploitasi untuk melakukan serangan cross-site scripting (XSS).

"Kerentanan memungkinkan akses tidak sah ke sesi korban dalam iframe layanan Azure yang dikompromikan, yang dapat menyebabkan konsekuensi parah, termasuk akses data tidak sah, modifikasi tidak sah, dan gangguan iframe layanan Azure," peneliti keamanan Orca Lidor Ben Shitrit mengatakan dalam sebuah laporan dibagikan dengan The Hacker News.

Serangan XSS terjadi ketika pelaku ancaman menyuntikkan kode arbitrer ke situs web tepercaya, yang kemudian dieksekusi setiap kali pengguna yang tidak menaruh curiga mengunjungi situs tersebut.

Dua kelemahan yang diidentifikasi oleh Orca memanfaatkan kelemahan dalam iframe postMessage, yang memungkinkan komunikasi lintas sumber antara objek Window.

Ini berarti bahwa kekurangan tersebut dapat disalahgunakan untuk menyematkan titik akhir di dalam server jarak jauh menggunakan tag iframe dan pada akhirnya mengeksekusi kode JavaScript berbahaya, yang mengarah ke kompromi data sensitif.

Namun, untuk mengeksploitasi kelemahan ini, pelaku ancaman harus melakukan pengintaian pada berbagai layanan Azure untuk memilih titik akhir rentan yang disematkan dalam portal Azure yang mungkin kehilangan header X-Frame-Options atau Content Security Policies (CSP) yang lemah.

"Begitu penyerang berhasil menyematkan iframe di server jarak jauh, mereka melanjutkan untuk mengeksploitasi endpoint yang salah konfigurasi," jelas Ben Shitrit. "Mereka fokus pada penangan postMessage, yang menangani kejadian jarak jauh seperti postMessages."

Dengan menganalisis postMessage yang sah yang dikirim ke iframe dari portal.azure[.]com, musuh selanjutnya dapat membuat muatan yang sesuai dengan menyematkan iframe yang rentan di server yang dikendalikan aktor (mis., ngrok) dan membuat penangan postMessage yang mengirimkan pesan berbahaya muatan.

Jadi, ketika korban dibujuk untuk mengunjungi titik akhir yang disusupi, "muatan postMessage berbahaya dikirim ke iframe tersemat, memicu kerentanan XSS dan mengeksekusi kode penyerang dalam konteks korban."

Dalam proof-of-concept (PoC) yang didemonstrasikan oleh Orca, sebuah postMessage yang dibuat khusus ternyata mampu memanipulasi eksportir Azure Bastion Topology View SVG atau Mulai Cepat Azure Container Registry untuk menjalankan muatan XSS.

Menyusul pengungkapan kelemahan yang bertanggung jawab pada 13 April dan 3 Mei 2023, Microsoft meluncurkan perbaikan keamanan untuk memulihkannya. Tidak diperlukan tindakan lebih lanjut dari pihak pengguna Azure.

Pengungkapan tersebut terjadi lebih dari sebulan setelah Microsoft memasukkan tiga kerentanan dalam layanan Azure API Management yang dapat disalahgunakan oleh aktor jahat untuk mendapatkan akses ke informasi sensitif atau layanan backend.[]