Une nouvelle faille critique d’exécution de code à distance (RCE) découverte affectant plusieurs services liés à Microsoft Azure pourrait être exploitée par un acteur malveillant pour prendre complètement le contrôle d’une application ciblée.
« La vulnérabilité est obtenue via CSRF (cross-site request forgery) sur le service SCM omniprésent Kudu », a déclaré la chercheuse d’Ermetic, Liv Matan, dans un rapport partagé avec breachtrace. « En abusant de la vulnérabilité, les attaquants peuvent déployer des fichiers ZIP malveillants contenant une charge utile sur l’application Azure de la victime. »
La société israélienne de sécurité des infrastructures cloud, qui a surnommé la lacune EmojiDeploy, a déclaré qu’elle pourrait en outre permettre le vol de données sensibles et le mouvement latéral vers d’autres services Azure.
Microsoft a depuis corrigé la vulnérabilité le 6 décembre 2022, à la suite d’une divulgation responsable le 26 octobre 2022, en plus d’attribuer une prime de bogue de 30 000 $.
Le fabricant de Windows décrit Kudu comme le « moteur derrière un certain nombre de fonctionnalités d’Azure App Service liées au déploiement basé sur le contrôle de source et d’autres méthodes de déploiement comme la synchronisation Dropbox et OneDrive ».
Dans une chaîne d’attaque hypothétique conçue par Ermetic, un adversaire pourrait exploiter la vulnérabilité CSRF dans le panneau Kudu SCM pour vaincre les protections mises en place pour contrecarrer les attaques d’origine croisée en envoyant une demande spécialement conçue au point de terminaison « /api/zipdeploy » pour livrer une archive malveillante (par exemple, un shell Web) et obtenir un accès à distance.
La falsification de requêtes intersites, également connue sous le nom de surf en mer ou session riding, est un vecteur d’attaque par lequel un acteur malveillant trompe un utilisateur authentifié d’une application Web pour qu’il exécute des commandes non autorisées en son nom.
Le fichier ZIP, pour sa part, est encodé dans le corps de la requête HTTP, incitant l’application victime à naviguer vers un domaine de contrôle d’acteur hébergeant le logiciel malveillant via le contournement de la politique de même origine du serveur.
« L’impact de la vulnérabilité sur l’organisation dans son ensemble dépend des autorisations de l’identité gérée des applications », a déclaré la société. « L’application efficace du principe du moindre privilège peut limiter considérablement le rayon de l’explosion. »
Les résultats surviennent quelques jours après qu’Orca Security a révélé quatre instances d’attaques de falsification de requête côté serveur (SSRF) affectant Azure API Management, Azure Functions, Azure Machine Learning et Azure Digital Twins.