-
09/04/2020
-
85
-
553 bài viết
Chi tiết về lỗ hổng "Super FabriXss" trong Microsoft Azure SFX
Thông tin chi tiết về lỗ hổng trong Azure Service Fabric Explorer (SFX) đã được công bố. Lỗ hổng có thể dẫn đến thực thi mã từ xa bởi hacker chưa được xác thực.
Lỗ hổng có mã định danh là CVE-2023-23383 (điểm CVSS: 8,2) và được Orca Security đặt tên là "Super FabriXss". Tên gọi này gợi nhớ tới lỗ hổng FabriXss (CVE-2022-35829, điểm CVSS: 6,2) đã được Microsoft khắc phục vào tháng 10 năm 2022.
“Lỗ hổng Super FabriXss cho phép kẻ tấn công từ xa tận dụng lỗi XSS để thực thi mã từ xa trên container được lưu trữ tại node Service Fabric mà không cần xác thực” - nhà nghiên cứu Lidor Ben Shitrit cho biết trong một báo cáo.
Mặc dù cả FabriXss và Super FabriXss đều là lỗ hổng XSS, nhưng Super FabriXss có tác động nghiêm trọng hơn ở chỗ nó có thể được ‘vũ khí hóa’ để thực thi mã và có khả năng giành quyền kiểm soát các hệ thống tồn tại lỗ hổng.
Super FabriXss cũng là một lỗ hổng reflected XSS, nghĩa là tập lệnh được nhúng vào một liên kết và chỉ được kích hoạt khi liên kết được nhấp vào.
Ben Shitrit giải thích: “Cuộc tấn công này lợi dụng các tùy chọn Chuyển đổi loại cụm trong Tab Sự kiện của nền tảng Service Fabric, cho phép kẻ tấn công ghi đè lên trình Soạn thảo hiện có bằng cách kích hoạt tính năng nâng cấp với một URL được tạo đặc biệt từ Lỗ hổng XSS”.
"Bằng cách kiểm soát một ứng dụng hợp pháp theo cách này, kẻ tấn công sau đó có thể sử dụng nó như một nền tảng để khởi động các cuộc tấn công tiếp theo hoặc giành quyền truy cập vào dữ liệu và tài nguyên nhạy cảm”.
Theo Orca, lỗ hổng này ảnh hưởng đến Azure Service Fabric Explorer phiên bản 9.1.1436.9590 trở về trước. Lỗi đã được Microsoft giải quyết trong bản cập nhật Patch Tuesday vào tháng 3 năm 2023 và được mô tả là một lỗ hổng spoofing.
"Lỗ hổng nằm trong web client, nhưng các tập lệnh độc hại được thực thi trong trình duyệt của nạn nhân chuyển thành các hành động được thực hiện trong cụm (từ xa)”, Microsoft lưu ý. "Nạn nhân sẽ phải nhấp vào payload XSS được lưu trữ do kẻ tấn công đưa vào”.
Các thông tin được tiết lộ khi NetSPI thông báo lỗ hổng leo thang đặc quyền trong Azure Function Apps - lỗ hổng cho phép người dùng có quyền "read only" truy cập thông tin nhạy cảm và thực thi lệnh.
Trước đó, các nhà nghiên cứu cũng phát hiện một cấu hình sai trong Azure Active Directory khiến một số ứng dụng bị truy cập trái phép, bao gồm hệ thống quản lý nội dung (CMS) đằng sau Bing.com.
Công ty bảo mật đám mây Wiz cho biết, lỗ hổng có thể được vũ khí hóa để thay đổi kết quả tìm kiếm trong Bing và thậm chí là thực hiện các cuộc tấn công XSS.
Lỗ hổng có mã định danh là CVE-2023-23383 (điểm CVSS: 8,2) và được Orca Security đặt tên là "Super FabriXss". Tên gọi này gợi nhớ tới lỗ hổng FabriXss (CVE-2022-35829, điểm CVSS: 6,2) đã được Microsoft khắc phục vào tháng 10 năm 2022.
“Lỗ hổng Super FabriXss cho phép kẻ tấn công từ xa tận dụng lỗi XSS để thực thi mã từ xa trên container được lưu trữ tại node Service Fabric mà không cần xác thực” - nhà nghiên cứu Lidor Ben Shitrit cho biết trong một báo cáo.
Mặc dù cả FabriXss và Super FabriXss đều là lỗ hổng XSS, nhưng Super FabriXss có tác động nghiêm trọng hơn ở chỗ nó có thể được ‘vũ khí hóa’ để thực thi mã và có khả năng giành quyền kiểm soát các hệ thống tồn tại lỗ hổng.
Super FabriXss cũng là một lỗ hổng reflected XSS, nghĩa là tập lệnh được nhúng vào một liên kết và chỉ được kích hoạt khi liên kết được nhấp vào.
Ben Shitrit giải thích: “Cuộc tấn công này lợi dụng các tùy chọn Chuyển đổi loại cụm trong Tab Sự kiện của nền tảng Service Fabric, cho phép kẻ tấn công ghi đè lên trình Soạn thảo hiện có bằng cách kích hoạt tính năng nâng cấp với một URL được tạo đặc biệt từ Lỗ hổng XSS”.
"Bằng cách kiểm soát một ứng dụng hợp pháp theo cách này, kẻ tấn công sau đó có thể sử dụng nó như một nền tảng để khởi động các cuộc tấn công tiếp theo hoặc giành quyền truy cập vào dữ liệu và tài nguyên nhạy cảm”.
Theo Orca, lỗ hổng này ảnh hưởng đến Azure Service Fabric Explorer phiên bản 9.1.1436.9590 trở về trước. Lỗi đã được Microsoft giải quyết trong bản cập nhật Patch Tuesday vào tháng 3 năm 2023 và được mô tả là một lỗ hổng spoofing.
"Lỗ hổng nằm trong web client, nhưng các tập lệnh độc hại được thực thi trong trình duyệt của nạn nhân chuyển thành các hành động được thực hiện trong cụm (từ xa)”, Microsoft lưu ý. "Nạn nhân sẽ phải nhấp vào payload XSS được lưu trữ do kẻ tấn công đưa vào”.
Các thông tin được tiết lộ khi NetSPI thông báo lỗ hổng leo thang đặc quyền trong Azure Function Apps - lỗ hổng cho phép người dùng có quyền "read only" truy cập thông tin nhạy cảm và thực thi lệnh.
Trước đó, các nhà nghiên cứu cũng phát hiện một cấu hình sai trong Azure Active Directory khiến một số ứng dụng bị truy cập trái phép, bao gồm hệ thống quản lý nội dung (CMS) đằng sau Bing.com.
Công ty bảo mật đám mây Wiz cho biết, lỗ hổng có thể được vũ khí hóa để thay đổi kết quả tìm kiếm trong Bing và thậm chí là thực hiện các cuộc tấn công XSS.
Nguồn: The Hacker News
Chỉnh sửa lần cuối: