Uma nova falha crítica de execução remota de código (RCE) foi descoberta e está afetando vários serviços relacionados ao Microsoft Azure.
A pesquisadora Liv Matan da Ermetic, em um relatório compartilhado com o site The Hacker News, afirma:
A vulnerabilidade é alcançada por meio de CSRF (falsificação de solicitação entre sites) no onipresente serviço SCM Kudu.
Ao abusar da vulnerabilidade, os invasores podem implementar arquivos ZIP maliciosos contendo um payload no aplicativo Azure da vítima.
A empresa de segurança de infraestrutura em nuvem, que batizou a vulnerabilidade de EmojiDeploy, disse que esse processo permite o roubo de dados confidenciais e o movimento lateral para outros serviços Azure.
A Microsoft corrigiu a vulnerabilidade em 6 de dezembro de 2022, após a Ermetic comunicá-la em 26 de outubro de 2022, além de conceder um “bug bounty” de U$ 30.000.
O Kudu é o mecanismo por trás de vários recursos no Azure App Service relacionados à implementação com base em controle de origem e outros métodos, como Dropbox e sincronização do OneDrive.
Um cibercriminoso poderia explorar a vulnerabilidade CSRF no painel Kudu SCM para burlar as defesas implementadas que visam impedir ataques de origem cruzada emitindo uma solicitação especialmente criada para o endpoint “/api/zipdeploy” entregando um arquivo malicioso e obtendo acesso remoto.
A falsificação de solicitação entre sites é um vetor de ataque que engana um usuário autenticado de um aplicativo da Web para executar comandos não autorizados em seu nome.
O arquivo ZIP, por sua vez, é codificado no corpo da solicitação HTTP, solicitando que o aplicativo da vítima navegue para um domínio que hospeda o malware. O relatório da Ermetic completa:
O impacto da vulnerabilidade na organização como um todo depende das permissões da identidade gerenciada pelos aplicativos.
Aplicar efetivamente o princípio do menor privilégio pode limitar significativamente o raio de explosão.
Alguns dias atrás, a Orca Security revelou quatro instâncias de ataques de falsificação de solicitação do servidor (SSRF) afetando o Gerenciamento de API Azure, Azure Functions, Azure Machine Learning e Azure Digital Twins.
FONTE: International IT