Eine neue kritische Schwachstelle, die mehrere Dienste von Microsoft Azure betrifft, kann von einem böswilligen Akteur ausgenutzt werden, um die vollständige Kontrolle über eine Anwendung zu übernehmen.
„Die Schwachstelle wird durch CSRF (Cross-Site Request Forgery) im allgegenwärtigen SCM-Dienst Kudu ausgenutzt“, so Ermetic-Forscher Liv Matan in einem Bericht an The Hacker News. „Indem sie die Schwachstelle ausnutzen, können Angreifer bösartige ZIP-Dateien mit einer Nutzlast in die Azure-Anwendung des Opfers einspeisen.
Das israelische Sicherheitsunternehmen für Cloud-Infrastrukturen, das die Schwachstelle EmojiDeploy nannte, sagte, dass sie den Diebstahl sensibler Daten und das Abwandern zu anderen Azure-Diensten ermöglichen könnte.
Microsoft hat die Schwachstelle nach der verantwortungsvollen Offenlegung am 26. Oktober 2022 inzwischen behoben und zusätzlich ein Bug Bounty in Höhe von 30.000 Dollar ausgelobt.
Der Windows-Hersteller beschreibt Kudu als die „Engine hinter einer Reihe von Funktionen in Azure App Service, die mit der quellkontrollbasierten Bereitstellung und anderen Bereitstellungsmethoden wie Dropbox und OneDrive Sync zusammenhängen“.
In einer hypothetischen Angriffskette, die von Ermetic entwickelt wurde, könnte ein Angreifer die CSRF-Schwachstelle im Kudu SCM-Panel ausnutzen, um die Sicherheitsvorkehrungen zur Verhinderung von Cross-Origin-Angriffen zu umgehen, indem er eine speziell gestaltete Anfrage an den Endpunkt „/api/zipdeploy“ sendet, um ein bösartiges Archiv (z. B. eine Web-Shell) zu übermitteln und Fernzugriff zu erlangen.
Cross-Site Request Forgery, auch bekannt als Sea Surf oder Session Riding, ist ein Angriffsvektor, bei dem ein Bedrohungsakteur einen authentifizierten Benutzer einer Webanwendung dazu bringt, in seinem Namen unautorisierte Befehle auszuführen.
Die ZIP-Datei ihrerseits ist im Body der HTTP-Anfrage verschlüsselt und veranlasst die Opferanwendung, unter Umgehung der Same-Origin-Policy des Servers zu einer vom Akteur kontrollierten Domäne zu navigieren, die die Malware enthält.
„Die Auswirkungen der Schwachstelle auf das gesamte Unternehmen hängen von den Berechtigungen der Anwendungen ab, die die Identität verwalten“, so das Unternehmen. „Die wirksame Anwendung des Prinzips der geringsten Privilegien kann den Radius des Angriffs erheblich einschränken.
Die Ergebnisse kommen wenige Tage, nachdem Orca Security vier Fälle von Server-seitigen Request Forgery (SSRF)-Angriffen aufgedeckt hat, die Azure API Management, Azure Functions, Azure Machine Learning und Azure Digital Twins betreffen.