據(jù)The Hacker News 6月14日消息，微軟 Azure Bastion 和 Azure Container Registry 披露了兩個(gè)嚴(yán)重的安全漏洞，這些漏洞可能被利用來(lái)執(zhí)行跨站腳本攻擊 (XSS) 。

Orca 安全研究員 Lidor Ben Shitrit 在一份報(bào)告中表示，這些漏洞允許在受感染的 Azure 服務(wù) iframe 中未經(jīng)授權(quán)訪問(wèn)受害者的會(huì)話，從而導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問(wèn)、未經(jīng)授權(quán)的修改以及 Azure 服務(wù) iframe 的中斷。

XSS攻擊發(fā)生在攻擊者將任意代碼注入原本可信任的網(wǎng)站時(shí)，每次當(dāng)毫無(wú)戒心的用戶訪問(wèn)該網(wǎng)站，該代碼就會(huì)被執(zhí)行。

Orca 發(fā)現(xiàn)的兩個(gè)缺陷利用了 postMessage iframe 中的一個(gè)漏洞，從而實(shí)現(xiàn) Window 對(duì)象之間的跨域通信。這意味著該漏洞可能會(huì)被濫用，以使用 iframe 標(biāo)簽將端點(diǎn)嵌入遠(yuǎn)程服務(wù)器，并最終執(zhí)行惡意 JavaScript 代碼，從而導(dǎo)致敏感數(shù)據(jù)遭到破壞。

為了利用這些弱點(diǎn)，攻擊者必須對(duì)不同的 Azure 服務(wù)進(jìn)行偵察，以找出易受攻擊的端點(diǎn)，這些端點(diǎn)可能缺少 X-Frame-Options 標(biāo)頭，或者是內(nèi)容安全策略 ( CSP )薄弱。

“一旦攻擊者成功地將 iframe 嵌入遠(yuǎn)程服務(wù)器，他們就會(huì)繼續(xù)利用配置錯(cuò)誤的端點(diǎn)，”Ben Shitrit 解釋道?！八麄儗Ｗ⒂谔幚?postMessages 等遠(yuǎn)程事件的 postMessage 處理程序?！?/p>

因此，當(dāng)受害者被引誘訪問(wèn)受感染的端點(diǎn)時(shí)，惡意的 postMessage 有效載荷被傳送到嵌入式 iframe，觸發(fā) XSS 漏洞并在受害者的上下文中執(zhí)行攻擊者的代碼。

在 Orca 演示的概念驗(yàn)證 (PoC) 中發(fā)現(xiàn)，特制的 postMessage 能夠操縱 Azure Bastion Topology View SVG 導(dǎo)出器或 Azure Container Registry Quick Start 來(lái)執(zhí)行 XSS 負(fù)載。在于 2023 年 4 月 13 日和 5 月 3 日披露這些漏洞之后，微軟已推出了安全修復(fù)程序來(lái)修復(fù)這些漏洞。