Des chercheurs détaillent la grave vulnérabilité « Super FabriXss » dans Microsoft Azure SFX

30 mars 2023Ravie LakshmananSécurité Cloud / Vulnérabilité

Des détails sont apparus sur une vulnérabilité désormais corrigée dans Azure Service Fabric Explorer (Effets spéciaux) qui pourrait conduire à l’exécution de code à distance non authentifié.

Suivi comme CVE-2023-23383 (score CVSS : 8,2), le problème a été surnommé « Super FabriXss » par Orca Security, un clin d’œil à la faille FabriXss (CVE-2022-35829, score CVSS : 6,2) qui a été corrigée par Microsoft en octobre 2022.

« La vulnérabilité Super FabriXss permet aux attaquants distants d’exploiter une vulnérabilité XSS pour réaliser l’exécution de code à distance sur un conteneur hébergé sur un nœud Service Fabric sans avoir besoin d’authentification », a déclaré le chercheur en sécurité Lidor Ben Shitrit. a dit dans un rapport partagé avec The Hacker News.

XSS fait référence à une sorte de injection de code côté client attaque qui permet de télécharger des scripts malveillants sur des sites Web autrement fiables. Les scripts sont ensuite exécutés chaque fois qu’une victime visite le site Web compromis, entraînant ainsi des conséquences imprévues.

Bien que FabriXss et Super FabriXss soient tous deux des failles XSS, Super FabriXss a des implications plus graves dans la mesure où il pourrait être armé pour exécuter du code et potentiellement prendre le contrôle de systèmes sensibles.

Super FabriXss, qui réside dans l’onglet « Événements » associé à chaque nœud du cluster à partir de l’interface utilisateur, est également une faille XSS reflétée, ce qui signifie que le script est intégré dans un lien et n’est déclenché que lorsque le lien est cliqué.

« Cette attaque tire parti des options de basculement du type de cluster sous l’onglet Événements de la plate-forme Service Fabric qui permet à un attaquant d’écraser un déploiement Compose existant en déclenchant une mise à niveau avec une URL spécialement conçue à partir de XSS Vulnerability », a expliqué Ben Shitrit.

« En prenant le contrôle d’une application légitime de cette manière, l’attaquant peut alors l’utiliser comme plate-forme pour lancer d’autres attaques ou accéder à des données ou ressources sensibles. »

La faille, selon Orca, affecte Azure Service Fabric Explorer version 9.1.1436.9590 ou antérieure. Il a depuis été traité par Microsoft dans le cadre de sa mise à jour Patch Tuesday de mars 2023, le géant de la technologie le décrivant comme une vulnérabilité d’usurpation d’identité.

« La vulnérabilité se trouve dans le client Web, mais les scripts malveillants exécutés dans le navigateur de la victime se traduisent par des actions exécutées dans le cluster (distant) », Microsoft indiqué dans son avis. « Un utilisateur victime devrait cliquer sur la charge utile XSS stockée injectée par l’attaquant pour être compromis. »

La divulgation intervient alors que NetSPI a révélé un faille d’élévation de privilèges dans Azure Function Apps, permettant aux utilisateurs disposant d’autorisations « en lecture seule » d’accéder à des informations sensibles et d’obtenir l’exécution de commandes.

Cela fait également suite à la découverte d’une mauvaise configuration dans Azure Active Directory qui a exposé un certain nombre d’applications à un accès non autorisé, y compris un système de gestion de contenu (CMS) qui alimente Bing.com.

La société de sécurité cloud Wiz, qui a donné le nom de code à l’attaque Bing-banga déclaré qu’il pourrait être utilisé comme arme pour modifier les résultats de recherche dans Bing, et pire, même pour effectuer des attaques XSS sur ses utilisateurs.