Nouvelle vulnérabilité Microsoft Azure découverte — EmojiDeploy pour les attaques RCE

19 janvier 2023Ravie LakshmananSécurité cloud / Sécurité des données

Une nouvelle faille critique d’exécution de code à distance (RCE) découverte affectant plusieurs services liés à Microsoft Azure pourrait être exploitée par un acteur malveillant pour prendre complètement le contrôle d’une application ciblée.

« La vulnérabilité est obtenue par CSRF (cross-site request forgery) sur le service SCM omniprésent Kudu », chercheuse Ermetic Liv Matan m’a dit dans un rapport partagé avec The Hacker News. « En abusant de la vulnérabilité, les attaquants peuvent déployer des fichiers ZIP malveillants contenant une charge utile sur l’application Azure de la victime. »

La société israélienne de sécurité des infrastructures cloud, qui a qualifié la lacune EmojiDéploiementa déclaré que cela pourrait en outre permettre le vol de données sensibles et le mouvement latéral vers d’autres services Azure.

Microsoft a depuis corrigé la vulnérabilité le 6 décembre 2022, à la suite d’une divulgation responsable le 26 octobre 2022, en plus d’attribuer une prime de bogue de 30 000 $.

Le fabricant de fenêtres décrit Kudu en tant que « moteur derrière un certain nombre de fonctionnalités d’Azure App Service liées au déploiement basé sur le contrôle de code source et d’autres méthodes de déploiement telles que la synchronisation Dropbox et OneDrive ».

Dans une chaîne d’attaque hypothétique conçue par Ermetic, un adversaire pourrait exploiter la vulnérabilité CSRF dans le panneau Kudu SCM pour vaincre les sauvegardes mises en place pour contrecarrer attaques d’origine croisée en envoyant une requête spécialement conçue au point de terminaison « /api/zipdeploy » pour fournir une archive malveillante (par exemple, un shell Web) et obtenir un accès à distance.

La falsification de requêtes intersites, également connue sous le nom de surf en mer ou session riding, est un vecteur d’attaque par lequel un acteur malveillant trompe un utilisateur authentifié d’une application Web pour qu’il exécute des commandes non autorisées en son nom.

Le fichier ZIP, quant à lui, est encodé dans le corps de la requête HTTP, invitant l’application victime à naviguer vers un domaine de contrôle d’acteur hébergeant le malware via le serveur politique de même origine contourne.

« L’impact de la vulnérabilité sur l’organisation dans son ensemble dépend des autorisations de l’identité gérée des applications », a déclaré la société. « L’application efficace du principe du moindre privilège peut limiter considérablement le rayon de l’explosion. »

Les résultats surviennent quelques jours après qu’Orca Security a révélé quatre instances d’attaques de falsification de requête côté serveur (SSRF) affectant Azure API Management, Azure Functions, Azure Machine Learning et Azure Digital Twins.