Đã xuất hiện thông tin chi tiết về lỗ hổng hiện đã được vá trong Azure Service Fabric Explorer ( SFX ) có thể dẫn đến thực thi mã từ xa không được xác thực.

Lỗ hổng được theo dõi là CVE-2023-23383 (điểm CVSS: 8,2) được Orca Security đặt tên là “Super FabriXss”, một dấu hiệu của lỗ hổng FabriXss (CVE-2022-35829, điểm CVSS: 6,2) đã được Microsoft khắc phục vào tháng 10 năm 2022.

Nhà nghiên cứu bảo mật Lidor Ben Shitrit cho biết trong một báo cáo được chia sẻ với The Hacker News  “Lỗ hổng Super FabriXss cho phép kẻ tấn công từ xa tận dụng lỗ hổng XSS để thực thi mã trên vùng chứa được lưu trữ trên nút Service Fabric mà không cần xác thực”.

XSS đề cập đến một loại tấn công chèn mã phía máy khách cho phép tải các tập lệnh độc hại lên trang web đáng tin cậy khác. Sau đó, các tập lệnh sẽ được thực thi mỗi khi nạn nhân truy cập trang web bị xâm nhập, do đó dẫn đến những hậu quả không lường trước được.

Mặc dù cả FabriXss và Super FabriXss đều là lỗ hổng XSS, nhưng Super FabriXss có tác động nghiêm trọng hơn ở chỗ nó có thể được vũ khí hóa để thực thi mã và có khả năng giành quyền kiểm soát các hệ thống dễ bị tấn công.

Super FabriXss, nằm trong tab “Events” được liên kết với mỗi nút trong cụm từ giao diện người dùng, cũng là một lỗ hổng XSS được phản ánh, nghĩa là tập lệnh được nhúng vào một liên kết và chỉ được kích hoạt khi liên kết được nhấp vào.

Ben Shitrit giải thích: “Cuộc tấn công này lợi dụng các tùy chọn Chuyển đổi loại cụm trong tab event trong nền tảng Cấu trúc dịch vụ cho phép kẻ tấn công ghi đè lên triển khai Soạn thảo hiện có bằng cách kích hoạt bản nâng cấp với một URL được tạo đặc biệt từ Lỗ hổng XSS”.

Lỗ hổng Microsoft Azure

“Bằng cách kiểm soát một ứng dụng hợp pháp theo cách này, kẻ tấn công sau đó có thể sử dụng nó như một nền tảng để khởi động các cuộc tấn công tiếp theo hoặc giành quyền truy cập vào dữ liệu hoặc tài nguyên nhạy cảm.”

Theo Orca, lỗ hổng này ảnh hưởng đến Azure Service Fabric Explorer phiên bản 9.1.1436.9590 trở về trước. Kể từ đó, nó đã được Microsoft giải quyết như một phần của bản cập nhật “Bản vá Thứ Ba”vào tháng 3 năm 2023

Microsoft lưu ý  “Lỗ hổng nằm trong máy khách web, nhưng các tập lệnh độc hại được thực thi trong trình duyệt của nạn nhân chuyển thành các hành động được thực hiện trong cụm (remote). Người dùng sẽ phải nhấp vào tải trọng XSS được lưu trữ do kẻ tấn công đưa vào để bị xâm phạm.”

Tiết lộ được đưa ra khi NetSPI  báo cáo lỗ hổng leo thang đặc quyền trong Ứng dụng chức năng Azure, cho phép người dùng có quyền “chỉ đọc” truy cập thông tin nhạy cảm và thực thi lệnh.

Nó cũng theo sau việc phát hiện ra một cấu hình sai trong Azure Active Directory khiến một số ứng dụng bị truy cập trái phép, bao gồm hệ thống quản lý nội dung (CMS) hỗ trợ Bing.com.

Theo the hacker news

ĐĂNG KÝ NHẬN ĐIỂM TIN: TẠI ĐÂY