Foi descoberta uma nova vulnerabilidade que afetou diversos serviços relacionados ao Microsoft Azure. Se explorada por um hacker, a falha pode permitir assumir completamente o controle de um aplicativo de destino.
“A vulnerabilidade é alcançada por meio de CSRF (falsificação de solicitações entre sites) no onipresente serviço SCM Kudu”, disse a pesquisadora da Ermetic, Liv Matan, em um relatório compartilhado com o The Hacker News. “Ao abusar da vulnerabilidade, os invasores podem implantar arquivos ZIP maliciosos contendo uma carga útil no aplicativo Azure da vítima”.
A vulnerabilidade foi nomeada como EmojiDeploy. O problema pode permitir roubo de dados confidenciais e movimentação lateral para outros serviços do Azure.
A Microsoft corrigiu a vulnerabilidade no dia 6 de dezembro de 2022, após a divulgação realizada no dia 26 de outubro de 2022, além de pagar uma recompensa pela descoberta do bug de US$ 30 mil.
“O impacto da vulnerabilidade na organização como um todo depende das permissões da identidade gerenciada pelos aplicativos”, disse a empresa. “Aplicar efetivamente o princípio do menor privilégio pode limitar significativamente o raio de alcance”.
Em uma cadeia de ataque hipotética desenvolvida pela Ermetic, um adversário poderia explorar a vulnerabilidade CSRF no painel Kudu SCM para derrotar as salvaguardas implementadas para impedir ataques de origem cruzada emitindo uma solicitação especialmente criada para o endpoint “/api/zipdeploy”, para entregar um arquivo malicioso (por exemplo, web shell) e obter acesso remoto.
As descobertas da falha vieram dias depois que a Orca Security revelou quatro instâncias de ataques de falsificação de solicitação do lado do servidor (SSRF), afetando o Gerenciamento de API do Azure, Azure Functions, Azure Machine Learning e Azure Digital Twins.