微软Azure新漏洞可导致RCE，研究员获3万美元奖励

发现该漏洞的Ermetic 公司的研究员 Liv Matan 在报告中提到，“该漏洞是通过SCM服务Kudu 上的跨站请求伪造 (CSRF) 实现的。通过利用该漏洞，攻击者可将包含 payload的恶意ZIP文件部署到受害者的Azure应用上。”

Ermetic公司将该漏洞命名为 “EmojiDeploy”，它还可导致敏感信息被盗并横向移动到其它Azure服务。

微软在2022年10月26日收到漏洞报告后已在12月6日将其修复，并颁发3万美元的奖励。微软将Kudu描述为“与基于源控制的部署有关的以及和其它部署方法如Dropbox和OneDrive 同步的Azure App Service多个特性背后的引擎”。

在由Ermetic 部署的假设性攻击链中，攻击者可利用位于Kudu SCM面板中的CSRF漏洞绕过保护措施，通过向 “/api/zipdeploy”端点发布特殊构造请求的方式发动同源攻击，传播恶意文档并获得远程访问权限。

跨站点请求伪造即攻击者诱骗web应用程序的认证用户执行越权命令。该ZIP文件在HTTP请求的主体中编码，使得受害者应用导航至受攻击者控制的域名，而该域名绕过服务器的同源策略托管恶意软件。

研究人员指出，“该漏洞对组织机构的影响取决于应用管理身份的权限。应用最低权限原则可大大限制其影响范围。”

就在几天前，Orca Security 公司发布了服务器端请求伪造攻击的四个实例，这些攻击影响Azure API Management、Azure Functions、Azure Machine Learning 和 Azure Digital Twins。

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~