微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞

Orca 公司的安全研究员表示，“这些漏洞可导致攻击者越权访问受陷 Azure 服务iframe中的受害者会话，导致严重后果如越权数据访问、越权修改以及Azure 服务iframe中断等。”

当威胁行动者将任意代码注入受信任的网站中并最后在用户每次访问执行时，就会触发XSS攻击。这两个漏洞是 Orca 利用 postMessage iframe中一个漏洞时发现的，可导致 Windows 对象之间进行跨源通信。这意味着该漏洞可被用于通过iframe标记在远程服务器中嵌入端点并最终执行恶意 JavaScript 代码，从而攻陷敏感数据。

然而，要利用这些弱点，攻击者必须在不同的 Azure 服务上开展侦查活动，找到 Azure 门户中的易受攻击端点，它们可能缺失 X-Frame-Options 标头或弱内容安全策略 (CSPs)。

Ben Shitrit 解释称，“攻击者成功将iframe嵌入远程服务器后，会接着利用配置不当的端点。他们主要关注 postMessages 句柄，用于处理远程事件如 postMessages。”通过分析从 portal.azure[.]com 发送给该iframe的合法 postMessages，攻击者通过将易受攻击的iframe嵌入到受其控制的服务器并创建用于交付恶意 payload 的 postMesage 句柄，就可构建合适的 payload。”随后将受害者诱骗访问受陷端点，“恶意 poastMessage payload 就被交付到嵌入式的iframe中，触发 XSS 漏洞并在受害者情境中执行攻击者的代码。”

从研究员发布的 PoC 演示来看，他们构造的 postMessage 可用于操控 Azure Bastion Topology View SVG 导出器或 Azure Container Registry Quick Star，执行 XSS payload。

研究员在2023年4月13日和5月3日将这两个漏洞告知微软，后者推出补丁予以修复。Azure 用户无需任何附加操作。一个多月前，微软修复了 Azure API 管理服务中的三个漏洞，它们可被用于获取对敏感信息或后端服务的访问权限。