Un nuevo error crítico de ejecución remota de código (RCE) descubierto que afecta a varios servicios relacionados con Microsoft Azure podría ser explotado por un actor malintencionado para tomar completamente el control de una aplicación específica.
“La vulnerabilidad se logra a través de CSRF (falsificación de solicitudes entre sitios) en el ubicuo servicio SCM Kudu”, dijo la investigadora de Ermetic Liv Matan en un informe. “Al abusar de la vulnerabilidad, los atacantes pueden implementar archivos ZIP maliciosos que contienen una carga útil en la aplicación Azure de la víctima”.
La firma israelí de seguridad de infraestructura en la nube, que denominó a la deficiencia EmojiDeploy, dijo que podría permitir aún más el robo de datos confidenciales y el movimiento lateral a otros servicios de Azure.
Desde entonces, Microsoft ha corregido la vulnerabilidad a partir del 6 de diciembre de 2022, luego de la divulgación responsable el 26 de octubre de 2022, además de otorgar una recompensa por error de $ 30,000.
El fabricante de Windows describe Kudu como el “motor detrás de una serie de características en Azure App Service relacionadas con la implementación basada en control de código fuente y otros métodos de implementación como Dropbox y OneDrive sincronización”.
En una hipotética cadena de ataque ideada por Ermetic, un adversario podría explotar la vulnerabilidad CSRF en el panel Kudu SCM para derrotar las salvaguardas implementadas para frustrar los ataques de origen cruzado emitiendo una solicitud especialmente diseñada al punto final “/api/zipdeploy” para entregar un archivo malicioso (por ejemplo, shell web) y obtener acceso remoto.
La falsificación de solicitudes entre sitios, también conocida como navegación marítima o conducción de sesión, es un vector de ataque mediante el cual un actor de amenazas engaña a un usuario autenticado de una aplicación web para que ejecute comandos no autorizados en su nombre.
El archivo ZIP, por su parte, está codificado en el cuerpo de la solicitud HTTP, lo que solicita a la aplicación víctima que navegue a un dominio de control de actores que aloja el malware a través de la omisión de política del mismo origen del servidor.
“El impacto de la vulnerabilidad en la organización en su conjunto depende de los permisos de la identidad administrada de las aplicaciones”, dijo la compañía. “La aplicación efectiva del principio de privilegio mínimo puede limitar significativamente el radio de explosión”.
Los hallazgos se producen días después de que Orca Security revelara cuatro instancias de ataques de falsificación de solicitudes del lado del servidor (SSRF) que afectan a Azure API Management, Azure Functions, Azure Machine Learning y Azure Digital Twins.
