研究人员发现Azure服务中的跨站攻击漏洞

Orca Security的网络安全专家在微软Azure服务中发现了两个关键的跨站点脚本(XSS)漏洞。

这些漏洞利用了postMessage iframe的一个弱点，可能会使Azure用户面临潜在的安全漏洞。

这些漏洞是在Azure Bastion和Azure Container Registry中发现的，这是Azure生态系统中两个常用的服务。

Orca在发布的一份报告中写道:“尽管有几项Azure安全增强来减轻postMessage iframe跨站漏洞，但我们仍然设法发现了两个Azure服务，即Azure Bastion和Azure Container Registry，可以通过这个漏洞利用。”

第一个问题是对postMessage处理程序的错误处理，这使得攻击者可以利用三种不同的postMessage情况。

通过发送特制的postMessage，攻击者可以执行恶意脚本，可能危及用户会话和敏感数据。

同时，Azure容器注册表漏洞允许攻击者在容器注册表的上下文中注入和执行任意脚本。

这使他们能够操纵受影响的web应用程序的行为，并可能窃取敏感信息或执行未经授权的操作。

Orca写道:“这些漏洞允许未经授权访问受损Azure服务iframe内的受害者会话，这可能导致严重后果，包括未经授权的数据访问、未经授权的修改和Azure服务iframe的中断。”

该公司立即向微软报告了这些漏洞:“发现这些漏洞后，我们立即通知了微软安全响应中心(MSRC)，他们能够重现这些问题。”

报告称:“这两个漏洞现在都已修复和验证，Azure用户不需要采取进一步行动。”

三个月前，Orca Security披露了微软Azure Service Fabric Explorer (SFX)的另一个漏洞，他们称之为Super FabriXss。