Microsoft fornece orientação para bug que afeta a ferramenta de inspeção do Azure

Microsoft fornece orientação para bug que afeta a ferramenta de inspeção do Azure.

Microsoft publicou orientações para resolver uma vulnerabilidade descoberta recentemente que afeta uma ferramenta usada para inspecionar e gerenciar clusters do Azure Service Fabric.

Em um comunicado coordenado na quarta-feira, 19 de outubro, a Orca Security e a Microsoft publicaram um aviso de CVE-2022-35829 – uma vulnerabilidade conhecida como “cross-site scripting” que envolve a injeção de código malicioso em sites benignos e confiáveis.

O Microsoft Azure Service Fabric é uma plataforma para gerenciar aplicativos e contêineres distribuídos em grande escala. O Service Fabric é executado no Windows e Linux, bem como em qualquer nuvem ou datacenter, de acordo com a Orca Security.

O bug – conhecido coloquialmente como FabriXss – foi encontrado na ferramenta Service Fabric Explorer (SFX). Lidor Ben Shitrit e Roee Sagi, da Orca Security, descobriram a vulnerabilidade e explicaram que ela permite que um invasor obtenha permissões completas de “administrador” no cluster do Service Fabric.

Eles relataram o problema em agosto para a Microsoft, que classificou o bug como “importante” e publicou uma correção para ele nas versões de outubro do Patch Tuesday.

A Microsoft não forneceu comentários sobre o problema, em vez disso, encaminhou o The Record para um documento de ajuda  que explica a vulnerabilidade e pede aos clientes que atualizem para a versão mais recente do SFX.

Neste momento, a Microsoft não está ciente de qualquer exploração ou abuso dessa vulnerabilidade”, disse a empresa, acrescentando que afeta apenas versões mais antigas do SFX e observando que o atual cliente Web SFX padrão (SFXv2) não é vulnerável a ataques.

No entanto, os clientes podem alternar manualmente do cliente web padrão (SFXv2) para uma versão mais antiga vulnerável do cliente web SFX (SFXv1). O problema exige que um invasor já tenha privilégios de implantação e execução de código no cluster do Service Fabric e que o destino use o cliente Web vulnerável (SFXv1).

A Microsoft disse que uma próxima versão do Service Fabric removerá o SFXv1 e a opção de sair dele.

Shitrit e Sagi disseram que descobriram que qualquer pessoa com uma única permissão pode abusar dela para realizar ações fora de seu alcance, incluindo apagar “configurações personalizadas, como senhas e configurações de segurança, permitindo que um invasor crie novas senhas e obtenha permissões totais de administrador”.

Como um painel compartilhado para usuários com diferentes níveis de privilégio, o Service Fabric Explorer contém vários aplicativos e serviços que atendem a vários propósitos. Um administrador de cluster pode criar o cluster, gerenciar aplicativos, serviços e implantar ou reiniciar vários nós e aplicativos”, disseram os pesquisadores. 

Em seu lançamento, eles percorrem maneiras de explorar o bug e até fornecem um vídeo de como isso pode ser feito.

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!