top of page
  • Foto do escritorInternational IT

EmojiDeploy: Nova vulnerabilidade do Microsoft Azure para ataques RCE

Atualizado: 30 de nov. de 2023

Uma nova falha crítica de execução remota de código (RCE) foi descoberta e está afetando vários serviços relacionados ao Microsoft Azure.




Liv Matan, pesquisadora da Ermetic, em um relatório compartilhado com o site The Hacker News, afirma:

A vulnerabilidade é alcançada por meio de CSRF (falsificação de solicitação entre sites) no onipresente serviço SCM Kudu.
Ao abusar da vulnerabilidade, os invasores podem implementar arquivos ZIP maliciosos contendo um payload no aplicativo Azure da vítima.

A empresa de segurança de infraestrutura em nuvem, que batizou a vulnerabilidade de EmojiDeploy, disse que esse processo permite o roubo de dados confidenciais e o movimento lateral para outros serviços Azure.


A Microsoft corrigiu a vulnerabilidade em 6 de dezembro de 2022, após a Ermetic comunicá-la em 26 de outubro de 2022, além de conceder um "bug bounty" de U$ 30.000.


O Kudu é o mecanismo por trás de vários recursos no Azure App Service relacionados à implementação com base em controle de origem e outros métodos, como Dropbox e sincronização do OneDrive.


Cadeia de ataque para explorar EmojiDeploy. (Fonte: Ermetic)
Cadeia de ataque para explorar EmojiDeploy. (Fonte: Ermetic)


Um cibercriminoso poderia explorar a vulnerabilidade CSRF no painel Kudu SCM para burlar as defesas implementadas que visam impedir ataques de origem cruzada emitindo uma solicitação especialmente criada para o endpoint "/api/zipdeploy" entregando um arquivo malicioso e obtendo acesso remoto.


A falsificação de solicitação entre sites é um vetor de ataque que engana um usuário autenticado de um aplicativo da Web para executar comandos não autorizados em seu nome.


O arquivo ZIP, por sua vez, é codificado no corpo da solicitação HTTP, solicitando que o aplicativo da vítima navegue para um domínio que hospeda o malware. O relatório da Ermetic completa:

O impacto da vulnerabilidade na organização como um todo depende das permissões da identidade gerenciada pelos aplicativos.
Aplicar efetivamente o princípio do menor privilégio pode limitar significativamente o raio de explosão.

Alguns dias atrás, a Orca Security revelou quatro instâncias de ataques de falsificação de solicitação do servidor (SSRF) afetando o Gerenciamento de API Azure, Azure Functions, Azure Machine Learning e Azure Digital Twins.

 



Comments


Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page