מומחי אבטחת סייבר בחברת Orca Security זיהו שתי פגיעויות קריטיות של סקריפטים בין-אתרים (XSS) בשירותי Microsoft Azure. פגיעויות האבטחה שניצלו חולשה ב- postMessage iframe יכולים לחשוף את משתמשי Azure לפרצות אבטחה. נקודות התורפה נמצאו ב- Azure Bastion וב- Azure Container Registry – שני שירותים נפוצים ב- Azure.
"למרות מספר שיפורים באבטחה של Azure כדי לצמצם את הפגיעות postMessage iframe XSS, עדיין הצלחנו לחשוף שני שירותי Azure – Azure Bastion ו- Azure Container Registry – שנוצלו באמצעות הפגיעות הזו", כתבה Orca בדו"ח שפרסמה. הראשון טמון בטיפול השגוי ב- postMessage, שמאפשר להאקרים לנצל שלושה מקרים נפרדים של postMessage. על ידי שליחת postMessage בעל מבנה מיוחד, יכולים האקרים לבצע סקריפטים זדוניים העלולים לסכן מידע משתמשים ונתונים רגישים. בינתיים מאפשר הפגם של Azure Container Registry להאקרים להחדיר ולבצע סקריפטים שרירותיים בהקשר של רישום הקונטיינר. מצב זה זה מאפשר להאקרים לתמרן את ההתנהגות של יישום האינטרנט המושפע ועלול לגנוב מידע רגיש או לבצע פעולות בלתי מורשות: "חולשות האבטחה איפשרו גישה בלתי מורשית להפעלה בתוך ה- iframe של שירות Azure שנפרץ, מה שעלול להוביל לתוצאות חמורות כולל גישה בלתי מורשית לנתונים, שינויים בלתי מורשים ושיבוש ה- iframes של שירותי Azure", כתבה Orca.
Orca דיווחה מיידית על נקודות התורפה למיקרוסופט: "עם גילוי נקודות התורפה הללו, הודענו מיד למרכז תגובת האבטחה של מיקרוסופט (MSRC), שהצליח לשחזר את הבעיות". "שתי הפגיעויות תוקנו ואומתו כעת – ללא צורך בפעולה נוספת על ידי משתמשי Azure", נכתב בדו"ח.
פרסום זה מגיע שלושה חודשים לאחר שחברת Orca Security חשפה מידע על פגם אחר ב- Azure Service Fabric Explorer (SFX) של מיקרוסופט שהם כינו "Super FabriXss".