Μία ευπάθεια στο Service Fabric Explorer, εκμεταλλεύεται από κακόβουλους παράγοντες για να αποκτήσουν δικαιώματα διαχειριστή και να παραβιάσουν τα συμπλέγματα Azure Service Fabric.
Δείτε επίσης: Η Microsoft διορθώνει δεκάδες σφάλματα κλιμάκωσης προνομίων Azure
Το Service Fabric είναι μια πλατφόρμα για κρίσιμες για τις επιχειρήσεις εφαρμογές, που φιλοξενεί πάνω από 1 εκατομμύριο εφαρμογές και εξουσιοδοτεί πολλά προϊόντα της Microsoft, συμπεριλαμβανομένων ενδεικτικά των Microsoft Intune, Dynamics 365, Skype for Business, Cortana, Microsoft Power BI και πολλαπλών βασικών υπηρεσιών Azure.
Το Service Fabric Explorer (SFX), ένα εργαλείο ανοιχτού κώδικα που μπορεί να χρησιμοποιηθεί ως λύση host ή ως εφαρμογή για επιτραπέζιους υπολογιστές, επιτρέπει στους διαχειριστές του Azure να διαχειρίζονται και να επιθεωρούν κόμβους και εφαρμογές cloud στα συμπλέγματα Azure Service Fabric.
Η Orca Security εντόπισε ένα ελάττωμα πλαστογράφησης SFX (CVE-2022-35829) με το όνομα FabriXss, το οποίο θα μπορούσε να επιτρέψει σε πιθανούς εισβολείς να αποκτήσουν πλήρη δικαιώματα διαχειριστή και να αναλάβουν τα συμπλέγματα Service Fabric.
“Διαπιστώσαμε ότι ένας χρήστης τύπου Deployer με ένα μόνο δικαίωμα για “Δημιουργία νέων εφαρμογών” μέσω του πίνακα ελέγχου, μπορεί να χρησιμοποιήσει αυτήν την άδεια για να δημιουργήσει ένα κακόβουλο όνομα εφαρμογής και να καταχραστεί τα δικαιώματα διαχειριστή για να εκτελέσει διάφορες κλήσεις και ενέργειες“, εξήγησε η Orca Security.
Δείτε ακόμα: Microsoft Azure: Διαθέτει πλέον εμπιστευτικά VM με εφήμερη αποθήκευση
“Αυτό περιλαμβάνει την εκτέλεση επαναφοράς κόμβου συμπλέγματος, η οποία διαγράφει όλες τις προσαρμοσμένες ρυθμίσεις, όπως κωδικούς πρόσβασης και διαμορφώσεις ασφαλείας, επιτρέποντας σε έναν εισβολέα να δημιουργήσει νέους κωδικούς πρόσβασης και να αποκτήσει πλήρη δικαιώματα διαχειριστή.“
Η Orca Security ανέφερε την ευπάθεια στο Microsoft Security Response Center (MSRC) στις 11 Αυγούστου και η Microsoft εξέδωσε ενημερώσεις ασφαλείας για να αντιμετωπίσει το ελάττωμα με την ενημέρωση Patch Tuesday αυτού του μήνα στις 11 Οκτωβρίου.
Ένα PoC του FabriXss exploit είναι διαθέσιμo στην ανάρτηση ιστολογίου της Orca Security μαζί με πρόσθετες τεχνικές λεπτομέρειες.
Η Microsoft λέει ότι οι εκμεταλλεύσεις FabriXss μπορούν να χρησιμοποιηθούν μόνο σε επιθέσεις που στοχεύουν παλαιότερες, μη υποστηριζόμενες εκδόσεις του Service Fabric Explorer (SFXv1), με τον τρέχοντα προεπιλεγμένο πελάτη web SFX (SFXv2) να μην είναι ευάλωτος σε επιθέσεις.
Αν και η εταιρεία δεν βρήκε στοιχεία που να αποδεικνύουν ότι το FabriXss έχει καταχραστεί σε επιθέσεις, συμβουλεύει όλους τους πελάτες του Service Fabric να κάνουν αναβάθμιση στην πιο πρόσφατη έκδοση SFX και να μην μεταβούν στην ευάλωτη έκδοση πελάτη web SFXv1.
Δείτε επίσης: Η Microsoft λανσάρει security defaults σε χρήστες Azure Active Directory (AD)
Σύμφωνα με τη Microsoft, μια επερχόμενη έκδοση Service Fabric θα αφαιρέσει επίσης το SFXv1 και την επιλογή μετάβασης σε αυτό.
