Azure SFX 漏洞可能允許攻擊者獲得管理員訪問權限

網絡安全研究人員分享了有關Azure服務結構資源管理器 （SFX） 中現已修補的安全漏洞的詳細信息，該漏洞可能使攻擊者獲得群集上的管理員權限。

該漏洞被跟蹤為CVE-2022-35829，CVSS評分6.2，微軟上周在周二補丁更新中解決了該漏洞。

Orca Security于2022年8月11日發現并向科技巨頭報告了該漏洞，稱其為FabriXss（發音為“fabrics”）。它會影響Azure結構資源管理器8.1.316及更早版本。

該漏洞的根源在于，具有通過SFX客戶端“創建撰寫應用程序”權限的用戶可以利用這些權限創建惡意應用程序，并濫用“應用程序名稱”字段中存儲的跨站點腳本 （XSS） 漏洞來傳遞有效負載。

利用此漏洞，攻擊者可以在應用程序創建步驟中發送特制輸入，最終導致其執行。

Orca Security研究人員Lidor Ben Shitrit和Roee Sagi說：“這包括執行群集節點重置，刪除所有自定義設置，如密碼和安全配置，允許攻擊者創建新密碼并獲得完全的管理員權限。”