據The Hacker News 6月14日消息，微軟 Azure Bastion 和 Azure Container Registry 披露了兩個嚴重的安全漏洞，這些漏洞可能被利用來執行跨站腳本攻擊 (XSS) 。

Orca 安全研究員 Lidor Ben Shitrit 在一份報告中表示，這些漏洞允許在受感染的 Azure 服務 iframe 中未經授權訪問受害者的會話，從而導致未經授權的數據訪問、未經授權的修改以及 Azure 服務 iframe 的中斷。

XSS攻擊發生在攻擊者將任意代碼注入原本可信任的網站時，每次當毫無戒心的用戶訪問該網站，該代碼就會被執行。

Orca 發現的兩個缺陷利用了 postMessage iframe 中的一個漏洞，從而實現 Window 對象之間的跨域通信。這意味著該漏洞可能會被濫用，以使用 iframe 標簽將端點嵌入遠程服務器，并最終執行惡意 JavaScript 代碼，從而導致敏感數據遭到破壞。

為了利用這些弱點，攻擊者必須對不同的 Azure 服務進行偵察，以找出易受攻擊的端點，這些端點可能缺少 X-Frame-Options 標頭，或者是內容安全策略 ( CSP )薄弱。

“一旦攻擊者成功地將 iframe 嵌入遠程服務器，他們就會繼續利用配置錯誤的端點，”Ben Shitrit 解釋道。“他們專注于處理 postMessages 等遠程事件的 postMessage 處理程序。”

因此，當受害者被引誘訪問受感染的端點時，惡意的 postMessage 有效載荷被傳送到嵌入式 iframe，觸發 XSS 漏洞并在受害者的上下文中執行攻擊者的代碼。

在 Orca 演示的概念驗證 (PoC) 中發現，特制的 postMessage 能夠操縱 Azure Bastion Topology View SVG 導出器或 Azure Container Registry Quick Start 來執行 XSS 負載。在于 2023 年 4 月 13 日和 5 月 3 日披露這些漏洞之后，微軟已推出了安全修復程序來修復這些漏洞。