• Votre panier est vide.

  • LOGIN

Des chercheurs détaillent la faille Azure SFX qui aurait pu permettre aux attaquants d’obtenir un accès administrateur


Certains articles de veille peuvent faire l'objet de traduction automatique.


Les chercheurs en cybersécurité ont partagé plus de détails sur une faille de sécurité désormais corrigée dans Azure Service Fabric Explorer (SFX) qui pourrait potentiellement permettre à un attaquant d’obtenir des privilèges d’administrateur sur le cluster.

La vulnérabilité, suivie comme CVE-2022-35829porte un indice de gravité CVSS de 6,2 et a été traité par Microsoft dans le cadre de ses mises à jour Patch Tuesday la semaine dernière.

La cyber-sécurité

Orca Security, qui découvert et signalé la faille au géant de la technologie le 11 août 2022, surnommée la vulnérabilité FabriXss (prononcez « tissus »). Cela a un impact sur Azure Fabric Explorer version 8.1.316 et antérieure.

SFX est décrit par Microsoft comme un outil open source pour inspecter et gérer Structure de services Azure clusters, une plate-forme de systèmes distribués utilisée pour créer et déployer des applications cloud basées sur des microservices.

La vulnérabilité est enracinée dans le fait qu’un utilisateur avec autorisations pour « Créer une application de composition » via le client SFX peut tirer parti des privilèges pour créer une application malveillante et abuser d’un script intersite stocké (XSS) faille dans le champ « Application name » pour glisser la charge utile.

La cyber-sécurité

Armé de cet exploit, un adversaire peut envoyer l’entrée spécialement conçue lors de l’étape de création de l’application, conduisant éventuellement à son exécution.

« Cela inclut l’exécution d’une réinitialisation du nœud de cluster, qui efface tous les paramètres personnalisés tels que les mots de passe et les configurations de sécurité, permettant à un attaquant de créer de nouveaux mots de passe et d’obtenir une pleine Autorisations d’administrateur« , ont déclaré Lidor Ben Shitrit et Roee Sagi, chercheurs d’Orca Security.

Voir aussi :

octobre 20, 2022

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)