微软 Azure Bastion 和 Azure Container Registry 披露了两个严重的安全漏洞，这些漏洞可能被利用来执行跨站脚本攻击 (XSS) 。

“该漏洞允许未经授权的访问受害者的会话内妥协的Azure服务iframe，这可能会导致严重的后果，包括未经授权的数据访问，未经授权的修改，和破坏的Azure服务iframe,”Orca安全研究员Lidor本Shitrit在与黑客新闻共享的一份报告中说。

当威胁参与者将任意代码注入到受信任的网站中，然后在不知情的用户每次访问该网站时执行，XSS攻击就会发生。

Orca发现的两个缺陷利用了postMessage iframe中的一个弱点，该弱点使得Window对象之间能够进行跨源通信。

这意味着该缺陷可能被滥用，以使用iframe标记将端点嵌入远程服务器，并最终执行恶意JavaScript代码，导致敏感数据泄露。

然而，为了利用这些弱点，威胁参与者必须对不同的Azure服务进行侦察，以挑出Azure门户中嵌入的易受端点，这些端点可能缺少X-Frame-Options标头或内容安全策略（CSP）薄弱。

“一旦攻击者成功地将iframe嵌入远程服务器，他们就会继续利用配置错误的端点，”Ben Shitrit解释说。它们主要关注postMessage处理程序，该处理程序处理postMessages之类的远程事件。

通过分析从portal.azure[.]com发送到iframe的合法postMessages，者随后可以通过将易受的iframe嵌入角色控制的服务器（例如，ngrok）并创建一个postMessage处理程序来传递恶意有效负载，从而构建适当的有效负载。

因此，当受害者被诱骗访问被破坏的端点时，”恶意postMessage有效载荷被传递到嵌入式iframe，触发XSS漏洞，并在受害者的上下文中执行攻击者的代码。”

在Orca演示的概念验证（PoC）中，发现一个特制的postMessage能够操纵Azure Bastion拓扑视图SVG导出器或Azure容器注册表快速启动以执行XSS有效载荷。

在2023年4月13日和5月3日负责任地披露这些漏洞后，Microsoft推出了安全修复程序来修复这些漏洞。Azure用户不需要采取进一步的操作。

微软在Azure API管理服务中堵塞了三个漏洞，这些漏洞可能被恶意行为者滥用，以获取敏感信息或后端服务。