摘要

微软近期修复了影响Azure Bastion和Azure Container Registry（ACR）的一系列跨站脚本漏洞。利用这些漏洞可能允许未授权用户访问目标用户在受感染Azure服务中的会话，进而导致数据篡改或资源修改。微软未发现除研究人员提供的概念验证外这些漏洞被利用的情况。

这些漏洞最初由Orca Security通过独立测试发现，并于2023年4月13日（Azure Bastion）和2023年5月3日（ACR）报告给微软安全响应中心（MSRC）。一系列修复程序根据我们的安全部署实践开发和部署，并于2023年5月24日完成，此后这两个服务的问题被视为已缓解。客户无需进一步操作即可保持安全。

Azure Bastion和Azure Container Registry中的跨站脚本漏洞

利用这些漏洞需要目标用户访问攻击者控制的页面。在Azure Bastion中，漏洞源于Azure Network Watcher连接故障排除器。通过Azure Bastion运行时，连接故障排除器测试会从Network Watcher渲染网络拓扑以可视化虚拟网络中资源之间的关系，并导出为SVG文件。在这种情况下，验证SVG负载所需的基础检查实现不正确。这将允许攻击者托管一个HTML文件，如果在受害者的浏览器中渲染，将POST恶意SVG负载，该负载将在Azure Bastion的网络观察器连接故障排除拓扑视图的上下文中执行。

在Azure Container Registry的情况下，漏洞存在于ACR的Azure Portal扩展中一个未使用网页的HTML代码片段中。Orca的测试识别了允许代码注入的HTML文件。

微软发布了一系列修复程序，解决了Azure Bastion和Azure Container Registry的根本原因。对于Azure Bastion，更新了错误执行其源检查的基础Network Watcher文件，以删除易受攻击的代码行。对于Azure Container Registry，ACR工程团队在确定易受攻击的HTML页面是遗留代码且未实际用于当前Azure Portal体验后，删除了易受攻击的文件。工程团队在其构建管道中实施了额外检查，以检测和清理其他可能未使用的HTML页面。

深度防御：微软主动检测XSS

除了在此案例中采取的缓解步骤外，微软继续投资于策略，以防止未来发生跨站脚本等问题。例如，由于Azure Bastion和ACR中的这些案例，安全工程师更新了我们的内部CodeQL规则，以改进我们所有产品和服务的XSS扫描。

此外，每当内部或外部研究人员报告新漏洞时，微软安全团队会进行彻底的变体搜寻，以识别除最初报告的服务之外的产品或服务中报告的漏洞。这项工作通过我们不断发展的CodeQL扫描进一步增强，以确保我们考虑多种攻击向量。

长期来看，微软安全团队正在推动在我们庞大的产品和服务组合中采用更全面的内容安全策略。采用更严格的内容安全策略将确保我们最小化未来潜在跨站脚本的攻击面。

结论

总结如下：

• Orca Security向MSRC报告了两个跨站脚本漏洞，一个影响Azure Bastion（2023年4月13日报告），另一个影响Azure Container Registry（2023年5月3日报告）。
• 两个漏洞均在2023年5月24日前得到缓解，Azure客户无需额外操作即可保持安全。
• 微软没有证据表明这些漏洞以影响Azure客户的方式被利用。这些漏洞由Orca作为概念验证演示，并由微软安全团队在缓解前复现。
• 微软继续投资于主动努力，以识别、缓解和防止跨站脚本 across our services，包括改进扫描查询、主动变体搜寻和执行更严格的内容安全策略。

我们感谢有机会调查Orca报告的发现，并感谢他们的持续合作。我们鼓励所有研究人员与供应商合作，遵循协调漏洞披露（CVD），并遵守渗透测试的参与规则，以避免在进行安全研究时影响客户数据。向微软安全响应中心（MSRC）报告安全问题的研究人员有资格参与微软的漏洞赏金计划。

在此处了解微软如何保护我们的云基础设施并保持客户数据安全。通过在Azure Portal中配置服务运行状况警报，获取当潜在安全事件影响您的Azure资源时的通知。

其他资源

• Orca Security博客