概要

微软近期缓解了影响Azure Bastion和Azure Container Registry(ACR)的一系列跨站脚本(XSS)漏洞。这些漏洞若被利用，可能使攻击者访问受害用户的Azure服务会话，导致数据篡改或资源变更。微软确认除研究者提供的概念验证外，未发现其他利用行为。

这些漏洞最初由Orca Security通过独立测试发现，并分别于2023年4月13日(Azure Bastion)和5月3日(ACR)报告给Microsoft Security Response Center(MSRC)。修复工作按照安全部署规范进行，已于2023年5月24日完成，客户无需采取额外措施。

Azure Bastion和Azure Container Registry中的XSS漏洞

利用这些漏洞需要目标用户访问攻击者控制的页面。

在Azure Bastion中，漏洞源于Azure Network Watcher的连接故障排除功能。当执行连接测试时，系统会渲染网络拓扑并导出为SVG文件，但缺少对SVG负载的基础验证。攻击者可托管HTML文件，在用户浏览器中渲染恶意SVG负载。

ACR的漏洞存在于Azure Portal扩展中未使用的网页HTML代码片段。Orca发现允许代码注入的HTML文件。

微软针对根本原因发布了修复：更新了Azure Bastion中错误执行源检查的Network Watcher文件；ACR团队则移除了实际未使用的遗留HTML文件，并在构建管道中添加了检测未使用页面的检查。

纵深防御：微软对XSS的主动检测

除本次修复外，微软持续投资预防XSS问题的策略。基于本次事件，安全工程师更新了CodeQL规则，改进了全产品线的XSS扫描。

微软安全团队在收到漏洞报告后，会在其他产品中搜索同类问题，并不断进化CodeQL扫描以覆盖更多攻击向量。长期来看，团队正推动采用更全面的内容安全策略，以最小化未来XSS风险。

总结

1. Orca Security报告了影响Azure Bastion(4月13日)和ACR(5月3日)的两个XSS漏洞
2. 两个漏洞均于5月24日前修复，客户无需额外操作
3. 微软未发现漏洞被实际利用，仅确认了Orca的概念验证
4. 微软持续投资改进扫描查询、主动变异检测和严格内容安全策略

微软感谢Orca Security的发现，并鼓励所有研究者在协调漏洞披露(CVD)框架下合作。报告者可参与微软漏洞赏金计划。用户可通过Azure Portal设置服务健康警报获取安全事件通知。