Duas vulnerabilidades de segurança “perigosas” foram divulgadas no Microsoft Azure Bastion e no Azure Container Registry que podem ter sido exploradas para realizar ataques de XSS.

As vulnerabilidades permitiram acesso não autorizado à sessão da vítima dentro do iframe de serviço comprometido do Azure, o que pode levar a consequências graves, incluindo acesso não autorizado a dados, modificações não autorizadas e interrupção dos iframes de serviços do Azure.

As duas falhas identificadas alavancam uma fraqueza no iframe postMessage, que permite a comunicação entre origens e entre objetos Window.

Isso significava que a falha poderia ser abusada para incorporar endpoints em servidores remotos usando a tag iframe e, por fim, executar código JavaScript malicioso, levando ao comprometimento de dados confidenciais.

A divulgação ocorre mais de um mês depois que a Microsoft identificou três vulnerabilidades no serviço de gerenciamento de API do Azure que poderiam ser abusadas por agentes mal-intencionados para obter acesso a informações confidenciais ou serviços de back-end.