本ブログは、Microsoft mitigates set of cross-site scripting (XSS) vulnerabilities in Azure Bastion and Azure Container Registryの抄訳版です。最新の情報は原文を参照してください。
概要
先日、マイクロソフトは、Azure Bastion および Azure Container Registry (ACR) に影響を及ぼす一連のクロスサイトスクリプティングの脆弱性を緩和しました。これらの脆弱性が悪用されると、侵害され標的となったユーザーのAzure サービス内のセッションにアクセスし、不正なユーザーによるデータの改ざんやリソースの変更につながる可能性がありました。マイクロソフトは、研究者が提供した proof-of-conceptを超えた脆弱性の悪用は確認していません。
これらの脆弱性は、当初、Orca Security 社によって実施された独立したテストによって特定され、2023年4月13日(Azure Bastion)および2023年5月03日(ACR)にMicrosoft Security Response Center(MSRC)へ報告されました。一連の修正は、当社の Safe Deployment Practices に従って開発および導入され、2023年5月24日に完了しており、両サービスにおいてこれらの脆弱性は緩和されています。 安全な環境を維持するために、お客様が実施する必要のあるアクションはありません。
Azure Bastion とAzure Container Registry におけるクロスサイトスクリプティング
これらの脆弱性を悪用するには、標的のユーザーが攻撃者の管理するページにアクセスする必要がありました。
Azure Bastion では、脆弱性はAzure Network Watcher の接続トラブルシューターに起因しています。Azure Bastion にて接続トラブルシューターテストを実行すると、仮想ネットワーク内のリソース間の関係を視覚化するために Network Watcher からネットワークトポロジーをレンダリングし、SVG ファイルとしてエクスポートします。この時、SVG ペイロードを検証するために必要な基礎的なチェックが正しく実装されていませんでした。これにより、攻撃者は HTML ファイルをホストすることができ、標的のユーザーのブラウザでレンダリングされると、Azure Bastion のネットワークウォッチャー接続トラブルシューティングのトポロジービューのコンテキスト内で実行される悪意のある SVG ペイロードをポストします。
Azure Container Registry の場合、脆弱性は ACR の Azure Portal 拡張機能の一部である未使用の Web ページ内の HTML コードスニペットに存在しました。 Orca 社のテストでは、コード注入を可能にする HTML ファイルを特定しました。
マイクロソフトは、Azure Bastion と Azure Container Registry の両方において、根本の原因を対処する一連の修正をリリースしました。Azure Bastion については、オリジンチェックを誤って実行する原因となった Network Watcher ファイルを更新し、脆弱なコードを削除しました。Azure Container Registry については、脆弱な HTML ページがレガシーなコードであり、現在の Azure Portal の一部として実際に使用されていないと判断したため、ACR エンジニアリングチームは脆弱なファイルを削除しました。エンジニアリングチームは、ビルドパイプラインにチェックを追加し、潜在的に使用されていない他の HTML ページを検出し、クリーンアップしました。
多層防御 : マイクロソフトにおけるXSSのプロアクティブな検出
今回の緩和措置以外にも、マイクロソフトはクロスサイトスクリプティングのような問題の発生を将来的に防止するための戦略に投資を続けています。たとえば、Azure Bastion と ACR における今回の事象を受けて、セキュリティ エンジニアは社内の CodeQL ルールを更新し、当社のすべての製品とサービスにおけるXSSスキャンを改善しました。
さらに、社内外の研究者から新たな脆弱性が報告されるたびに、マイクロソフトのセキュリティチームは、最初に報告されたサービス以外の製品やサービスでも報告された脆弱性を特定するために、徹底した亜種の検出を行っています。この努力は、複数の攻撃ベクトルを確実に考慮するために、常に進化する CodeQL スキャンによってさらに強化されます。
長期的に、マイクロソフトのセキュリティチームは、当社の大規模な製品およびサービスのポートフォリオに、より包括的なコンテンツセキュリティポリシーの採用を推進しています。より厳格なコンテンツセキュリティポリシーを採用することで、将来的にクロスサイトスクリプティングの可能性がある領域を最小限に抑えることができるようになります。
まとめ
要約すると、以下の通りです。:
- Orca Security 社は、Azure Bastion に影響を与える脆弱性(2023年4月13日に報告)と Azure Container Registry に影響を与える脆弱性(2023年5月3日に報告)の2つのクロスサイトスクリプティング脆弱性を MSRC に報告しました。
- どちらの脆弱性も2023年5月24日までに緩和されており、安全性を保つために必要な Azure のお客様による追加の作業はありません。
- マイクロソフトは、これらの脆弱性が Azure のお客様に影響を与える方法で悪用されたことを確認していません。これらの脆弱性は、緩和される前に Orca 社によって proof-of-concept して示され、マイクロソフトのセキュリティチームによって再現されました。
- マイクロソフトは、スキャンクエリの改善、プロアクティブな亜種の検出、より厳格なコンテンツセキュリティポリシーの実施など、当社のサービス全体でクロスサイト スクリプティングを特定、緩和、防止するためのプロアクティブな取り組みに投資を続けています。
マイクロソフトは、Orca 社が報告した発見を調査する機会を得たことに感謝するとともに、Orca 社の継続的な協力に謝意を表します。我々は、すべての研究者が、CVD(Coordinated Vulnerability Disclosure) の下でベンダーと協力し、セキュリティ調査を行いながら顧客データに影響を与えないよう、侵入テストの契約規則 を遵守することを推奨します。Microsoft Security Response Center (MSRC) にセキュリティ問題を報告した研究者は、Microsoft の Bug Bounty Program に参加することができます。 マイクロソフトがどのようにクラウドインフラを保護し、お客様のデータを安全に保っているかについては、こちら で詳しく説明しています。Azure PortalでService Healthアラート を設定することで、今後、潜在的なセキュリティイベントがAzureリソースに影響を与えたときに通知を受けることができます。
その他のリソース
Orca Security 社の ブログ