Saldırganlar, yönetici ayrıcalıkları kazanmak ve Azure servis kumaş kümelerini kaçırmak için servis kumaş gezginde şimdi daplanmış bir sahtekarlık kırılganlığından yararlanabilir.
Service Fabric, 1 milyondan fazla uygulamaya ev sahipliği yapan ve Microsoft Intune, Dynamics 365, Skype for Business, Cortana, Microsoft Power BI ve çoklu çekirdek Azure hizmetleri dahil olmak üzere birçok Microsoft ürününe sahip olan iş açısından kritik uygulamalar için bir platformdur.
Barındırılan bir çözüm veya masaüstü uygulaması olarak kullanılabilen açık kaynaklı bir araç olan Service Fabric Explorer (SFX), Azure yöneticilerinin Azure Service kumaş kümelerindeki düğümleri ve bulut uygulamalarını yönetmesine ve denetlemesine izin verir.
ORCA Security, potansiyel saldırganların tam yönetici izinleri almasını ve servis kumaş kümelerini ele geçirmesini sağlayabilecek Fabrixss olarak adlandırılan bir SFX sahte kusuru (CVE-2022-35829) buldu.
ORCA Security, "Gösterge paneli üzerinden 'yeni uygulamalar oluşturma' tek bir izine sahip bir dağıtıcı türü kullanıcısının, bu tek izni kötü amaçlı bir uygulama adı oluşturmak ve çeşitli çağrılar ve eylemler gerçekleştirmek için yönetici izinlerini kötüye kullanmak için kullanabileceğini bulduk."
"Bu, şifreler ve güvenlik yapılandırmaları gibi tüm özelleştirilmiş ayarları silen bir küme düğümü sıfırlamasını gerçekleştirmeyi ve bir saldırganın yeni şifreler oluşturmasına ve tam yönetici izinleri kazanmasına izin vermeyi içerir."
ORCA Security, 11 Ağustos'ta Microsoft Güvenlik Müdahale Merkezi'ne (MSRC) güvenlik açığını bildirdi ve Microsoft, 11 Ekim Salı günü bu ayın yaması boyunca kusuru ele almak için güvenlik güncellemeleri yayınladı.
Ek teknik ayrıntıların yanı sıra Orca Security'nin blog yayınında Concept FabrixssSsssssssss'in bir kanıtı mevcuttur.
Microsoft, Fabrixss istismarlarının yalnızca Service Fabric Explorer'ın (SFXV1) eski, desteklenmeyen sürümlerini hedefleyen saldırılarda kullanılabileceğini ve mevcut varsayılan SFX Web istemcisi (SFXV2) saldırılara karşı savunmasız olmayacağını söylüyor.
Microsoft, "Ancak, müşteriler varsayılan web istemcisinden (SFXV2) manuel olarak eski bir savunmasız SFX Web İstemcisi sürümüne (SFXV1) geçebilir."
"Sorun, bir saldırganın hizmet kumaş kümesinde zaten kod dağıtım ve yürütme ayrıcalıklarına sahip olmasını ve hedefin savunmasız web istemcisini (SFXV1) kullanmasını gerektiriyor."
Redmond, Fabrixss'in saldırılarda istismar edildiğine dair bir kanıt bulamasa da, tüm Service Fabric müşterilerine en son SFX sürümüne yükseltmelerini ve savunmasız SFXV1 Web İstemci sürümüne geçmemesini tavsiye ediyor.
Microsoft'a göre, yaklaşan bir servis kumaş sürümü SFXV1'i ve ona geçme seçeneğini de kaldıracak.
Haziran ayında, Microsoft ayrıca, tehdit aktörlerinin kökten ayrıcalıkları artırmasına ve ana düğümün kontrolünü ele geçirmesine izin veren ve tüm SF Linux kümesini tehlikeye atan bir servis kumaş konteyner kaçış hatası olarak adlandırdı.
Microsoft, KOBİ'ler için Enterprise DDOS korumasını duyurdu
Microsoft Ekim 2022 Patch Salı günü Saldırılarda Kullanılan Zero Day, 84 Kusurlu
Microsoft Eylül 2022 Patch Saldırı Saldırılarda Kullanılan Zero Day'i düzeltiyor, 63 Kusur
Github'da Satılık Sahte Microsoft Exchange Proxynotshell istismarları
Gifshell Saldırısı Microsoft Teams GIF'leri kullanarak ters kabuk oluşturur
Kaynak: Bleeping Computer