Microsoft a corrigé une vulnérabilité qui peut permettre à un attaquant d'obtenir des autorisations d'administrateur complètes sur les clusters Azure Service Fabric (une plateforme de systèmes distribués qui facilite le conditionnement, le déploiement et la gestion des microservices et des conteneurs).

Selon des chercheurs de la société Orca, spécialisée dans la sécurité du cloud, la version 1 de SFX est vulnérable à l'usurpation d'identité. Le problème, suivi sous le nom de CVE-2022-35829 et nommé FabriXss par Orca, implique l'injection de modèles côté client (CSTI) et le cross-site scripting (XSS) stocké.

"Nous avons constaté qu'un utilisateur de type Deployer disposant d'une seule autorisation pour 'Créer de nouvelles applications' via le tableau de bord, peut utiliser cette seule autorisation pour créer un nom d'application malveillant et abuser des autorisations d'administrateur pour effectuer divers appels et actions", explique Orca dans un billet de blog détaillant FabriXss.

"Cela inclut l'exécution d'une réinitialisation du nœud de cluster, qui efface tous les paramètres personnalisés tels que les mots de passe et les configurations de sécurité, permettant à un attaquant de créer de nouveaux mots de passe et d'obtenir des autorisations d'administrateur complètes", ajoute-t-il.

Cette faille a été classée par Microsoft dans la catégorie "gravité moyenne" et l'utilisateur doit intervenir pour l'exploiter. Microsoft ne s'attend pas à ce que cette vulnérabilité soit exploitée dans le cadre d'attaques malveillantes.