Microsoft は最近、Azure Bastion および Azure Container Registry（ACR）に影響を与える一連のクロスサイト スクリプティングの脆弱性を軽減しました。
Microsoft mitigates set of cross-site scripting (XSS) vulnerabilities in Azure Bastion and Azure Container Registry | MSRC Blog | Microsoft Security Response Center

 

概要と部分的な要約です。

これらの脆弱性が悪用されると、権限のないユーザーが、侵害された Azure サービス内のターゲットユーザーのセッションにアクセスし、その後、データの改ざんやリソース変更に繋がる可能性があります。
Microsoft は、リサーチャーの PoC 以外でこれらの脆弱性が悪用されたことを確認していません。
これらの脆弱性は、Orca Security が独立したテストによって特定され、2023年4月13日（Azure Bastion）、2023年5月3日（ACR）に Microsoft Security Response Center（MSRC）に報告されました。
一連の修正は、2023年5月24日に完了し、その後、両サービスでの問題は軽減されたと考えられています。

 

これらの脆弱性が悪用されるには、標的となるユーザーが攻撃者が制御するページを訪問することが、攻撃者にとっての必要条件となります。
Azure Bastion では、この脆弱性は Azure Network Watcher の接続に関するトラブルシューティングツールに起因していました。

 

Azure Container Registry の場合、この脆弱性は ACR の Azure ポータル拡張機能の一部として、未使用の Webページの HTML コードスニペットに存在します。
Orca のテストでは、コードインジェクションを可能にする HTML ファイルが特定されました。

Microsoft は、Azure Bastion と ACR の両方の根本原因に対処する一連の修正をリリースしました。
Azure Bastion の場合、オリジンチェックを誤って実行した基になるネットワーク監視ファイルが更新され、脆弱なコード行が削除されました。
ACR の場合、脆弱な HTML ページがレガシーコードであり、現在の Azure Portal エクスペリエンスの一部として実際に使用されていないと判断した後、脆弱なファイルを削除しました。
エンジニアリングチームは、ビルドパイプラインに追加のチェックを実装して、未使用の可能性のある他の HTML ページを検出しクリーンアップしました。

 

Microsoft は、クロスサイト スクリプティングなどの問題が将来発生するのを防ぐために戦略的投資を続けており、これらのケースの結果として、内部の CodeQL ルールを更新して、すべての製品とサービスで XSS スキャンを改善しました。