Los investigadores de seguridad ermética descubrieron un defecto a fines de 2022 que afectan los servicios de Azure en la nube, así como las aplicaciones de funciones, el servicio de aplicaciones y las aplicaciones lógicas. Tipo de cadena de suministro, podría haber llevado a la ejecución del código remoto hasta un manejo completo de una aplicación objetivo con todo lo que implica (eliminación de datos confidenciales, ejecución de campañas de phishing, desplazamiento lateral a otros servicios de Azure ...).

Al abusar de la vulnerabilidad, los atacantes podrían haber desplegado archivos de cremallera maliciosas que contienen una carga útil en la aplicación de la víctima, un explicar Ermético. “La falla de emojide desplegable pasa por CSRF (falsificación de solicitud de sitio cruzado) en el servicio Kudu SCM. Esta fuente conjunta de servicio de gestión de fuente sustenta muchos servicios importantes de Azure, incluidas funciones, servicio de aplicaciones, aplicaciones lógicas, etc.

Vulnerabilidad reportada en octubre de 2022 a Microsoft

La falla de emojide desplegable se ha corregido por completo desde su descubrimiento y, por lo tanto, se hizo público este 19 de enero de 2023. En detalle, el 26 de octubre de 2022, el equipo de investigación de Ermetic informó la violación del equipo de seguridad de Microsoft a cargo de la detección de amenazas que proporcionan Él a principios de noviembre, antes en diciembre para darle un bono de $ 30,000. Después de un correctivo publicado en el proceso, Ermerci publicó todos los detalles de este peligroso ataque de la cadena de suministro.