微軟修補了允許存取Azure資產、惡意檔案上傳的3項漏洞

微軟近日修補了Azure API管理服務（Azure API Management）3項可能讓攻擊者存取Azure資產及上傳惡意檔案的漏洞。

3項漏洞是由安全廠商Ermetic發現並通報微軟，包含2項伺服器請求偽造（server-side request forgery，SSRF）及1項檔案上傳路徑跨越（path traversal）漏洞，皆位於Azure API管理服務的開發人員入口網站（portal）上。Azure API管理服務是微軟Azure的多雲管理平臺，允許企業用戶將其API對內、外部客戶開放以實施各種連線服務。

第1項漏洞發生在代理伺服器（CORS Proxy），是安全廠商去年11月12日通報，微軟於4天後修補完成。這類服務可使用額外CORS HTTP標頭，讓某臺使用者代理伺服器獲得權限，存取其他想要的網域伺服器資源。透過修改CORS HTTPOcp-Apim-Method HTTP標頭的參數值，以及輸入DNS，即可繞過防火牆黑名單，將Azure 內部資源解析到攻擊者控制的伺服器上。

值得注意的是，第1項漏洞還是繞過微軟去年11月修補另一個很相似Azure驗證漏洞的結果。

第2項漏洞則是位於Azure管理平臺的代管代理伺服器中的設定後端服務（set-backend-service）政策，該政策方便用戶經由前端下指令，來變更API配置指向後端資源URL的參數。透過從前端發送具特定verb/method的HTTP請求，研究人員得以濫用這漏洞，達成SSRF，存取Azure資源。

第3項漏洞是位於API管理平臺的開發者入口網站，後者允許開發人員上傳檔案或圖片。這漏洞出在Azure並未驗證上傳檔案的類型及路徑，讓攻擊者得以上傳惡意檔案，以執行如DLL劫持、IIS Node配置調換（config swapping）等其他方法而造成執行程式碼。研究人員並提醒，這漏洞也影響開發人員自行管理的入口網站。

3項漏洞都已由微軟修補完成。