聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
安全研究员发现,攻击者可滥用微软 Teams 中的热门贴纸 (sticker) 特性,执行跨站点脚本 (XSS) 攻击。
近几年来由于新冠肺炎疫情的原因,很多组织机构尽量采用在家办公模式,促使微软 Teams以及视频会议服务如Zoom 等服务热度居高不下。由于用户很多,因此微软 Teams 中的任何漏洞都可能产生广泛影响。因此,网络安全研究人员如 Gais 网络安全公司的网络安全专员 Numan Turle 等都在审计该软件中的潜在缺陷。
所发现漏洞
2021年,Turle 发现漏洞 CVE-2021-24114,CVSS评分为5.7。研究人员在预览通过 Teams 发送的图像时泄露了 Skype 令牌 (PDF) 并触发 Teams iOS 中的账户接管漏洞。研究员决定在一年的时间里检查微软 Teams 的贴纸功能,查找其中的安全漏洞。
虽然贴纸是通过Teams 发送的,但Teams 将其转换为图像,在后续通信中将该内容上传为 “RichText/HTML”。Trule 检查了使用 Burp Suite 的HTML 请求并尝试了多个常见属性,但由于微软具有内容安全策略都无济于事。该内容安全策略旨在缓解一系列常见的web 攻击如XSS攻击等。然而,研究员在将内容安全策略用于谷歌的内容安全策略评估工具后发现了一个缺陷,即 script-src 字段被标记为不安全,从而为发现针对多起域名的潜在 HTML 注入攻击奠定了基础。
从不同角度尝试
微软已通过Azure域名更改修复了这些漏洞。因此经过更加深入的挖掘和检查浏览器中的 Teams 后,Turle 发现了一个 JavaScript 元素 angular-jquery可用于替代选项。
Angular 是用于管理 HTML和CSS 交互的 JavaScript框架。然而,该版本已过期且已过期版本1.5.14中存在多个漏洞可用于绕过该内容安全策略。
Turle通过HTML 编码构造了恶意嵌入式框架,创建了恶意 payload并通过 Teams 中的贴纸函数发送,触发了XSS攻击。Turle 在今年1月6日将问题报告给微软,后者在3月份修复,而Turle 为此获得6000美元的奖励。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
微软将 Teams 移动应用纳入漏洞奖励计划,最高奖金3万美元
Teams零点击可蠕虫跨平台 RCE 漏洞详情公开,微软评为低危且拒绝分配CVE被吐槽
利用Microsoft Teams 执行任意 payload,微软拒绝修复
微软 Teams 曝0day!可用于下载并运行恶意包,GitHub等受影响
原文链接
https://portswigger.net/daily-swig/microsoft-teams-security-vulnerability-left-users-open-to-xss-via-flawed-stickers-feature
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
190
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
