您的同事在电话会议上发送的友好图像可能隐藏了恶意的秘密
一位安全研究人员发现,攻击者可以滥用Microsoft团队中流行的贴纸功能来进行跨站脚本(XSS)攻击。
在过去的几年中,微软团队以及包括Zoom在内的可比较的电信服务也经历了流行。
这新冠肺炎大流行迫使组织尽可能采用工作中的模型。之后,经常给员工选择保持远程或混合动力。
有这么多用户脆弱性在微软,团队可能会产生广泛的影响。因此,网络安全研究人员,包括GAIS Cyber Security的高级网络安全专家Numan Turle,已经检查了该软件是否存在潜在缺陷。
粘性主题
2021年,Turle发现了CVE-2021-24114。发出的CVSS得分为5.7,在通过团队发送到的图像的预览过程中发现了该错误泄漏Skype令牌(PDF)并触发iOS团队中的帐户接管漏洞。
一年后,研究人员决定检查微软团队贴纸功能对于新的安全问题。
有关的Microsoft团队中的漏洞授予攻击者访问电子邮件,消息和个人文件
当通过团队发送贴纸时,该平台将其转换为图像,并将内容上传为“ RichText/html”,并在后续消息中上传。
Turle使用Burp Suite检查了HTML请求,并尝试了典型的属性 - 由于Microsoft的保护,无济于事内容安全策略(CSP)。
CSP旨在减轻一系列常见的Web攻击,包括XSS。beplay体育能用吗
但是,将CSP插入Google之后CSP评估器工具,研究人员发现CSP缺陷 -脚本src菲尔德被标记为不安全,这为潜在的HTML注入攻击铺平了道路。
尝试不同的角度
微软已经通过Azure域更改插入了这些安全孔。因此,在深入研究并检查了浏览器的团队之后,Turle发现了JavaScript元素,角刺,可以用作替代方案。
与Angular的jQuery是JavaScript管理HTML和CSS交互的框架。但是,此版本已经过时了,并且在过时的版本(1.5.14)中 - 可用于绕过CSP。
在在HTML编码的帮助下制定恶意iFrame之后,研究人员能够创建一个恶意有效负载,该有效负载是通过团队中的贴纸功能发送的,以触发XSS,并通过用户交互获得。
Turle于1月6日向Microsoft披露了XSS问题。该漏洞在3月进行了修补,研究人员获得了6,000美元的授予错误赏金。
每日swbeplay2018官网ig已经与Gais Cyber Security和Microsoft取得了联系,我们将在回音后进行更新。
完整的详细信息可以在技术博客文章来自Turle。
