微软Teams的跨站脚本漏洞报告

文章重点

一位来自Gais Cyber Security的研究人员在周三报告称，他发现了微软Teams中“贴纸”功能存在的一个漏洞，该漏洞可能使恶意行为者能够进行跨站脚本XSS攻击。

在一篇博客文章中，研究人员Numan Turle提到，他去年最初发现了CVE202124114，该漏洞能触发Teams iOS的账户接管漏洞。

一年后，Turle对这一漏洞进行了更深入的研究，发现了针对多个域名的潜在攻击。他于1月6日向微软安全响应中心报告了这一XSS问题，漏洞于3月份得到修补。为此，研究人员获得了6000美元的漏洞奖励。

“所有发现都有一个探索的旅程，研究人员在这个过程中会遇到各种挑战，有时会成功，有时会失利，”Bugcrowd的安全运营高级总监Michael Skelton表示。

Skelton称：“Numan Turle在这篇报告中完整且详细地描述了他从‘我觉得我发现了什么’到成功找到漏洞的整个过程，而不仅仅是展示最终的目的地和导致奖励的有效载荷，让其他人能够继续从他的未来发现中受益。”

Vectra的SaaS保护首席技术官Aaron Turner补充道，安全团队需非常清楚，微软Teams不仅仅是一个协作应用程序。Turner表示，安全专家应该将Teams视为一个完整的操作系统，兼具加载第三方应用、通过API与其他SaaS应用集成、存储数据等功能，这些都可能导致数据丢失事件。此外，正如此次披露所示，Teams也能够加载一个完整的网页浏览器，恶意行为者可以利用XSS技术进行攻击。

Turner进一步指出：“微软Teams的架构还导致它继承了以前微软协作平台如Lync和Skype for Business中的许多问题。安全团队应该尽一切可能加强Teams设置，以确保整体攻击面减小，并将所有授权的Teams功能加固到最大程度，然后频繁监控这些设置的安全状态，以确保攻击者无法削弱安全设置，从而利用这些漏洞。”

Vulcan Cyber的高级技术工程师Mike Parkin表示，XSS攻击一直以来都是个问题，而彻底消除它们是十分困难的。

Parkin说道：“代码越复杂，就越容易错过关闭所有潜在漏洞的机会。”