Un investigador de seguridad descubrió que los atacantes podrían abusar de la popular función de stickers en Microsoft Teams para realizar de ataque de secuencias de comandos entre sitios (Ataque XSS).
Los equipos de Microsoft, junto con los servicios de teleconferencia comparables, incluido Zoom, han experimentado un aumento en la popularidad en los últimos años. La pandemia de Covid-19 obligó a las organizaciones a adoptar modelos de trabajo desde casa siempre que sea posible. Como consecuencia, a los empleados a menudo se les ha dado la opción de permanecer remotos o ser híbridos. Los investigadores de ciberseguridad, incluido el especialista senior en ciberseguridad, Numan Turle, han examinado el software en busca de posibles vulnerabilidades.
Cuando se envía un sticker a través de Teams, la plataforma la convierte en una imagen y carga el contenido como ‘RichText/HTML’ en el mensaje posterior.
Turle inspeccionó la solicitud HTML utilizando Burp Suite y probó los atributos típicos, pero fue en vano debido a las protecciones que ofrece la Política de seguridad de contenido (CSP) de Microsoft.
CSP está diseñado para mitigar una variedad de ataques web comunes, incluido XSS.
Sin embargo, después de conectar el CSP a la herramienta CSP Evaluator de google, el investigador encontró un defecto de CSP: el script-src se marcó como inseguro, lo que allanó el camino para posibles ataques de inyección de HTML contra múltiples dominios.
Microsoft cubrió estos agujeros de seguridad a través de cambios en el dominio de Azure. Entonces, después de profundizar e inspeccionar Teams en el navegador, Turle descubrió un elemento de JavaScript, angular-jquery, que podría usarse como alternativa.
jQuery con Angular es un JavaScript para administrar interacciones HTML y CSS. Sin embargo, esta versión estaba desactualizada y las vulnerabilidades en la versión obsoleta (1.5.14) podrían utilizarse para eludir el CSP.
Después de crear un iframe malicioso con la ayuda de la codificación HTML, el investigador pudo crear una carga útil maliciosa, enviada a través de la función en Teams, para activar XSS, obtenida a través de la interacción del usuario.
Turle reveló el problema de XSS a Microsoft el 6 de enero. La vulnerabilidad se corrigió en marzo y el investigador recibió una recompensa. Con tantos usuarios, cualquier vulnerabilidad en Microsoft Teams podría tener un impacto generalizado.
Créditos: Jarvis Wagner