欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

SharePoint邮件通知服务中的XSS漏洞

来源:本站整理 作者:佚名 时间:2019-04-02 TAG: 我要投稿


跨站脚本漏洞(XSS)近年来一直是 OWASP的Top 10 经典攻击方式,能在野外发现XSS漏洞也是相当不错的了,尤其是在一些知名的网络产品中。近期,美国Target安全团队就在一次渗透测试过程中,发现了微软在线服务产品SharePoint的一个XSS独特漏洞,无需任何用户交互行为,就可实现攻击利用,以下是Target团队的分享。
SharePoint介绍
SharePoint属于微软 Office 365的旗下产品服务,可以作为企业和团队协作工作平台,它能提供包含Outlook、Excel、Word和其它微软系列产品的在线web接口门户服务(Portal),够无缝连接到用户、团队和企业知识库。利用SharePoint集成的web门户服务,可使得端到端的合作更为容易,实现了个人、团队和信息的整合、组织和搜索。SharePoint的web门户服务可以通过浏览器方式通知用户接收新邮件、Lync通信和Skype消息以及要开会议。
然而,就是SharePoint的这种通知服务,使得恶意攻击者可以利用Target安全团队发现的漏洞,通过发送邮件形式就能向受害者浏览器中注入恶意代码,无需用户交互,自动实现XSS攻击。
漏洞发现
在一次对基于SharePoint集成的应用程序渗透测试中,我们偶然发现了该漏洞。在测试某个功能点时,我们用目标测试应用向测试账号发送了一封包含有跨站脚本Payload的通知邮件,不一会儿,测试账号登录的SharePoint会话环境中就会跳出了以下XSS窗口:

经过分析,我们发现,这种集成的SharePoint服务架构中,客户端浏览器每隔一分钟就会向以下URL链接发起一次GET请求,去探测新邮件等消息,以便为用户进行实时信息更新。
https://outlook.office365.com/owa/ev.owa2?ns=PendingRequest&ev=PendingNotificationRequest&UA=0&cid=[cid]&X-SuiteServiceProxyOrigin=https://[company].sharepoint.com
另外,如果客户端用户有新邮件进来,SharePoint服务器会以JSON数据格式对用户作出通知响应,这种通知响应是集成在用户的SharePoint页面中的。以下为通知响应消息格式:
HTTP/1.1 200 OK[TRUNCATED]script>[{"__type":"NewMailNotificationPayload:#Exchange","id":"NewMailNotification","Sender":"SenderInformation","Subject":"Email Subject","PreviewText":"Preview Text","ItemId":"[itemID]","ConversationId":"[conversationID]","IsClutter":false,"SenderSmtpEmailAddress":"johndoe@example.com","InferenceClassification":"Focused","EventType":"0"}]script>
其中,PreviewText参数中包含了邮件内容,但却无法有效过滤掉一些如 / 的危险符号。虽然SharePoint对单引号 ’ 和双引号 ” 都进行了恰当的编码转义,但却未对反引号 ` 进行转义,所以基于此,包含有XSS Payload alert(`hello`)的以下邮件通知消息就可能成功执行:
[{"__type":"NewMailNotificationPayload:#Exchange","id":"NewMailNotification","Sender":"SenderInformation","Subject":"Email Subject","PreviewText":"alert(`hello`)","ItemId":"[itemID]","ConversationId":"[conversationID]","IsClutter":false,"SenderSmtpEmailAddress":"johndoe@example.com","InferenceClassification":"Focused","EventType":"0"}]
注意,上述XSS Payload闭合了script标签,能成功执行XSS语句:

漏洞利用
该漏洞可在多种场景下被利用,以下是我们创建的一个PoC攻击场景:
1、攻击者通过缩小代码和变换字体颜色的方式,构造了一封看似无害的恶意邮件发送给受害者,注意其中嵌入的恶意代码:

2、如果受害者在收到上述邮件时处于SharePoint 服务登录状态,那么,当收到这封邮件后,受害者后台的SharePoint邮件通知服务就会加载Payload,跳出我们伪造的“会话过期需要重新登录(Session expired,Please log in    again)”的提示,如下:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载