PostMessaged and Compromised
9 months ago
- #Microsoft
- #security
- #postMessage
- 微软注重主动安全措施,包括识别系统性弱点并在漏洞被利用前降低风险。
- postMessage API对于安全的跨域通信至关重要,但如果来源验证配置不当,可能成为安全漏洞。
- 常见的postMessage漏洞包括不安全的发送方和监听方,会导致令牌窃取、跨站脚本(XSS)和权限提升。
- 在postMessage中验证窗口对象而非来源会制造安全漏洞,使攻击者可劫持iframe。
- 案例研究揭示了Bing Travel和web.kusto.windows.net等平台因使用通配符targetOrigin导致的身份验证令牌暴露漏洞。
- Microsoft 365、Azure和Dynamics 365等服务中过于宽松的来源验证可能导致令牌窃取和未授权操作。
- 利用技术包括在受信任域中实施XSS攻击、接管闲置域名,以及在Power Apps等平台中利用自定义代码。
- 具有过度宽松清单设置(isFullTrust: true、宽泛的validDomains)的Teams应用特别容易受到postMessage攻击。
- 缓解策略包括严格来源验证、移除通配符域名,以及强制执行内容安全策略(CSP)标头。
- 微软针对CVE-2024-49038的响应包括更新应用清单、移除通配符条目,并强制实施默认安全配置。
- 建议客户审计应用清单、限制权限,并使用CodeQL等工具检测不安全的postMessage模式。