专家发布了针对微软解决的Android缺陷的Outlook的PoC

华盟君引言“来自F5网络的安全研究员发布了更多的细节和概念验证，为最近解决的缺陷在Outlook的Android。”

微软最近在Android的Outlook中解决了一个名为CVE-2019-1105的重要漏洞，该漏洞可能会影响超过1亿用户。

该漏洞是一个存储的跨站点脚本问题，与应用程序解析传入电子邮件消息的方式有关。

微软针对Android软件的Outlook在分析特定设计的电子邮件信息时存在一个欺骗漏洞。经过身份验证的攻击者可以通过向受害者发送经过特殊设计的电子邮件消息来利用该漏洞。微软发布的安全建议写道。

“成功利用此漏洞的攻击者可以对受影响的系统执行跨站点脚本攻击，并在当前用户的安全上下文中运行脚本。”

攻击者可以利用这个漏洞，向受害者发送一个特别精心设计的消息，并在当前用户的上下文中运行恶意代码。该漏洞可能导致欺骗攻击。

Outlook中的欺骗问题是由多位安全研究人员分别报告的，其中包括来自F5 Networks的研究人员布莱恩阿普尔比(Bryan Appleby)。F5 Networks目前公布了更多细节，并对该漏洞进行了概念验证。六个月前，Appleby报告了微软的漏洞，并在一篇帖子中解释了他是如何发现这个问题的。

专家在通过电子邮件向他的朋友发送一些JavaScript代码时，意外地发现了XSS问题，该问题可能允许攻击者在电子邮件中嵌入iframe。

“在电子邮件中嵌入iframe的能力已经是一个漏洞。更糟糕的是，iframe没有受到阻止跟踪像素和web信标的块外部图像设置的影响。但如果攻击者能够在电子邮件中运行JavaScript，那么可能会出现更危险的攻击载体。专家解释道。

考虑到这一点，我尝试在电子邮件中插入一个script标签，而不是iframe。它失败了，这是好事。不过，我可以通过在iframe中使用JavaScript URL来绕过这个问题。”

专家指出，该漏洞影响了电子邮件服务器解析电子邮件中包含的HTML实体的方式。

通常在iframe中运行的JavaScript只能访问其中的内容，但是Appleby发现可以在注入的iframe中执行JavaScript代码来访问页面其余部分的数据。在Android的Outlook中，iframe JavaScript可以完全访问cookie、令牌甚至一些电子邮件。

这个漏洞允许专家从应用程序中窃取数据，他利用它来读取和提取HTML。

“这种漏洞可能被发送含有JavaScript的电子邮件的攻击者利用。服务器转义该JavaScript并没有看到它，因为它在iframe中。发送后，邮件客户机自动撤消转义，JavaScript在客户机设备上运行。远程代码执行。专家补充道。

这段代码可以做攻击者想做的任何事情，包括窃取信息和/或发送数据。攻击者可以发送电子邮件给你，只要你阅读它，他们就可以窃取你收件箱的内容。一旦武器化，这就会变成一种非常恶劣的恶意软件。”

缺陷时间线以下:

2018年12月10日-首次向MSRC披露

2019年1月16日-发送的漏洞视频截图。微软不能再生产。冷了。

2019年3月26日-环球POC发送到MSRC

2019年3月26日-微软确认repro

2019年6月20日- Fix发布