Vor circa einem Jahr entdeckten wir eine kleine XSS Lücke in Skypes Videomail API - durch die wir einen Eintrag in der Hall of Fame von Microsoft bekommen haben.
Sebastian war zu der Zeit des Fundes (Mitte 2013) bei Tim zu Besuch, um mal wieder eine nette gemeinsame Hacking-Runde durchzuführen und sich einander etwas beizubringen. Tim wollte ein neues Skype Feature auszuprobieren: Videomail , also sendete er Sebastian eine Videonachricht.
Die Nachricht enthielt einen Link zu einer Website mit PIN. Die Website nutzte diesen Pin in einem AJAX-Request zum Host vm.skype.com, wobei die Parameter im JSON Format übertragen wurden. Die Antwort kam in JSON formatiert zurück und hatte zunächst den korrekten Content-Type: application/javascript.
Nach Veränderung des method Parameters gab der Server trotzdem eine text/html Antwort im JSON Format zurück, welche mitteilte, dass die Methode nicht gefunden wurde.
Der Request sah wie folgt aus:
1 2 3 4 5 | |
Um das Proof of Concept (PoC) zu erstellen, nutzten wir einen kleinen Trick, denn die Parameter müssen im JSON Format übertragen werden:
1 2 3 | |
Wir fügten ein neues Wertepaar ein, indem wir das “name”-Attribut des Input-Elements auf {"foo":" setzten und das “value”-Attribute enthielt dann den Rest des JSON Strings. Man sollte aber nicht vergessen, das enctype-Attribute des Formulars auf zu text/plain zu stellen.
Das Endergebnis war:
1
| |
Screenshots:
Timeline:
- 09.08.2013 - Erste Meldung (Initial report)
- 09.08.2013 - Ticket-Erstellung
- 19.08.2013 - Unbestätigter Fix durch den Betreiber
- 25.09.2013 - Betreiber fragt nach, ob die Lücke tatsächlich geschlossen ist - sie ist es.
Wir danken dem Microsoft Support Team für die nette Kommunikation und freuen uns sehr, dass Microsoft inzwischen ein offizielles Bug Bounty Programm für ausgewählte Programme betreibt.
Das Team der internetwache.org