一位安全研究人员发现，攻击者可能会滥用Microsoft Teams中流行的贴纸功能来进行跨站点脚本(XSS)攻击。Microsoft Teams以及包括Zoom在内的类似电话会议服务在过去几年中的受欢迎程度激增。Covid -19大流行迫使组织尽可能采用在家工作的模式。在此之后，员工通常可以选择保持远程或混合。拥有如此多的用户，Microsoft Teams中的任何漏洞都可能产生广泛影响。因此，包括Gais Cyber​​ Security的高级网络安全专家Numan Turle在内的网络安全研究人员已经检查了该软件的潜在缺陷。

2021 年，Turle发现了CVE-2021-24114。CVSS评分为5.7，该漏洞是在通过Teams发送的图像的预览过程中发现的，用于泄漏Skype令牌(PDF)并触发Teams iOS中的帐户接管漏洞。

一年后，研究人员决定检查Microsoft Teams的贴纸功能是否存在新的安全问题。

当通过Teams发送贴纸时，平台会将其转换为图像并在后续消息中将内容上传为“RichText/HTML”。

Turle使用Burp Suite检查了HTML请求并尝试了典型的属性——但由于Microsoft的内容安全策略(CSP)提供的保护而无济于事。

CSP旨在缓解一系列常见的Web攻击，包括XSS。

然而，在将CSP插入Google的CSP Evaluator工具后，研究人员发现了一个CSP缺陷——script-src字段被标记为不安全，这为针对多个域的潜在HTML注入攻击铺平了道路。

微软已经通过Azure域更改堵上了这些安全漏洞。因此，在深入挖掘并检查浏览器中的Teams之后，Turle发现了一个 JavaScript元素angular-jquery，它可以用作替代品。

jQuery with Angular是一个用于管理HTML和CSS交互的JavaScript框架。但是，此版本已过时，过时版本(1.5.14)中的漏洞可用于绕过CSP。

在借助HTML编码制作恶意iframe后，研究人员能够创建恶意负载，通过Teams中的贴纸功能发送，以触发通过用户交互获得的XSS。

Turle于1月6日向微软披露了XSS问题。该漏洞已于3月修复，研究人员获得了6000美元的漏洞赏金。