BiznetBiznet

External Service Interaction (DNS) on Skype for Business

Yazar: Alphan Yavaş

CVSS: 6.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:L

Risk Seviyesi: Orta

Ürün: Microsoft Skype For Business

Etkilenen Sürümler: Skype For Business mevcut sürümü ve öncesi

Raporlayan: Alphan Yavaş

Problem Detayları: Skype for Business giriş ekranı External Service Interaction (DNS) zafiyetinden etkilenmektedir. Kullanıcı adı aşağıda belirtildiği formatta gönderildiği taktirde hedef sunucu, belirtilen sunucuya DNS istekleri göndermektedir.

Kullanıcı adı: xxx.pentest\ssrf
Parola: (Herhangi bir değer)

Etkilenen Sistemler:
Dizin(inurl): /Dialin/Conference.aspx
Parametre: Username

Not: Hedef sunucudan gelen isteği dinlemek için, kullanıcı adında belirtilen (xxx) sunucu üzerinden TCPdump ile DNS portu dinlenmelidir.

Referanslar:
https://seclists.org/bugtraq/2019/Dec/9

alphan.yavas
Yazar: alphan.yavas