Validasi origin postMessage yang lemah dapat menyebabkan pencurian token, XSS, dan eskalasi hak akses.
Beberapa studi kasus MSRC menemukan eksposur token otentikasi melalui postMessage dengan targetOrigin "*".
Mitigasi efektif meliputi menentukan origin tepercaya secara spesifik dalam panggilan postMessage dan menghapus wildcard.
Pola domain wildcard ( *.domain.com) memperluas permukaan serangan dan memudahkan eksploitasi jika subdomain dikompromikan.
Eksploitasi postMessage dapat dilakukan lewat XSS, pengambilalihan dangling domains, dan custom code di platform seperti Power Apps.
Manifest Teams dengan isFullTrust: true dan validDomains wildcard memicu XSS nol-interaksi (0-click) dan pencurian token.
Microsoft telah menanggapi CVE-2024-49038 dengan memperketat validDomains, menghapus wildcard, dan memperbaiki pengaturan manifest Copilot Studio.
Rekomendasi pelanggan meliputi audit manifest, batasi validDomains, validasi event.origin, terapkan Content Security Policy, dan hapus domain tidak terpakai.
Get notified when new stories are published for "Berita Peretas 🇮🇩 Bahasa Indonesia"