محققان امنیتی چندی پیش گزارشی را پیرامون یک آسیبپذیری مایکروسافت تیمز به شرکت سازنده ارسال کردند که موجب ارائهی بستهی امنیتی ازسوی ردموندیها شد. آسیبپذیری مذکور، امکان سوءاستفاده از کنترل حساب کاربری کاربران تیمز را به مجرمان سایبری میداد. آنها تنها با استفاده از یک فایل گیف (GIF) امکان نفوذ به حساب و سرقت داده را داشتند.
محققان امنیتی گروه CyberArk چند روز پیش اعلام کردند که یک آسیبپذیری تصاحب زیردامنه در ترکیب با یک فایل گیف میتواند برای سرقت دادههای شخصی کاربران و درنهایت تصاحب تمام حسابهای کاربری یک سازمان مورد سوءاستفاده قرار بگیرد. گروه امنیتی ادعا کرد که آسیبپذیری مایکروسافت تیمز، کاربران - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - را در هر دو نسخهی دسکتاپ و وب نرمافزار، تهدید میکند.
ابزار ارتباط سازمانی مایکروسافت این روزها بهخاطر شیوع ویروس کرونا و روی آوردن سازمانها به دورکاری، مانند سرویسهای دیگر همچون Zoom و GoToMeeting شاهد افزایش شدید تعداد کاربران بوده است. مایکروسافت تیمز امروزه برای تعاملهای حیاتی در سازمانها استفاده میشود و بسیاری از آن برای اشتراکگذاری دادههای اساسی سازمانی هم استفاده میکنند. همین روند باعث شد تا مجرمان سایبری، بهمرور به سرویس ردموندیها و سوءاستفادههای احتمالی از آن، علاقهمند شوند.
گروه امنیتی CyberArk در جریان تحقیقات خود متوجه شد هر بار که نرمافزار کلاینت مایکروسافت تیمز اجرا شود، یک توکن دسترسی موقت در آن ساخته میشود. اعتبارسنجی توکن مذکور برعهدهی زیردامنهی login.microsoftonline.com است. برای اپلیکیشنهای دیگر همچون SharePoint و Outlook هم توکنهای مشابهی ایجاد - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - میشود.
برای محدودسازی مجوزهای دسترسی به محتوا، دو کوکی بهنامهای authtoken - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - و skypetoken_asm مورد استفاده قرار میگیرد. - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - توکن اسکایپ به زیردامنهی teams.microsoft.com و زیردامنههای دیگر آن ارسال میشود. دو زیردامنه از مجموعهی مذکور، دربرابر تهدید تصاحب زیردامنه، آسیبپذیر گزارش شدند.
در بخشی از گزارش CyberArk دربارهی آسیبپذیری میخوانیم:
خدمات خوب برای خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی میخواهی؟ پس کلیک کن.
اگر - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - مجرم سایبری بهنوعی بتواند کاربر را به بازدید از زیردامنهی تحت تصاحب تشویق کند، مرورگر قربانی این کوکی را به سرور هکر ارسال میکند و - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - هکر پس از - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - دریافت کردن توکن authtoken میتواند یک توکن اسکایپ بسازد. پس از انجام همهی مراحل، هکر میتواند دادههای حساب کاربری تیمز قربانی را سرقت کند.
همانطور که در نگاه اولیه به توضیحات بالا متوجه میشویم، - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - سوءاستفاده از آسیبپذیری به مراحل زنجیرهای پیچیدهای نیاز دارد. مجرم سایبری ابتدا - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - باید برای زیردامنههای مخرب خود یک مجوز دریافت کند که تنها با آزمایشهایی همچون بارگذاری یک فایل خاص در مسیری خاص و تأیید مالکیت انجام میشود. - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - البته از آنجایی که - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - زیردامنهها طبیعتا آسیبپذیر بودند، رد شدن از چالش مذکور آنچنان دشوار نبود. درنتیجه با ارسال یک لینک مخرب به زیردامنهی آسیبپذیر یا ارسال یک فایل گیف به گروه، امکان تولید توکن موردنیاز و تهدید کردن سرویس تیمز قربانی توسط مجرم تأییدشده، - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - فراهم میشد. از آنجایی که برای انجام حمله، تنها مشاهدهی تصویر گیف کافی بود، مجرمان - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - با استفاده از روش مذکور امکان نفوذ به حساب کاربری بیش از یک نفر را داشتند.
گروه امنیتی CyberArk کدهای اثبات عملکرد و روش پیادهسازی آن را منتشر کردند. آنها در بخشی از بیانیهی خود هم گفتند که حتی اگر مجرم سایبری، اطلاعات شخصی قربانی را استخراج نکند، با استفاده از حساب کاربی او میتواند به کل سازمان نفوذ کند. محققان درنهایت طی برنامهی Coordinated Vulnerability Disclosure با محققان امنیت سایبری و مرکز پاسخ امنیتی مایکروسافت (MSRC) همکاری کرده و گزارش را برای آنها ارسال کردند.
آسیبپذیری امنیتی در ۲۳ مارس به مایکروسافت اعلام شد. ردموندیها در همان روز جزئیات و مشخصات DNS دو زیردامنهی آسیبپذیر را اصلاح کردند. بهعلاوه، در بیستم آوریل نیز بستهی امنیتی ارائه شد که تهدید سوءاستفاده از باگهای مشابه را در آینده کاهش داد. - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - شرکت همچنین در بیانیهای اعلام کرد که باوجود عدم مشاهدهی سوءاستفادهی - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - گسترده از باگ، اقدامهای امنیتی لازم پیادهسازی شدهاند.
- تلفن نمایندگی یخچال بالا پایین آ ا گ قدیمی - خدمات پس از فروش ساید بای ساید اسنوا قدیمی - نمایندگی رسمی یخچال بالا پایین زیمنس قدیمی - شماره تعمیرکار یخچال بالا پایین الجی قدیمی - شماره تعمیرکار ساید بای ساید ایندزیت قدیمی - نمایندگی رسمی یخچال بالا پایین اسنوا قدیمی - تلفن تعمیرگاه مجاز یخچال وایت هاوس در منزل - شماره تعمیرکار یخچال فریزر سامسونگ در منزل - شماره تعمیرکار ساید بای ساید آدمیرال قدیمی - تعمیرگاه مجاز ساید بای ساید ویرپول در منزل - شماره تعمیرکار یخچال دوقلو تکنوگاز در منزل - نمایندگی رسمی یخچال ساید وایت هاوس در منزل - تلفن نمایندگی یخچال ساید وایت هاوس در منزل - خدمات پس از فروش ساید بای ساید زیمنس قدیمی - تلفن تعمیرگاه مجاز یخچال دوقلو آ ا گ قدیمی - خدمات پس از فروش یخچال دوقلو اسنوا در منزل - شماره تعمیرکار ساید بای ساید جنرال الکتریک - شماره تعمیرکار یخچال فریزر تکنوگاز در منزل - خدمات پس از فروش یخچال دوقلو جنرال الکتریک - تلفن تعمیرگاه مجاز یخچال دوقلو کنوود قدیمی - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - تلفن تعمیرگاه مجاز یخچال دوقلو جی تگ قدیمی - شماره تعمیرکار یخچال فریزر وایت هاوس قدیمی - شماره تعمیرکار ساید بای ساید زیمنس در منزل - خدمات پس از فروش یخچال فریزر تکنوگاز قدیمی - تلفن تعمیرگاه مجاز یخچال فریزر کنوود قدیمی - تلفن تعمیرگاه مجاز یخچال فریزر اسنوا قدیمی - تلفن تعمیرگاه مجاز یخچال بالا پایین ویرپول - خدمات پس از فروش یخچال فریزر زیمنس در منزل - تعمیرگاه مجاز یخچال بالا پایین آ ا گ قدیمی - سرویسکار یخچال دوقلو جنرال الکتریک در منزل - خدمات پس از فروش یخچال دوقلو ایندزیت قدیمی - تعمیرگاه مجاز یخچال بالا پایین اسنوا قدیمی - خدمات پس از فروش فریزر جنرال الکتریک قدیمی - سرویسکار یخچال بالا پایین آ ا گ مرکز تهران - نمایندگی رسمی فریزر جنرال الکتریک پاسداران - نمایندگی رسمی ساید بای ساید تکنوگاز اقدسیه - شماره تعمیرکار یخچال دوقلو اسنوا تهرانپارس - تعمیر یخچال بالا پایین وستینگهاوس پاسداران - خدمات پس از فروش یخچال فریزر مای تگ در محل - نمایندگی یخچال بالا پایین ویرپول تهرانپارس - 
