محققان امنیتی چندی پیش گزارشی را پیرامون یک آسیبپذیری مایکروسافت تیمز به شرکت سازنده ارسال کردند که موجب ارائهی بستهی امنیتی ازسوی ردموندیها شد. آسیبپذیری مذکور، امکان سوءاستفاده از کنترل حساب کاربری کاربران تیمز را به مجرمان سایبری میداد. آنها تنها با استفاده از یک فایل گیف (GIF) امکان نفوذ به حساب و سرقت داده را داشتند.
محققان امنیتی گروه CyberArk چند روز پیش اعلام کردند که یک آسیبپذیری تصاحب زیردامنه در ترکیب با یک فایل گیف میتواند برای سرقت دادههای شخصی کاربران و درنهایت تصاحب تمام حسابهای کاربری یک سازمان مورد سوءاستفاده قرار بگیرد. گروه امنیتی ادعا کرد که آسیبپذیری مایکروسافت تیمز، کاربران - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - را در هر دو نسخهی دسکتاپ و وب نرمافزار، تهدید میکند.
ابزار ارتباط سازمانی مایکروسافت این روزها بهخاطر شیوع ویروس کرونا و روی آوردن سازمانها به دورکاری، مانند سرویسهای دیگر همچون Zoom و GoToMeeting شاهد افزایش شدید تعداد کاربران بوده است. مایکروسافت تیمز امروزه برای تعاملهای حیاتی در سازمانها استفاده میشود و بسیاری از آن برای اشتراکگذاری دادههای اساسی سازمانی هم استفاده میکنند. همین روند باعث شد تا مجرمان سایبری، بهمرور به سرویس ردموندیها و سوءاستفادههای احتمالی از آن، علاقهمند شوند.
گروه امنیتی CyberArk در جریان تحقیقات خود متوجه شد هر بار که نرمافزار کلاینت مایکروسافت تیمز اجرا شود، یک توکن دسترسی موقت در آن ساخته میشود. اعتبارسنجی توکن مذکور برعهدهی زیردامنهی login.microsoftonline.com است. برای اپلیکیشنهای دیگر همچون SharePoint و Outlook هم توکنهای مشابهی ایجاد - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - میشود.
برای محدودسازی مجوزهای دسترسی به محتوا، دو کوکی بهنامهای authtoken - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - و skypetoken_asm مورد استفاده قرار میگیرد. - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - توکن اسکایپ به زیردامنهی teams.microsoft.com و زیردامنههای دیگر آن ارسال میشود. دو زیردامنه از مجموعهی مذکور، دربرابر تهدید تصاحب زیردامنه، آسیبپذیر گزارش شدند.
در بخشی از گزارش CyberArk دربارهی آسیبپذیری میخوانیم:
خدمات خوب برای خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی میخواهی؟ پس کلیک کن.
اگر - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - مجرم سایبری بهنوعی بتواند کاربر را به بازدید از زیردامنهی تحت تصاحب تشویق کند، مرورگر قربانی این کوکی را به سرور هکر ارسال میکند و - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - هکر پس از - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - دریافت کردن توکن authtoken میتواند یک توکن اسکایپ بسازد. پس از انجام همهی مراحل، هکر میتواند دادههای حساب کاربری تیمز قربانی را سرقت کند.
همانطور که در نگاه اولیه به توضیحات بالا متوجه میشویم، - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - سوءاستفاده از آسیبپذیری به مراحل زنجیرهای پیچیدهای نیاز دارد. مجرم سایبری ابتدا - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - باید برای زیردامنههای مخرب خود یک مجوز دریافت کند که تنها با آزمایشهایی همچون بارگذاری یک فایل خاص در مسیری خاص و تأیید مالکیت انجام میشود. - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - البته از آنجایی که - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - زیردامنهها طبیعتا آسیبپذیر بودند، رد شدن از چالش مذکور آنچنان دشوار نبود. درنتیجه با ارسال یک لینک مخرب به زیردامنهی آسیبپذیر یا ارسال یک فایل گیف به گروه، امکان تولید توکن موردنیاز و تهدید کردن سرویس تیمز قربانی توسط مجرم تأییدشده، - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - فراهم میشد. از آنجایی که برای انجام حمله، تنها مشاهدهی تصویر گیف کافی بود، مجرمان - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - با استفاده از روش مذکور امکان نفوذ به حساب کاربری بیش از یک نفر را داشتند.
گروه امنیتی CyberArk کدهای اثبات عملکرد و روش پیادهسازی آن را منتشر کردند. آنها در بخشی از بیانیهی خود هم گفتند که حتی اگر مجرم سایبری، اطلاعات شخصی قربانی را استخراج نکند، با استفاده از حساب کاربی او میتواند به کل سازمان نفوذ کند. محققان درنهایت طی برنامهی Coordinated Vulnerability Disclosure با محققان امنیت سایبری و مرکز پاسخ امنیتی مایکروسافت (MSRC) همکاری کرده و گزارش را برای آنها ارسال کردند.
آسیبپذیری امنیتی در ۲۳ مارس به مایکروسافت اعلام شد. ردموندیها در همان روز جزئیات و مشخصات DNS دو زیردامنهی آسیبپذیر را اصلاح کردند. بهعلاوه، در بیستم آوریل نیز بستهی امنیتی ارائه شد که تهدید سوءاستفاده از باگهای مشابه را در آینده کاهش داد. - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - شرکت همچنین در بیانیهای اعلام کرد که باوجود عدم مشاهدهی سوءاستفادهی - خدمات پس از فروش یخچال دوقلو بلومبرگ قدیمی - گسترده از باگ، اقدامهای امنیتی لازم پیادهسازی شدهاند.