پیدا شدن باگ در سیستم لاگین مایکروسافت

دسته بندی ها : اخبار ۱۵ آذر ۱۳۹۸ فایزه اشرفیان اشرفیان 39 بازدید

مایکروسافت یک آسیب پذیری را در سیستم لاگین خود برطرف کرده است، که محققان امنیتی می گویند ممکن است برای فریب قربانیان برای دسترسی کامل به حساب های آنلاینشان مورد استفاده قرار گیرد.

این اشکال به مهاجمان اجازه می دهد بی سر و صدا توکن های حساب را بدزدند، وب سایت ها و برنامه ها از این توکن ها استفاده می کنند تا به کاربران اجازه دسترسی به اکانت های خود را بدهد بدون اینکه مجبور شوند دوباره رمزهای خود را وارد کنند. این توکن ها پس از ورود به سیستم توسط یک کاربر، توسط اپ یا یک وب سایت به جای نام کاربری و رمز عبور ایجاد می شوند. این امر باعث می شود تا کاربر به طور مداوم وارد سایت شود، اما به کاربران این امکان را می دهد تا به برنامه های شخص ثالث و وب سایت ها دسترسی پیدا کنند بدون اینکه مجبور باشد به طور مستقیم رمزهای خود را وارد کند.

محققان شرکت امنیتی CyberArk اسرائیلی دریافتند که مایکروسافت یک روزنه تصادفی را باز کرده است که در صورت بهره برداری از آن، می توان از این توکن های آماده برای دسترسی به حساب قربانی استفاده کرد – بدون هیچ گونه هشدار به کاربر.

جدیدترین تحقیقات CyberArk ، که منحصراً با TechCrunch به اشتراک گذاشته شده است، ده ها زیر دامنه ثبت نشده را مشاهده کرد که به تعداد معدودی از برنامه های ساخته شده توسط مایکروسافت وصل شده اند. این برنامه های داخلی بسیار قابل اعتماد هستند و به همین ترتیب، زیر دامنه های مرتبط نیز برای دسترسی از این توکن ها بدون نیاز به رضایت صریح کاربر استفاده می‌کند.

با دسترسی به زیر دامنه ها، همه چیزی که مهاجم نیاز دارد این است که یک قربانی مظنون روی یک لینک خاص در ایمیل یا وب سایت کلیک کند و مهاجم بتواند این توکن را بدزدد.

محققان گفته‌اند که در بعضی موارد، این کار به روشی به نام”کلیک- صفر” انجام می شود، که همانطور که از نامش پیداست، تقریباً هیچ نوع تعاملی با کاربر ندارد. یک وب سایت مخرب که یک صفحه وب جاساز شده دارد، همان درخواست را به صورت یک لینک در یک ایمیل مخرب برای سرقت توکن های حساب کاربر ارسال می کند.

خوشبختانه، محققان تعداد زیادی از زیر دامنه هایی را که می توانستنند از برنامه های آسیب پذیر مایکروسافت بیابند، برای جلوگیری از هرگونه سوء استفاده ثبت کرده اند، اما هشدار دادند که ممکن است موارد بیشتری نیز وجود داشته باشد.

این نقص امنیتی در اواخر اکتبر به مایکروسافت گزارش شد و سه هفته بعد برطرف شد.

سخنگوی مایکروسافت گفت: “ما در ماه نوامبر مسئله را با برنامه های ذکر شده در این گزارش حل کردیم و مشتریان همچنان محافظت می شوند.”

این اولین بار نیست که مایکروسافت برای رفع اشکال در سیستم لاگین خود اقدام به عمل می کند. دقیقاً یک سال پیش، غول نرم افزار و خدمات، آسیب پذیری مشابهی را برطرف کرده است که در آن محققان مجاز به تغییر سوابق نامحدود پیکربندی های اشتباه زیردامنه مایکروسافت و توکن های دزدیده شده حساب های Office بودند.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!