- يشارك باحثو الأمن الأخبار المتعلقة بتطبيق المؤتمرات الشهير من Microsoft.
- على ما يبدو ، لا تزال Teams تعاني من أربع نقاط ضعف تسمح للمهاجمين بالتسلل.
- يمكن استخدام اثنين منهم للسماح بتزوير الطلبات من جانب الخادم (SSRF) والانتحال.
- الاثنان الآخران يؤثران فقط على الهواتف الذكية التي تعمل بنظام Android ويمكن استغلالهما لتسريب عناوين IP.
كنا نتحدث فقط عن Teams في اليوم الآخر ، ونبلغ عن كيفية القيام بذلك قد لا تتمكن من إنشاء حسابات تنظيمية مجانية جديدة، وعاد أفضل تطبيق للمؤتمرات من Microsoft إلى دائرة الضوء بالفعل.
وعلى الرغم من أننا نشعر بتحسن عندما يتعين علينا الإبلاغ عن إصلاحات وتحسينات أو ميزات جديدة قادمة إلى Teams ، إلا أنه يتعين علينا أيضًا إعلامك بمخاطر الأمان هذه.
على ما يبدو ، اكتشف الباحثون الأمنيون أربع نقاط ضعف منفصلة داخل Teams ، يمكن أن تكون كذلك تم استغلالها من أجل انتحال معاينات الروابط ، وتسريب عناوين IP ، وحتى الوصول إلى حسابات Microsoft الداخلية خدمات.
لا تزال أربع نقاط ضعف رئيسية قيد الاستغلال في البرية
عثر خبراء من شركة Positive Security على هذه الثغرات الأمنية أثناء بحثهم عن طريقة لتجاوز سياسة نفس الأصل (SOP) في Teams و Electron ، وفقًا لـ مشاركة مدونة.
فقط في حالة عدم معرفتك بالمصطلح ، فإن SOP هي آلية أمان موجودة في المتصفحات تساعد في منع مواقع الويب من مهاجمة بعضها البعض.
أثناء التحقيق في هذه المسألة الحساسة ، وجد الباحثون أنه يمكنهم تجاوز SOP في Teams عن طريق إساءة استخدام ميزة معاينة رابط التطبيق.
تم تحقيق ذلك بالفعل من خلال السماح للعميل بإنشاء معاينة ارتباط للصفحة الهدف ثم باستخدام إما نص ملخص أو التعرف الضوئي على الحروف (OCR) على صورة المعاينة لاستخراجها معلومة.
أيضًا ، أثناء القيام بذلك ، اكتشف المؤسس المشارك لـ Positive Security ، فابيان برونلين ، ثغرات أمنية أخرى غير ذات صلة في تنفيذ الميزة أيضًا.
يمكن استخدام اثنين من الأخطاء السيئة الأربعة الموجودة في Microsoft Teams على أي جهاز والسماح بتزوير الطلب من جانب الخادم (SSRF) والخداع.
الاثنان الآخران يؤثران فقط على الهواتف الذكية التي تعمل بنظام Android ويمكن استغلالهما لتسريب عناوين IP وتحقيق رفض الخدمة (DOS).
وغني عن البيان أنه من خلال استغلال ثغرة SSRF ، تمكن الباحثون من تسريب المعلومات من شبكة Microsoft المحلية.
في الوقت نفسه ، يمكن استخدام خطأ الانتحال لتحسين فعالية هجمات التصيد أو إخفاء الروابط الضارة.
يجب أن يكون الخطأ الأكثر إثارة للقلق بينهم جميعًا هو خطأ DOS ، حيث يمكن للمهاجم إرسال ملف تتضمن معاينة ارتباط مع هدف ارتباط معاينة غير صالح لتعطيل تطبيق Teams لـ ذكري المظهر.
لسوء الحظ ، سيستمر التطبيق في التعطل عند محاولة فتح الدردشة أو القناة التي تحتوي على رسالة ضارة.
في الواقع ، أبلغت شركة Positive Security شركة Microsoft عن النتائج التي توصلت إليها في 10 مارس من خلال برنامج مكافآت الأخطاء. منذ ذلك الحين ، قام عملاق التكنولوجيا بتصحيح مشكلة تسرب عنوان IP فقط في Teams لنظام Android.
ولكن الآن بعد أن أصبحت هذه المعلومات المقلقة علنية وعواقب هذه الثغرات الأمنية واضحة تمامًا ، سيتعين على Microsoft تصعيد لعبتها والتوصل إلى بعض الإصلاحات السريعة والفعالة.
هل واجهت أي مشاكل أمنية أثناء استخدام Teams؟ شارك تجربتك معنا في قسم التعليقات أدناه.
