أخبارتكنولوجيا

أربعة أخطاء في مايكروسوفت تيمز تركت النظام الأساسي عرضة للخطر منذ مارس

يمكن للمهاجمين الذين يستغلون الأخطاء في ميزة "معاينة الرابط" في مايكروسوفت تيمز أن يسيءوا استخدام العيوب لخداع الروابط وتسريب عنوان IP لمستخدم أندرويد وشن هجوم DoS.

قال باحثون إن أربع نقاط ضعف في مايكروسوفت تيمز ، لم يتم إصلاحها منذ مارس ، سمحت بانتحال الروابط لعناوين URL وفتحت الباب أمام هجمات DoS ضد مستخدمي أندرويد.

اكتشف باحثون من شركة Positive Security أربعة أخطاء في الميزة في وقت سابق من هذا العام وأخبروا مايكروسوفت بالمشكلات في 10 مارس.

حتى الآن ، يبدو أن الشركة قد قامت بتصحيح خطأ واحد فقط – وهو خطأ يسمح للمهاجمين بتسريب عناوين IP لنظام أندرويد.

قال الباحث فابيان برونلين في مدونة نشرت يوم الأربعاء. مايكروسوفت تيمز هي أداة تعاون تساعد الأشخاص الذين يعملون في مواقع جغرافية مختلفة على العمل معًا عبر الإنترنت.

لهذا السبب ، زاد استخدام الفرق للمنصة أثناء الوباء ، مما يجعلها هدفًا جذابًا بشكل متزايد لممثلي التهديد.

وكتب في التقرير أن باحثي الأمن الإيجابي “عثروا على نقاط الضعف عندما كانوا يبحثون عن طريقة لتجاوز سياسة تيمز SOP.

Electron’s Same-Origin Policy (SOP) هي آلية أمان للمتصفحات تهدف إلى منع مواقع الويب من مهاجمة بعضها البعض.

اكتشف الباحثون أن إحدى الطرق المحتملة لتجاوز SOP في تيمز هي إساءة استخدام ميزة معاينة الارتباط عن طريق السماح للعميل بإنشاء معاينة ارتباط للصفحة الهدف ، ثم استخدام نص الملخص أو إجراء التعرف الضوئي على الأحرف (OCR) على صورة المعاينة لاستخراج المعلومات.

أوضح براولين أنه “في تيمز ، يتم إنشاء هذه المعاينة فعليًا من جانب الخادم بواسطة مايكروسوفت ” ، وهو أمر ممكن لأنه لا يوجد تشفير من طرف إلى طرف.

وهذا يعني أنه لا يمكن إساءة استخدام الميزة لتسريب المعلومات من الشبكة المحلية للمستخدم .

وعلى سبيل المثال ، خادم تصحيح الأخطاء Node.js ، على حد قوله.

“ومع ذلك ، أثناء التحقيق في هذه الميزة ، عثرت على بعض نقاط الضعف غير ذات الصلة في تنفيذها ،” قال براولين.

انهيار الشوائب

قال باحثون إن اثنين من الأخطاء الأربعة التي تم اكتشافها باستخدام مايكروسوفت تيمز المتأثرة يتم استخدامها على أي جهاز وتسمح بتزوير الطلب من جانب الخادم (SSRF) والخداع.

العاملان الآخران – اللذان يطلق عليهما الباحثون “تسرب عنوان IP” و “رفض الخدمة المعروف أيضًا باسم رسالة الموت” – يؤثران فقط على مستخدمي أندرويد.

سمحت ثغرة SSRF للباحثين بتسريب المعلومات من شبكة مايكروسوفت المحلية وتم اكتشافها عندما اختبر براولين نقطة نهاية / urlp / v1 / url / info لـ SSRF ، على حد قوله.

أوضح براولين: “لا تتم تصفية عنوان URL ، مما يؤدي إلى SSRF محدود (وقت الاستجابة والرمز والحجم وبيانات الرسم البياني المفتوحة المسربة) ، والتي يمكن استخدامها لمسح المنافذ الداخلية وإرسال الثغرات المستندة إلى HTTP إلى خدمات الويب المكتشفة”.

وقال إن المهاجمين يمكنهم استخدام خطأ الانتحال لتعزيز هجمات التصيد أو إخفاء الروابط الضارة في المحتوى المرسل إلى المستخدمين.

يمكن القيام بذلك عن طريق تعيين هدف رابط المعاينة “إلى أي مكان مستقل عن الرابط الرئيسي ، وصورة المعاينة والوصف ، واسم المضيف المعروض أو نص التحوُّل” ، وفقًا للمنشور.

لإساءة استخدام خطأ أندرويدDoS ، يمكن لممثل التهديد إرسال رسالة إلى شخص ما يستخدم تيمز عبر تطبيق أندرويد الخاص به والذي يتضمن معاينة ارتباط مع هدف رابط معاينة غير صالح.

أوضح براولين أن هذا سيؤدي إلى تعطل التطبيق باستمرار عندما يحاول المستخدم فتح الدردشة / القناة بالرسالة الضارة ، مما يؤدي بشكل أساسي إلى حظر المستخدمين من الدردشة أو القناة.

أخيرًا ، يمكن للمهاجمين استخدام خطأ تسرب عنوان IP – وهو الخطأ الوحيد الذي يبدو أن مايكروسوفت قد عالجته – لاعتراض الرسائل التي تتضمن معاينة ارتباط لتوجيه عنوان URL المصغر إلى مجال غير تابع لمايكروسوفت .

قال براولين إن هذا ممكن في معاينات الرابط حيث تجلب الواجهة الخلفية الصورة المصغرة للمعاينة المشار إليها وتجعلها متاحة من مجال مايكروسوفت .

وأوضح أن “عميل أندرويد لا يتحقق من النطاق / ليس لديه CSP يقيد النطاقات المسموح بها ويحمل الصورة المصغرة من أي مجال”.

استجابة مايكروسوفت

استجابت مايكروسوفت لأول مرة لـ Positive Security في 12 مارس ، بعد يومين من الكشف عنها ، وذهب الطرفان “ذهابًا وإيابًا” لبضعة أسابيع بشأن تفاصيل قضية الانتحال.

بين 25 مارس و 14 أبريل ، استجابت الشركة بشكل قاطع لكل من القضايا الفردية التي أثيرت ، وفي النهاية أعطت الباحثين الضوء الأخضر للكشف عن نتائجها علنًا ، وفقًا للمنشور.

ولم ترد مايكروسوفت الأربعاء على الفور على طلب للتعليق على تقرير شركة بوزيتيف سيكيوريتي.

في 25 مارس ، قررت الشركة عدم تصحيح أخطاء DoS و SSRF ، وفقًا لما ذكره براولين.

قالت مايكروسوفت إنها قررت أن خطأ DoS “لا يتطلب خدمة أمان فورية” لأنه “منخفض الخطورة بالنسبة إلى DoS المؤقت الذي يتطلب إعادة تشغيل التطبيق” ، وفقًا للمنشور.

وأضافت مايكروسوفت أنها ستنظر في حل المشكلة في إصدار لاحق من المنتج.

فيما يتعلق بخلل SSRF ، لم تقدم مايكروسوفت أي سبب لإغلاق القضية بدون تصحيح ، قائلة فقط أن الشركة “لن تصلح هذه الثغرة الأمنية في الإصدار الحالي” ، وفقًا لـ Positive Security.

رفضت مايكروسوفت أيضًا تصحيح تسريب عنوان IP لنظام أندرويد في 4 أبريل ، مؤكدة أن المشكلة “لا تشكل تهديدًا فوريًا يتطلب اهتمامًا عاجلاً بسبب حساسية البيانات العامة لبيانات عنوان IP”.

ومع ذلك ، فقد شاركت الشركة التقرير مع الفريق المسؤول عن المنتج ، وأظهرت إعادة اختبار جميع الأخطاء التي أجرتها شركة Positive Security في 15 ديسمبر أنه يبدو أن المشكلة قد تم تصحيحها ، كما كتب براولين.

في 14 أبريل ، رفضت مايكروسوفت أيضًا معالجة مشكلة انتحال عنوان URL ، وخلصت إلى أنها أيضًا لا تشكل تهديدًا فوريًا “لأنه بمجرد أن ينقر المستخدم على عنوان URL ، سيتعين عليه الانتقال إلى عنوان URL الضار الذي سيكون بمثابة هدية ليس الشخص الذي كان يتوقعه المستخدم “، وفقًا لـ Positive Security.

مقالات ذات صلة