أخبار عاجلة
بعد انسحاب الخطيب… عون يجري عددًا من الاتصالات -
كرم: نقول لهم هذا لبنان وليس إيران -
عطاالله: أصبح جليًا من يتلاعب بالبلد منذ 17 تشرين -

مجددا.. اكتشاف ثغرة خطرة بنظام تسجيل الدخول بمايكروسوفت

إشترك في خدمة واتساب

أصلحت شركة ثغرة أمنية في نظام تسجيل الدخول الخاص بها، وهي ثغرة يقول الباحثون الأمنيون إنه كان من الممكن أن تُستخدم لخداع ضحايا آمنين في منح المتسللين إمكانية الوصول الكامل إلى حساباتهم على الإنترنت.

وسمحت هذه الثغرة الأمنية للمهاجمين بأن يسرقوا بهدوء رموز الحسابات، التي تستخدمها المواقع والتطبيقات لمنح المستخدمين حق الوصول إلى حساباتهم من دون الحاجة إلى إعادة إدخال كلمات المرور الخاصة بهم باستمرار. وتُنشئ هذه الرموز المميزة بواسطة تطبيق أو موقع ويب بدلًا من اسم المستخدم وكلمة المرور بعد تسجيل دخول المستخدم.

ويحافظ هذا على تسجيل المستخدم باستمرار في الموقع، ولكنه يسمح أيضًا للمستخدمين بالوصول إلى تطبيقات ومواقع الطرف الثالث من دون الحاجة إلى أن يسلموها مباشرةً كلمات المرور الخاصة بهم.

ووجد الباحثون في شركة (سايبر آرك) CyberArk الإسرائيلية المتخصصة في الأمن السيبراني أن مايكروسوفت تركت ثغرة غير مقصودة مفتوحة، وهي الثغرة التي إن استُغلَّت فقد كان من الممكن استخدامها لسرقة رموز الحسابات المستخدمة للوصول إلى حساب الضحية، وكان من المرجح أن يحدث ذلك من دون تنبيه المستخدم على الإطلاق.

ونقل موقع (تك كرنتش) TechCrunch المتخصص في شؤون التقنية حصريًا عن شركة (سايبر آرك) أنها وجدت في أحدث أبحاثها العشرات من النطاقات الفرعية غير المسجلة المتصلة بعدد قليل من التطبيقات التي صممتها مايكروسوفت. وتعد هذه التطبيقات الداخلية موثوق بها للغاية، وبالتالي، يمكن استخدام النطاقات الفرعية المرتبطة لإنشاء رموز الوصول تلقائيًا من دون الحاجة إلى موافقة صريحة من المستخدم.

خداع ضحية غير متوقعة

ومع وجود النطاقات الفرعية في متناول اليد، فإن كل ما يحتاجه المهاجم هو خداع ضحية غير متوقعة للنقر على رابط أُنشئ خصيصًا لهذا الغرض في رسالة بريد إلكتروني أو على موقع ويب، ويمكن أيضًا الرمز المميز.

وفي بعض الحالات، قال الباحثون إنه يمكن فعل ذلك بطريقة "النقر الصفري"، التي يشير اسمها إلى أنها لا تتطلب أي تفاعل من قبل المستخدم تقريبًا. ويمكن أن يؤدي موقع ويب ضار يخفي صفحة ويب مضمنة إلى تشغيل نفس الطلب كوصلة في رسالة بريد إلكتروني ضارة لسرقة الرمز المميز لحساب المستخدم.

تحذير من نقاط ضعف أخرى

ولحسن الحظ، فقد سجل الباحثون أكبر عدد ممكن من النطاقات الفرعية التي يمكنهم العثور عليها من تطبيقات مايكروسوفت الضعيفة لمنع أي سوء استخدام ضار، لكنهم حذروا من أنه قد يكون هناك المزيد.

يُشار إلى أن الشركة الأمنية أبلغت مايكروسوفت بالثغرة أواخر شهر تشرين الأول/أكتوبر الماضي، وقد أُصلحت بعد ثلاثة أسابيع تقريبًا. وقال متحدث باسم الشركة: "لقد حللنا المشكلة مع التطبيقات المذكورة في هذا التقرير في تشرين الثاني/ نوفمبر وما يزال العملاء محميين".

يُشار إلى أن هذه ليست المرة الأولى التي تسارع فيها مايكروسوفت لإصلاح ثغرة في نظام تسجيل الدخول الخاص بها. فقبل عام تقريبًا، أصلحت شركة البرمجيات والخدمات العملاقة ثغرة أمنية مماثلة كانت تسمح بسرقة رموز حساب حزمة التطبيقات المكتبية (أوفيس) Office.

اشترك فى النشرة البريدية لتحصل على اهم الاخبار بمجرد نشرها

تابعنا على مواقع التواصل الاجتماعى

السابق أخيرا.. فيسبوك تسمح بنقل صورك وفيديوهاتك إلى Google Photos
التالى "تويتر" يمنح مستخدميه مزيداً من التحكم ببياناتهم