الأخبار التكنولوجية والاستعراضات والنصائح!
  • نوتيسياس
  • التليفون المحمول
  • Apps
  • Games
  • Gadgets
  • الحاسوب

الأخبار التكنولوجية والاستعراضات والنصائح!

  • نوتيسياس
  • التليفون المحمول
  • Apps
  • Games
  • Gadgets
  • الحاسوب

كان لدى Microsoft Team نقاط ضعف سمحت باختراق حسابك باستخدام ملف GIF: تقرير

by admin3739 05/01/2020

تعد Microsoft Teams من بين خدمات مؤتمرات الفيديو الشائعة وشهدت ارتفاعًا في عدد المستخدمين بسبب وباء فيروس كورونا. ولكن ، مع زيادة قاعدة المستخدمين ، تأتي مخاطر أمنية متزايدة. وجد تحليل جديد لـ Microsoft Teams من قبل شركة أمن المعلومات CyberArk أن حسابات المستخدمين كانت عرضة لعمليات الاستحواذ فقط من خلال مشاركة ملف GIF ضار. ترتبط هذه الثغرة برمز الوصول المؤقت الذي تم إنشاؤه بواسطة Microsoft Teams في نقاط مختلفة ويمكن أن تؤثر على إصدارات Teams لسطح المكتب أو متصفح الويب. ومع ذلك ، قالت شركة Microsoft أنها عالجت المشكلة واتخذت خطوات للحفاظ على أمان عملائها.

خلفية رموز الدخول المؤقتة

تم رصد الثغرة بواسطة CyberArk عندما حلل كيفية عمل Microsoft Teams. أثناء البحث ، وجد أنه في كل مرة يتم فيها فتح Teams ، يقوم العميل بإنشاء رمز مؤقت جديد أو رمز وصول جديد. تمامًا مثل رمز الدخول الأولي ، هناك رموز مميزة أخرى تم إنشاؤها أيضًا على سبيل المثال لـ SharePoint و Outlook والخدمات الأخرى. تُستخدم هذه الرموز المميزة للسماح للمستخدم برؤية الصور أو ملفات GIF التي تمت مشاركتها معه أو بواسطته. نظرًا لتخزين هذه الصور على خوادم Microsoft ، يتم إنشاء رمز مميز يسمى "رمز سكايب المميز" ويمكن أيضًا رؤيته على أنه ملف تعريف ارتباط يسمى "skypetoken_asm".

  

عالي التأثر

لاحظ الباحثون أن Teams تتأكد من أن المستخدمين سيتمكنون من رؤية المحتوى من خلال إنشاء ملفي تعريف ارتباط يسمى "authtoken" و "skypetoken_asm". وبالتالي ، إذا تمكن شخص ما من الوصول إلى المكتوب تلقائيًا ، فيمكنه إنشاء رمز سكايب مميز. وذكر أن اثنين من المجالات الفرعية ضمن Microsoft Teams ، وهما 'aadsync-test.teams.microsoft.com' و 'data-dev.teams.microsoft.com' ، كانا عرضة لاستيلاء على نطاق فرعي ، قال CyberArk إنه إذا قام مهاجم يمكن "إجبار مستخدم على زيارة النطاقات الفرعية" ، سيرسل متصفح الضحية ملف تعريف ارتباط إلى خادم المهاجم ، مما يسمح للمهاجمين بإنشاء رمز سكايب مميز. هذا سيمنح المهاجم حق الوصول إلى بيانات حساب Teams للضحية.

  • 5 تطبيقات بديلة لتكبير التطبيق

.embed-container {الموضع: قريب ؛ المساحة السفلية: 56.25٪ ؛ الارتفاع: 0 ؛ إخفاء الفائض؛ الحد الأقصى للعرض: 100٪ ؛ } .embed-container iframe ، .embed-container object ، .embed-container embed {position: مطلق؛ أعلى: 0 ؛ اليسار: 0 ؛ العرض: 100٪ ؛ الارتفاع: 100٪ ؛ }}

من خلال الاستفادة من هذه الثغرة الأمنية في Microsoft Teams ، ذكر CyberArk أنه كان بإمكان المهاجمين استخدام ملف GIF ضار "لاستخلاص بيانات المستخدم والاستيلاء في نهاية المطاف على قائمة حسابات Teams الكاملة للمؤسسة". لوحظ أن الثغرات الأمنية مثل هذه لديها القدرة على الانتشار تلقائيًا وستؤثر على كل مستخدم يستخدم إصدار Teams لسطح المكتب أو متصفح الويب.

  • تقوم Microsoft Teams بإصلاح مشكلة يمكن أن تتراكم باستخدام الارتباطات وصور GIF

رد مايكروسوفت

كما أشار التحليل إلى أنه بعد العمل مع Microsoft Research Research Center ، تم إصلاح المشكلة. وفقًا لشركة ZDNet ، قالت Microsoft: "لقد عالجنا المشكلة التي تمت مناقشتها في هذه المدونة وعملنا مع الباحث تحت الإفشاء المنسق للضعف. في حين أننا لم نر أي استخدام لهذه التقنية في البرية ، فقد اتخذنا خطوات للحفاظ على سلامة عملائنا ".

GIFMicrosoftTeamباختراقباستخدامتقريرحسابكسمحتضعفكانلدىملفنقاط

المشاركات الاخيرة

  • قم بتثبيت Android 4.1.1 AOKP Jelly Bean Preview على Verizon Galaxy Nexus

  • هواوي تستجيب لأحدث الولايات المتحدة عمل

  • تطبيق أمان العائلة من Microsoft متوفر الآن في المعاينة

  • Amazon تطلق أقراص Fire HD 8 الجديدة

  • Xiaomi Mi Band 5 Live Images Spotted Online ، تم تحويله إلى ميزة Amazon دعم Alexa ، مستشعر SpO2

    @2019 - الأخبار التكنولوجية والاستعراضات والنصائح!

    يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على هذا ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك.

    في حالة بيع معلوماتك الشخصية ، يمكنك إلغاء الاشتراك باستخدام الرابط
    لا تبيع معلوماتي الشخصية

    قبول انخفاض Cookie Settings
    • About Cookies

      About Cookies

      ملفات تعريف الارتباط هي ملفات نصية صغيرة يمكن استخدامها بواسطة مواقع الويب لجعل تجربة المستخدم أكثر كفاءة. ينص القانون على أنه يمكننا تخزين ملفات تعريف الارتباط على جهازك إذا كانت ضرورية للغاية لتشغيل هذا الموقع. بالنسبة لجميع أنواع ملفات تعريف الارتباط الأخرى ، نحتاج إلى إذنك. يستخدم هذا الموقع أنواعًا مختلفة من ملفات تعريف الارتباط. يتم وضع بعض ملفات تعريف الارتباط بواسطة خدمات جهات خارجية تظهر على صفحاتنا.
    • Necessary

      Necessary

      Always Active
      Necessary cookies help make a website usable by enabling basic functions like page navigation and access to secure areas of the website. The website cannot function properly without these cookies.

      We do not use cookies of this type.
    • Marketing

      Marketing

      Marketing cookies are used to track visitors across websites. The intention is to display ads that are relevant and engaging for the individual user and thereby more valuable for publishers and third party advertisers.

      We do not use cookies of this type.
    • Analytics

      Analytics

      Analytics cookies help website owners to understand how visitors interact with websites by collecting and reporting information anonymously.

      We do not use cookies of this type.
    • Preferences

      Preferences

      Preference cookies enable a website to remember information that changes the way the website behaves or looks, like your preferred language or the region that you are in.
      NameDomainPurposeExpiryType
      NIDgoogle.comGoogle unique id for preferences.6 monthsHTTP
    • Unclassified

      Unclassified

      Unclassified cookies are cookies that we are in the process of classifying, together with the providers of individual cookies.
      NameDomainPurposeExpiryType
      __cfduidchoq.fmGeneric CloudFlare functional cookie.1 yearHTTP
    Cookie Settings

    Do you really wish to opt-out?