ثغرة أمنية بنظام تسجيل الدخول بمايكروسوفت ، قامت شركة مايكروسوفت بإصلاح ثغرة أمنية ، وذلك فى نظام تسجيل الدخول الخاص بها، ويذكر الباحثون الأمنيون حول تلك الثغرة أنها كان من الممكن أن يتم إستخدامها بهدف خداع ضحايا آمنين فى منح المتسللين إمكانية الوصول الكامل إلى حساباتهم على الانترنت.
التوصل إلى ثغرة أمنية بنظام تسجيل الدخول بمايكروسوفت
وقد قامت تلك الثغرة الأمنية بالسماح للمهاجمين بأن يقوموا وبكل هدوء بسرقة رموز الحسابات، التى تقوم المواقع والتطبيقات بإستخدامها، بغرض منح المستخدمين حق الوصول إلى حساباتهم، وذلك بدون الحاجة إلى إعادة إدخال كلمات المرور الخاصة بهم بشكل مستمر.
ويتم إنشاء تلك الرموز المميزة من خلال تطبيق أو موقع ويب، بدلا من اسم المستخدم وكلمة المرور، وذلك بعد تسجيل دخول المستخدم، ويضمن هذا الحفاظ على تسجيل المستخدم بشكل مستمر فى الموقع، ولكنه كذلك يسمح للمستخدمين بالوصول إلى تطبيقات ومواقع الطرف الثالث، دون الحاجة إلى أن يلمسوها مباشرة كلمات المرور الخاصة بهم.
ثغرة شركة مايكروسوفت
وقد توصل الباحثون بشركة سايبر آرك CyberArk الإسرائيلية المتخصصة فى الأمن السيبرانى، أن شركة مايكروسوفت قد تركت ثغرة مفتوحة بشكل غر مقصود، وتلك الثغرة لو تم إستغلالها من الممكن إستخدامها لسرقة رموز الحسابات المستخدمة للوصول إلى حساب الضحية، ومن الوارد أن كان يتم ذلك دون تنبيه المستخدم على الاطلاق.
وقد وجدت شركة سايبر آرك خلال أحدث أبحاثها العشرات من النطاقات الفرعية غير المسجلة المتصلة بعدد قليل من التطبيقات، والتى تم تصميمها من قبل مايكروسوفت، وتعتبر تلك التطبيقات الداخلية موثوق بها للغاية، ولذلك فمن الممكن إستخدام النطاقات الفرعية المرتبطة لإنشاء رموز الوصول تلقائيا، وبدون الحاجة إلى موافقة صريحة من المستخدم، وذلك وفقا لما نقله موقع تك كرنتش TechCrunch .
وفى ظل توافر النطاقات الفرعية في متناول اليد، فليس مطلوب هنا من المهاجم إلا خداع ضحية غير متوقعة، وذلك للنقر على رابط أُنشئ خصيصًا لهذا الغرض في رسالة بريد إلكتروني أو على موقع ويب، وكذلك من الممكن سرقة الرمز المميز.
وقد ذكر الباحثون أنه أحيانا من الممكن فعل ذلك بطريقة “النقر الصفري”، التي يشير اسمها إلى أنها لا تتطلب أي تفاعل من قبل المستخدم تقريبًا. ومن الممكن أن يؤدي موقع ويب ضار يخفي صفحة ويب مضمنة إلى تشغيل نفس الطلب كوصلة في رسالة بريد إلكتروني ضارة لسرقة الرمز المميز لحساب المستخدم.
ولكن قد قام الباحثون بتسجيل أكبر عدد ممكن من النطاقات الفرعية، والتى من الممكن العثور عليها من تطبيقات مايكروسوفت الضعيفة، وذلك لمنع أي سوء استخدام ضار، وعلى الرغم من ذلك، إلا أنهم قد حذروا من أنه قد يكون هناك المزيد.
