Update - أب ديت: exploit

‏إظهار الرسائل ذات التسميات exploit. إظهار كافة الرسائل

السبت، 6 فبراير 2021

ثلاث ثغرات امنية "حرجة" في هواتف iPhone يتم أختراقك بها

by Aya Ali on 10:59:00 ص

أصدرت Apple التحديث رقم ( IOS 14.4) مع إصلاحات أمنية لثلاث نقاط ضعف، يقال إنها كانت تستخدم من قبل المهاجمين.

وقال عملاق التكنولوجيا في صفحات التحديث الأمني لأجهزة iOS وiPadOS 14.4، بإن الثغرات الامنية الثلاثة التي تؤثر على أجهزة iPhone و iPad "ربما تم استغلالها بالفعل" ولم يتوفر معلومات تقنيه عن تلك الثغرات الامنية ورفض المتحدث باسم Apple التعليق بما هو اكثر من ذلك .

ومن غير المعروف من هم الذين يستغلون نقاط الضعف تلك، أو من قد يكون قد وقع ضحية لتلك الاستغلالات. ولم تذكر Apple ما إذا كان الهجوم يستهدف مجموعة فرعية صغيرة من المستخدمين أوما إذا كان هجوما واسع النطاق. وقيل بان شركة Apple لم تكشف عن هوية الشخص الذي قدم الثغرة الامنية .

وفي التفاصيل القليلة المنشوره قيل انه قد تم العثور على ثغرتين امنيتين في WebKit الذي يقوم بتشغيل المتصفح Safari، وثغرة في الـ Kernel، وهو نواة نظام التشغيل، حيث تقوم بعض الاستغلالات الناجحة باستغلال سلسة من الثغرات الامنيه المرتبطة ببعضها البعض بدلاً من استخدام ثغره امنيه واحدة .

ليس من غير المألوف أن يستهدف المهاجمون أولاً الثغرات الامنيه في متصفحات الجهاز كوسيلة للوصول إلى نظام التشغيل الرئيسي وقالت Apple حيث تعرضت آبل لمثل هذه الثغرات الامنيه في السابق خلال نزاعها مع عملاق التجسس الاسرائيلي "Pegasus" وأوضحت بان المزيد من التفاصيل الاضافيه ستكون متاحة قريبا للجمهور، وإنه لاعتراف نادر من قبل الشركة، التي تفتخر بصورتها الأمنية، بأن عملائها قد يتعرضون لهجوم نشط من قبل المتسللين.

في عام 2019، وجد باحثو Google الأمنيين عددًا من المواقع الضارة المزودة بالرمز الذي اخترق أجهزة iPhone الخاصة بالضحايا.

كشفت TechCrunch أن هذا الهجوم على الارجح كان جزءا من عملية الحكومة الصينية للتجسس على مسلمي الأويغور. ورداً على ذلك ، عارضت شركة Apple بعض النتائج التي توصلت إليها Google في بيان عام، حيث واجهت Apple مزيدًا من الانتقادات لتقليلها من خطورة الهجوم.

في الشهر الماضي ، وجدت مختبر Citizen Lab أن العشرات من الصحفيين في قناة الجزيرة القطرية قد تم أستهدافهم واختراق أجهزة الـ iPhone الخاصة بهم مع ثغرة أمنية لم تكن معروفة من قبل لتثبيت برامج التجسس التي طورتها مجموعة NSO التي تتخذ من إسرائيل مقرًا لها وكانت هذه الثغره أحد أكثر الثغرات حساسية حيث لا تتطلب اي تفاعل من المستخدم او كما يطلق عليها في الوسط الامني 0-Click.

وفي ظل هذه الحالة من عدم توافر التفاصيل، يجب على مستخدمي iPhone و iPad التحديث إلى (iOS 14.4) في أقرب وقت ممكن.

الثلاثاء، 28 أبريل 2020

# zoom

ثغرة في برنامج Microsoft Teams للمؤتمرات تؤدي إلى الاستيلاء على حساباتكم من خلال استلام صورة فقط

by Jafar Abu Nada on 10:31:00 ص

اكتشف الخبراء طريقة للاستيلاء على حسابات Microsoft Teams عن طريق إرسال صورة GIF عادية إلى المستلمين فقط ، وهي تعمل مع كل من إصدارات Team لسطح المكتب والويب.

عالجت Microsoft ثغرة أمنية في منصة محادثات الفيديو الخاصه بها Microsoft Teams والتي كان من الممكن أن تسمح للمهاجمين بالاستيلاء على حسابات الفريق عن طريق إرسال صورة GIF تبدو صوره سليمه على ما يبدو ولكنها غير ذلك.

تم اكتشاف الثغرة الأمنية من قبل باحثين من CyberArk ، وهي تؤثر على كل من إصدارات سطح المكتب والويب للبرنامج. أبلغ الباحثون المشكلة إلى Microsoft في 23 مارس ، وتناولها عملاق تكنولوجيا المعلومات في تحديث صدر في 20 أبريل.

"وجدنا أنه من خلال الاستفادة من ثغرة الاستحواذ على نطاق فرعي في Microsoft Teams ، كان بإمكان المهاجمين استخدام ملف GIF ضار لاستخراج بيانات المستخدم واستلام قائمة حسابات Teams الكاملة للمؤسسة في نهاية المطاف".

"نظرًا لأن المستخدمين لن يضطروا إلى مشاركة ملف GIF - لمجرد رؤيته - حتى يتأثروا ، فإن الثغرات الأمنية مثل هذه لديها القدرة على الانتشار تلقائيًا".

المشكلة حاسمة لأن حلول مؤتمرات الفيديو مثل Zoom و Microsoft Teams هي قنوات الاتصال المتميزة التي تختارها الشركات والطلاب وحتى المنظمات الحكومية خلال جائحة COVID-19.

تفاصيل تقنية :

يكمن الخلل في الطريقة التي تتعامل بها Microsoft Teams مع المصادقة مع موارد الصور. عند فتح التطبيق ، يقوم بإنشاء رمز وصول ، رمز JSON Web Token (JWT) ، والذي يسمح للمستخدم بعرض الصور التي شاركها الفرد أو الآخرون في محادثة.

للسماح للمستلمين بالحصول على الصورة المخصصة لهم ، يستخدم التطبيق رمزين مميزين للمصادقة: "authtoken" و "skypetoken".

يتم استخدام الرمز المميز "authtoken" لمصادقة المستخدمين لتحميل الصور في المجالات عبر Teams و Skype ، كما أنه ينشئ الرمز المميز "skypetoken" ، والذي يتم استخدامه للمصادقة على خادم يتعامل مع إجراء العميل ، مثل قراءة الرسائل.

يمكن للمهاجم الذي يمتلك كلا الرمزين المميزين إجراء مكالمات من خلال Teams API ويمكنه بهذا الاستيلاء على حساب الضحيه. يمكنه قراءة / إرسال الرسائل وإضافة مستخدمين أو إزالتهم وتغيير الأذونات وإنشاء مجموعات ،

أشار الخبراء إلى أنه يمكن استخدام "authtoken" فقط مع مجال فرعي ضمن "teams.microsoft.com" ، ولكن اكتشف الباحثون نطاقين فرعيين (aadsync-test.teams.microsoft.com و data-dev.teams.microsoft.com ) التي كانت عرضة لاستيلاء النطاق الفرعي.

"إذا تمكن المهاجم من إجبار المستخدم إلى حد ما على زيارة النطاقات الفرعية التي تم الاستيلاء عليها ، فسيرسل متصفح الضحية ملف تعريف الارتباط هذا إلى خادم المهاجم ويمكن للمهاجم (بعد استلام كلمة المرور التلقائية) إنشاء رمز سكايب مميز. بعد القيام بكل هذا ، يمكن للمهاجم سرقة بيانات حساب Teams الضحية. "تواصل المنصب.

يمكن للمهاجم استغلال الخلل بمجرد إرسال رابط ضار (أي صورة GIF) إلى الضحية ، أو إلى جميع أعضاء الدردشة الجماعية. ثم عندما يفتح المستلمون الرسالة ، يرسل المتصفح ملفات تعريف الارتباط التي تم فتحها تلقائيًا إلى النطاق الفرعي المخترق في محاولات تحميل المورد (أي صورة GIF).

"لن تعرف الضحية أبدًا أنها تعرضت للهجوم ، مما يجعل استغلال هذه الثغرة خفيًا وخطيرًا" ، يتابع التحليل. "في حين أن اقتصار مؤسستك على الاتصال الداخلي سيقلل من تعرضك ، وجدنا أنه لا يزال من الممكن التواصل مع شخص خارجي وأن أي تفاعل يتضمن واجهة دردشة مع شخص خارجي يكفي للتأثر بهذه الثغرة الأمنية. من الأمثلة الجيدة على ذلك دعوة إلى مؤتمر عبر الهاتف مع شخص خارجي لمقابلة عمل. "

وأوضح باحثو CyberArk أن الهجوم يمكن أن ينتشر تلقائيًا بطريقة تشبه الديدان ، مما يعرض جميع الحسابات في المنظمة المستهدفة للخطر.

نشر الخبراء أيضًا مقطع فيديو يستغله POC لهذه الثغرة الأمنية.

ويخلص CyberArk إلى أنه "حتى لو لم يقم المهاجم بجمع الكثير من المعلومات من حساب Teams ، فلا يزال بإمكانهم استخدام الحساب للتنقل عبر المؤسسة (مثل الدودة تمامًا)".

"في نهاية المطاف ، يمكن للمهاجم الوصول إلى جميع البيانات من حسابات Teams في مؤسستك - جمع المعلومات السرية والاجتماعات ومعلومات التقويم والبيانات التنافسية والأسرار وكلمات المرور والمعلومات الخاصة وخطط الأعمال وما إلى ذلك."

Jafar Abu Nada

I am a specialist in information security and security researcher, especially in the field of developing defense systems for wireless networks. In addition specializes in the web app security and listed in the Hall of Fame in many sites of international companies such as: ("Facebook, Google, Twitter, IBM, Sony, AT&T,... etc) , And some government institutions such as (US Department of Defense, and the US Air Force).