‏إظهار الرسائل ذات التسميات microsoft teams. إظهار كافة الرسائل
‏إظهار الرسائل ذات التسميات microsoft teams. إظهار كافة الرسائل

الثلاثاء، 28 أبريل 2020

#

ثغرة في برنامج Microsoft Teams للمؤتمرات تؤدي إلى الاستيلاء على حساباتكم من خلال استلام صورة فقط

by on 10:31:00 ص

اكتشف الخبراء طريقة للاستيلاء على حسابات Microsoft Teams عن طريق إرسال صورة GIF عادية إلى المستلمين فقط ، وهي تعمل مع كل من إصدارات Team لسطح المكتب والويب.

عالجت Microsoft ثغرة أمنية في منصة محادثات الفيديو الخاصه بها Microsoft Teams والتي كان من الممكن أن تسمح للمهاجمين بالاستيلاء على حسابات الفريق عن طريق إرسال صورة GIF تبدو صوره سليمه على ما يبدو ولكنها غير ذلك.

تم اكتشاف الثغرة الأمنية من قبل باحثين من CyberArk ، وهي تؤثر على كل من إصدارات سطح المكتب والويب للبرنامج. أبلغ الباحثون المشكلة إلى Microsoft في 23 مارس ، وتناولها عملاق تكنولوجيا المعلومات في تحديث صدر في 20 أبريل.

"وجدنا أنه من خلال الاستفادة من ثغرة الاستحواذ على نطاق فرعي في Microsoft Teams ، كان بإمكان المهاجمين استخدام ملف GIF ضار لاستخراج بيانات المستخدم واستلام قائمة حسابات Teams الكاملة للمؤسسة في نهاية المطاف".

"نظرًا لأن المستخدمين لن يضطروا إلى مشاركة ملف GIF - لمجرد رؤيته - حتى يتأثروا ، فإن الثغرات الأمنية مثل هذه لديها القدرة على الانتشار تلقائيًا".

المشكلة حاسمة لأن حلول مؤتمرات الفيديو مثل Zoom و Microsoft Teams هي قنوات الاتصال المتميزة التي تختارها الشركات والطلاب وحتى المنظمات الحكومية خلال جائحة COVID-19.

تفاصيل تقنية :

يكمن الخلل في الطريقة التي تتعامل بها Microsoft Teams مع المصادقة مع موارد الصور. عند فتح التطبيق ، يقوم بإنشاء رمز وصول ، رمز JSON Web Token (JWT) ، والذي يسمح للمستخدم بعرض الصور التي شاركها الفرد أو الآخرون في محادثة.
للسماح للمستلمين بالحصول على الصورة المخصصة لهم ، يستخدم التطبيق رمزين مميزين للمصادقة: "authtoken" و "skypetoken".

يتم استخدام الرمز المميز "authtoken" لمصادقة المستخدمين لتحميل الصور في المجالات عبر Teams و Skype ، كما أنه ينشئ الرمز المميز "skypetoken" ، والذي يتم استخدامه للمصادقة على خادم يتعامل مع إجراء العميل ، مثل قراءة الرسائل.

يمكن للمهاجم الذي يمتلك كلا الرمزين المميزين إجراء مكالمات من خلال Teams API ويمكنه بهذا الاستيلاء على حساب الضحيه. يمكنه قراءة / إرسال الرسائل وإضافة مستخدمين أو إزالتهم وتغيير الأذونات وإنشاء مجموعات ،

أشار الخبراء إلى أنه يمكن استخدام "authtoken" فقط مع مجال فرعي ضمن "teams.microsoft.com" ، ولكن اكتشف الباحثون نطاقين فرعيين (aadsync-test.teams.microsoft.com و data-dev.teams.microsoft.com ) التي كانت عرضة لاستيلاء النطاق الفرعي.

"إذا تمكن المهاجم من إجبار المستخدم إلى حد ما على زيارة النطاقات الفرعية التي تم الاستيلاء عليها ، فسيرسل متصفح الضحية ملف تعريف الارتباط هذا إلى خادم المهاجم ويمكن للمهاجم (بعد استلام كلمة المرور التلقائية) إنشاء رمز سكايب مميز. بعد القيام بكل هذا ، يمكن للمهاجم سرقة بيانات حساب Teams الضحية. "تواصل المنصب.

يمكن للمهاجم استغلال الخلل بمجرد إرسال رابط ضار (أي صورة GIF) إلى الضحية ، أو إلى جميع أعضاء الدردشة الجماعية. ثم عندما يفتح المستلمون الرسالة ، يرسل المتصفح ملفات تعريف الارتباط التي تم فتحها تلقائيًا إلى النطاق الفرعي المخترق في محاولات تحميل المورد (أي صورة GIF).


"لن تعرف الضحية أبدًا أنها تعرضت للهجوم ، مما يجعل استغلال هذه الثغرة خفيًا وخطيرًا" ، يتابع التحليل. "في حين أن اقتصار مؤسستك على الاتصال الداخلي سيقلل من تعرضك ، وجدنا أنه لا يزال من الممكن التواصل مع شخص خارجي وأن أي تفاعل يتضمن واجهة دردشة مع شخص خارجي يكفي للتأثر بهذه الثغرة الأمنية. من الأمثلة الجيدة على ذلك دعوة إلى مؤتمر عبر الهاتف مع شخص خارجي لمقابلة عمل. "

وأوضح باحثو CyberArk أن الهجوم يمكن أن ينتشر تلقائيًا بطريقة تشبه الديدان ، مما يعرض جميع الحسابات في المنظمة المستهدفة للخطر.


ويخلص CyberArk إلى أنه "حتى لو لم يقم المهاجم بجمع الكثير من المعلومات من حساب Teams ، فلا يزال بإمكانهم استخدام الحساب للتنقل عبر المؤسسة (مثل الدودة تمامًا)".

"في نهاية المطاف ، يمكن للمهاجم الوصول إلى جميع البيانات من حسابات Teams في مؤسستك - جمع المعلومات السرية والاجتماعات ومعلومات التقويم والبيانات التنافسية والأسرار وكلمات المرور والمعلومات الخاصة وخطط الأعمال وما إلى ذلك."
Continue Reading
by في ليست هناك تعليقات:
Tags , , , , ,

الأربعاء، 8 أبريل 2020

#

المدارس الأمريكية تحظر Zoom وتقوم بالتحويل الي Microsoft Teams

by on 8:34:00 ص
المدارس الأمريكية تحظر Zoom وتقوم بالتحويل الي Microsoft Teams

بعد أن اعتمدت العديد من المدارس Zoom  لإجراء الدروس عبر الإنترنت أثناء coronavirus  ، أدت المخاوف بشأن الأمن والخصوصية إلى حظر برنامج مؤتمرات الفيديو في جميع أنحاء الولايات المتحدة.


أرسل مستشار وزارة التعليم في مدينة نيويورك Richard A Carranza  رسالة بالبريد الإلكتروني إلى مديري المدارس يطلب منهم فيها :

"التوقف عن استخدام Zoom  في أقرب وقت ممكن"

وهو ليس الوحيد بهذا القرار فقد اتخذت المدارس في أجزاء أخرى من البلاد إجراءات مماثلة، ويجري الآن تدريب المعلمين على استخدام (Microsoft Teams)كما اقترح ذلك كبديل مناسب، ويرجع ذلك جزئيا إلى أنها متوافقة مع  (قانون حقوق التعليم العائلي والخصوصية).

بعد ان أمضت أعداد كبيرة من المعلمين الوقت في تعلم كيفيةاستخدام Zoom لمواصلةت تعليم التلاميذ المحصورين في منازلهم  . ولكن الانتقادات المتزايدة لنهجها في الخصوصية والأمن قد أعطت سببا لإعادة التفكير.


وتظهر الوثائق التي اطلع عليها Chalkbeat أن المديرين في مدينة نيويورك قد قيل لهم: 
"استنادا ً إلى مراجعة وزارة الحماية لتلك المخاوف الموثقة، فإن وزارة الحماية لن تسمح بعد الآن باستخدام Zoom  في هذا الوقت".

ونقلت صحيفة واشنطن بوست عن Daniell  Filson ، المتحدثة باسم وزارة التعليم في مدينة نيويورك، قولها:
إن توفير تجربة تعليمية آمنة ومأمونة لطلابنا أمر ضروري، وعند إجراء مزيد من المراجعة للمخاوف الأمنية، يجب على المدارس الابتعاد عن استخدام Zoom   في أقرب وقت ممكن. هناك العديد من المكونات الجديدة للتعلم عن بعد، ونحن نقوم بالقرارات في الوقت الحقيقي في مصلحة موظفينا والطالب.سوف ندعم الموظفين والطلاب في الانتقال إلى منصات مختلفة مثل Microsoft Teams التي لديها نفس القدرات مع تدابير الأمان المناسبة المعمول بها.


كما تشير صحيفة بوست إلى أن المدارس العامة لمقاطعة كلارك في نيفادا كانت تبتعد أيضًا عن Zoom ، قائلة في بيان إن القرار قد اتخذ "لتعطيل الوصول إلى Zoom
 والحذر بسبب حالات القرصنة التي خلقت بيئات غير آمنة للمعلمين والطلاب وان المدارس في ولاية يوتا وولاية واشنطن وخارجها تبحث أيضا في بدائل عن Zoom .


على مدى الأسابيع القليلة الماضية، قامت Zoom   بمواجهة كبيره ضد الصحافة السيئة بعد العديد من القضايا المتعلقة بالخصوصية والأمن. وقد قامت الشركة بالفعل بتغييرات لمعالجة بعض المشاكل التي أثيرت، وتوقفت عن تطوير ميزة جديدة في حين أنها تركز على إصلاح العيوب. مع الأخذ في عين الاعتبارلمحاولة طمأنة الناس على سلامة منتجاتها كما أصدرت الشركة بياناً جاء فيه:


 Zoom  تأخذ خصوصية المستخدم والأمان والثقة على محمل الجد. وقد تم تطوير Zoom  في الأصل لاستخدام المؤسسات ، وتم اختياره بثقة للنشر الكامل من قبل عدد كبير من المؤسسات على مستوى العالم ، بعد مراجعات الأمان لطبقات المستخدم والشبكة ومركز البيانات. خلال جائحة COVID-19، نعمل على مدار الساعة لضمان أن المستشفيات والجامعات والمدارس والمنظمات الأخرى في جميع أنحاء العالم يمكن أن تبقى على اتصال . 

مع بدء الاستخدام الزائد والأنواع الجديدة من المستخدمين  ل Zoom خلال هذا الوقت ،فلقد  كان Zoom  جذابًا بشكل استباقي للتأكد من فهمهم لسياسات Zoom  ذات الصلة ، بالإضافة إلى أفضل الطرق لاستخدام النظام الأساسي وحماية اجتماعاتهم. وقد شجعنا مستخدمي التعليم لدينا على وجه الخصوص على اتباع التوجيهات الواردة هنا:

https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom

وقمنا مؤخرًا بتحديث الإعدادات الافتراضية لمستخدمي التعليم المسجلين في برنامج 
K-12 لتمكين غرف الانتظار وضمان أن المعلمين هم الوحيدون الذين يمكنهم مشاركة المحتوى في الفصل بشكل افتراضي. نحن فخورون بالدور الذي نقوم به خلال هذا الوقت العصيب وملتزمون بتزويد المعلمين وغيرهم من المستخدمين بالأدوات التي يحتاجونها.

Continue Reading
by في ليست هناك تعليقات:
Tags ,

أخبار

اخبار تقنية (132) اندرويد (89) تقنية (75) مسابقة أفضل تدوينة (60) ايفون (51) تطبيقات (41) فيسبوك - facebook (24) واتساب - whatsapp (23) جوجل - Google (13) حرب الالكترونية (10) سامسونغ - Samsung (9) يوتيوب - youtube (9) WiFi (7) تقارير و دراسات (7) منوعات (7) هواتف - phone (7) SS7 (6) apple (6) hacker news (6) zoom (6) VPN (5) hacker (5) instagram - أنستقرام (5) SCADA (4) 5G (3) IOS (3) Programming Language (3) android (3) android malware (3) artificial intelligence (3) iphone (3) network (3) os (3) privacy (3) أبتكارات و أختراعات (3) تعلم البرمجة (3) خصوصية (3) هواوي - huawei (3) +Apple TV (2) Android Trojan (2) COVID-19 (2) GDPR (2) LiFi (2) Twitter (2) WhatsApp Desktop (2) WhatsApp Web (2) application (2) checklist (2) coronavirus (2) dns (2) google paly (2) microsoft teams (2) news (2) php (2) scan netwok (2) الجيل الخامس (2) باركود (2) برمجة (2) تويتر (2) روبوت (2) روت - root (2) سوني - Sony (2) شبكات (2) قواعد البيانات (2) نظام التشغيل (2) واي فاي (2) AI (1) Air Force (1) AirPlay (1) Apple TV (1) Bitdefender (1) Bluetooth (1) CSSLP (1) Cambridge Analytica (1) Certified (1) Cisco (1) Comodo (1) CryptoAPI (1) Darknet (1) Defcon (1) DoH (1) E2EE (1) ECES (1) Egregor (1) FIN8 (1) Fitbit (1) Front end (1) Full HD (1) GCFA (1) GPEN (1) GandCrab (1) Google Takeout (1) HTC (1) Hidden Cobra (1) IoT (1) JavaScript (1) Kodachi (1) LG (1) Lazarus Group (1) Meta (1) MongoDB (1) Netflix (1) OSINT (1) Oneplus (1) Oneplus 8 filter (1) Operating System (1) R (1) RCM (1) RCS (1) RitaVPN (1) STEGANOGRAPHY (1) Sonos (1) StarOS (1) TCP/IP (1) TOR (1) TOR Browser (1) TV show (1) Trend Micro (1) USITC (1) Ultra HD (1) VISA (1) Vultur (1) WATSAPP DARK (1) WhatsApp hacked (1) White Rabbit (1) Yandex (1) anonymity (1) big data (1) bitcoin (1) browser (1) call (1) camera (1) certification (1) cloud computing (1) cross-site (1) dark mode (1) darkmode (1) database (1) deep learning (1) deepwep (1) faceebok Messenger (1) fitbit watch (1) google project zero (1) goolge (1) hack life - اخترق حياتك (1) hacking satellite (1) iTunes (1) intercepter-ng (1) isp (1) joker (1) lan (1) moves (1) nessus (1) nmap (1) python (1) robotics (1) robotics revolution (1) smb1 (1) ssl (1) tarcking (1) tls (1) video call (1) voip (1) wan (1) web app (1) windows (1) أكاديمة حسوب (1) التعلّم العميق (1) الويب العميق (1) الويب المظلم (1) انترنت الاشياء (1) بيتكون (1) تطبيقات الطقس (1) تطبيقات الويب (1) تقنية 5G (1) تقينة الجيل الخامس (1) خدمات سحابيه (1) خوارزمية القيصر (1) دارك نبيت (1) ستاكس نت (1) شودان (1) علم أخفاء البيانات (1) علم الحاسوب (1) كتب (1) لغات البرمجة (1) مراجعات (1) مزود الخدمة (1) نصائح تقنية (1) هندسة البرمجيات (1)