يقوم عميل Groups من Microsoft بتخزين رموز المصادقة الخاصة بالمستخدمين بتنسيق نصي غير محمي ، مما قد يسمح للمهاجمين الذين لديهم وصول محلي لنشر الرسائل والتحرك أفقياً عبر المؤسسة ، حتى مع تمكين المصادقة الثنائية ، وفقًا لشركة الأمن السيبراني.
توصي Vectra بتجنب عميل سطح المكتب من Microsoft ، الذي تم إنشاؤه باستخدام إطار عمل Electron لإنشاء تطبيقات من تقنيات المستعرض ، حتى تقوم Microsoft بإصلاح الخلل. يعتبر استخدام عميل Groups المستند إلى الويب داخل مستعرض مثل Microsoft Edge ، إلى حد ما ، أكثر أمانًا ، كما تدعي Vectra. تؤثر المشكلة المبلغ عنها على مستخدمي Home windows و Mac و Linux.
من جانبها ، تعتقد Microsoft أن استغلال Vectra “لا يفي بمعاييرنا الخاصة بالخدمات الفورية” نظرًا لأنه يتطلب ثغرات أمنية أخرى للوصول إلى داخل الشبكة في المقام الأول. قال متحدث باسم Darkish Studying أن الشركة “ستنظر في معالجة (المشكلة) في إصدار منتج مستقبلي.”
الباحثون في فيكترا اكتشف الثغرة الأمنية أثناء مساعدة عميل يحاول إزالة حساب معطل من إعداد Groups الخاص بهم. تطلب Microsoft من المستخدمين تسجيل الدخول حتى تتم إزالتهم ، لذلك نظرت Vectra في بيانات تكوين الحساب المحلي. شرعوا في إزالة الإشارات إلى الحساب الذي تم تسجيل الدخول إليه. ما وجدوه بدلاً من ذلك ، من خلال البحث في اسم المستخدم في ملفات التطبيق ، كان عبارة عن رموز ، واضحة ، توفر الوصول إلى Skype و Outlook. كان كل رمز تم العثور عليه نشطًا ويمكن أن يمنح حق الوصول دون إثارة تحدي عاملين.
للمضي قدمًا ، قاموا بصياغة استغلال لإثبات صحة المفهوم. يقوم الإصدار الخاص بهم بتنزيل محرك SQLite إلى مجلد محلي ، ويستخدمه لفحص التخزين المحلي لتطبيق Groups بحثًا عن رمز المصادقة ، ثم يرسل للمستخدم رسالة ذات أولوية عالية مع نص الرمز الخاص به. العواقب المحتملة لهذا الاستغلال أكبر من التصيد الاحتيالي لبعض المستخدمين برموزهم الخاصة ، بالطبع:
يقوم أي شخص يقوم بتثبيت عميل Microsoft Groups واستخدامه في هذه الحالة بتخزين بيانات الاعتماد اللازمة لتنفيذ أي إجراء ممكن من خلال واجهة مستخدم Groups ، حتى عند إيقاف تشغيل Groups. يتيح ذلك للمهاجمين تعديل ملفات SharePoint وبريد Outlook والتقويمات وملفات دردشة Groups. والأكثر ضررًا هو أن المهاجمين يمكنهم العبث بالاتصالات المشروعة داخل المنظمة عن طريق التدمير الانتقائي أو التهريب أو الانخراط في هجمات التصيد المستهدفة. لا يوجد حد لقدرة المهاجم على التنقل عبر بيئة شركتك في هذه المرحلة.
يلاحظ Vectra أن التنقل من خلال وصول المستخدم إلى Groups يمثل فائدة غنية بشكل خاص لهجمات التصيد الاحتيالي ، حيث يمكن للجهات الفاعلة الخبيثة أن تتظاهر كرؤساء تنفيذيين أو مديرين تنفيذيين آخرين وتسعى للحصول على إجراءات ونقرات من الموظفين ذوي المستوى الأدنى. إنها استراتيجية تُعرف باسم تسوية البريد الإلكتروني للأعمال (BEC) ؛ يمكنك أن تقرأ عنها على مدونة Microsoft On the Points.
تم اكتشاف أن تطبيقات الإلكترون تحتوي على مشكلات أمنية عميقة من قبل. أظهر العرض التقديمي لعام 2019 كيف يمكن استخدام الثغرات الأمنية في المتصفح حقن التعليمات البرمجية في Skype و Slack و WhatsApp وتطبيقات Electron الأخرى. تم العثور على تطبيق WhatsApp لسطح المكتب Electron ثغرة أخرى في عام 2020، مما يوفر الوصول إلى الملفات المحلية من خلال JavaScript مضمن في الرسائل.
لقد تواصلنا مع Microsoft للتعليق وسنقوم بتحديث هذا المنشور إذا تلقينا ردًا.
توصي Vectra المطورين ، إذا “يجب عليهم استخدام Electron لتطبيقك” ، بتخزين رموز OAuth المميزة بأمان باستخدام أدوات مثل KeyTar. أخبر كونور بيبولز ، مهندس الأمن في Vectra ، Darkish Studying أنه يعتقد أن Microsoft تتحرك بعيدًا عن Electron وتتحول نحو تطبيقات الويب التقدمية ، والتي ستوفر أمانًا أفضل على مستوى نظام التشغيل حول ملفات تعريف الارتباط والتخزين.