ثغرة في نظام مايكروسوفت تكشف سرية الحسابات

 ثغرة في نظام مايكروسوفت تكشف سرية الحسابات

أصلحت شركة مايكروسوفت الأمريكية ثغرة أمنية في نظام تسجيل الدخول الخاص بها، كانت من الممكن أن تُستخدم لخداع المستخدمين في منح المتسللين إمكانية الوصول الكامل إلى حساباتهم على الإنترنت. 



 

وسمحت هذه الثغرة الأمنية للمهاجمين بأن يسرقوا بهدوء رموز الحسابات التي تستخدمها المواقع والتطبيقات، لمنح المستخدمين حق الوصول إلى حساباتهم دون الحاجة إلى إعادة إدخال كلمات المرور الخاصة بهم باستمرار.

 

وتُنشئ هذه الرموز المميزة بواسطة تطبيق أو موقع ويب بدلًا من اسم المستخدم وكلمة المرور، بعد تسجيل دخول المستخدم.

 

ويحافظ هذا على تسجيل المستخدم باستمرار في الموقع، ولكنه يسمح أيضاً للمستخدمين بالوصول إلى تطبيقات ومواقع الطرف الثالث، دون الحاجة إلى أن يسلموها مباشرة كلمات المرور الخاصة بهم. .

 

ووجد الباحثون في شركة (سايبر آرك) CyberArk، المتخصصة في الأمن السيبراني، أن مايكروسوفت تركت ثغرة غير مقصودة مفتوحة، وهي الثغرة التي إن استغلت فقد كان من الممكن استخدامها لسرقة رموز الحسابات المستخدمة، للوصول إلى حساب الضحية، وكان من المرجح أن يحدث ذلك دون تنبيه المستخدم على الإطلاق، بحسب موقع aitnews.

 

ونقل موقع (تك كرنتش) TechCrunch المتخصص في شؤون التقنية حصرياً عن شركة (سايبر آرك) أنها وجدت في أحدث أبحاثها العشرات من النطاقات الفرعية غير المسجلة المتصلة بعدد قليل من التطبيقات التي صممتها مايكروسوفت. وتعد هذه التطبيقات الداخلية موثوقاً بها للغاية، وبالتالي، يمكن استخدام النطاقات الفرعية المرتبطة لإنشاء رموز الوصول تلقائياً دون الحاجة إلى موافقة صريحة من المستخدم.

 

ومع وجود النطاقات الفرعية في متناول اليد، فإن كل ما يحتاجه المهاجم هو خداع ضحية غير متوقعة للنقر على رابط أُنشئ خصيصاً لهذا الغرض في رسالة بريد إلكتروني أو على موقع ويب، ويمكن أيضاً سرقة الرمز المميز.

 

وفي بعض الحالات، قال الباحثون: "إنه يمكن فعل ذلك بطريقة “النقر الصفري”، التي يشير اسمها إلى أنها لا تتطلب أي تفاعل من قبل المستخدم تقريباً. ويمكن أن يؤدي موقع ويب ضار، يخفي صفحة ويب مضمنة إلى تشغيل نفس الطلب، كوصلة في رسالة بريد إلكتروني ضارة لسرقة الرمز المميز لحساب المستخدم".

 

ولحسن الحظ، فقد سجل الباحثون أكبر عدد ممكن من النطاقات الفرعية التي يمكنهم العثور عليها من تطبيقات مايكروسوفت الضعيفة، لمنع أي سوء استخدام ضار، لكنهم حذروا من أنه قد يكون هناك المزيد.

 

يشار إلى أن الشركة الأمنية أبلغت مايكروسوفت بالثغرة، أواخر شهر أكتوبر/تشرين الأول الماضي، وقد أصلحت بعد ثلاثة أسابيع تقريباً. وقال متحدث باسم الشركة: “لقد حللنا المشكلة مع التطبيقات المذكورة في هذا التقرير في نوفمبر/تشرين الثاني، ولا يزال العملاء محميين”.

 

يُشار إلى أن هذه ليست المرة الأولى التي تسارع فيها مايكروسوفت لإصلاح ثغرة في نظام تسجيل الدخول الخاص بها. فقبل عام تقريباً، أصلحت شركة البرمجيات والخدمات العملاقة ثغرة أمنية مماثلة كانت تسمح بسرقة رموز حساب حزمة التطبيقات المكتبية (أوفيس) Office.