پاسخ به:آموزش روزانه: ♟ هر روز یک نکته امنیتی ♟_ امتیاز ویژه
شنبه 2 خرداد 1394 6:56 AM
وجود خطایی در آفیس* ۳۶۵ امکان سرقت اطلاعات محرمانه را به نفوذگران می*دهد؛ برای این کار تنها میزبانی یک سند متنی یا اسلاید پاورپوینت کافی است.
هر شخصی که یک سند متنی را در کارگزار وب خود میزبانی می*کند می*تواند اطلاعات محرمانه*ی مایکروسافت آفیس ۳۶۵ را سرقت کند؛ این امکان به سبب وجود خطایی در چگونگی احراز هویت کاربران در این سرویس محاسبات ابری ایجاد شده است.
ظاهراً Office 365 از کاربران می*خواهد که به حساب کاربری خود وارد شوند، و زمانی که سندی را از یک کارگزار شیرپوینت بارگیری می*کنند این ابزار اطلاعات محرمانه*ی کاربری را که در حال حاضر وارد شده با ارسال یک توکن ویژه*ی احراز هویت تأیید می*کند.
این توکن تنها زمانی که کارگزار در دامنه*ی sharepoint.com قرار دارد می*بایست ارسال شود که ظاهراً این*گونه نیست.
به گفته*ی پژوهش*گری که این خطا را کشف کرده با اجرای کارگزار دلخواه خود و ارسال پاسخ به گونه*ای که از کارگزار شیرپوینت معتبر انتظار می*رود، رایانه*ی کاربر توکن احراز هویت را ارسال خواهد کرد. وی نوشت: «در حال حاضر کارگزار مخرب من، می*تواند به سادگی به وب*گاه شیرپوینت سازمان شما مراجعه کرده و تمامی آن را بارگیری کند، تغییر دهد و هر آنچه را که دوست دارد انجام دهد و روح شما هم از این ماجرا خبر نداشته باشد. به این ترتیب جرم و جنایت بی*نقصی رخ می*دهد!»
این فرد برای اثبات گفته*ی خود نمونه*ویدئویی را هم ایجاد کرد و چگونگی سرقت توکن*های احراز هویت را به تصویر کشید.
مایکروسافت نیز در پاسخ به این آسیب*پذیری بولتن امنیتی را منتشر کرد و هفته*ی گذشته نیز اصلاحیه*ای را در اصلاحیه*های روز سه*شنبه*ی خود برای آن عرضه نمود.
به گفته*ی مایکروسافت مهاجمی که از این آسیب*پذیری سوء*استفاده کند می*تواند به توکن*هایی که برای احراز هویت کاربر جاری در کارگزار شیرپوینت یا سایر وب*گاه*های مایکروسافت آفیس استفاده شده، دست یابد.
ترکی زبان قربون صدقه رفتنه داریم که: گوزلرین گیلهسین قاداسین آلیم که یعنی درد و بلای مردمک چشات به جونم …!.
