انتشار اثبات مفهومی برای آسیب‌پذیری Outlook که مایکروسافت ۶ ماه پس از کشف آن را وصله کرد

مایکروسافت هفته‌ی گذشته یک نسخه‌ی به‌روزرسانی‌شده برای برنامه‌ی Outlook اندروید منتشر کرد که یک آسیب‌پذیری اجرای کد از راه دور با شدت بالا (CVE-2019-1105) را وصله می‌کند. این آسیب‌پذیری بیش از ۱۰۰ میلیون کاربر را تحت تأثیر قرار داده است. بااین‌حال، در آن زمان جزئیات بسیار کمی از این آسیب‌پذیری منتشر شد که نشان می‌داد نسخه‌های قبلی این برنامه‌ی ایمیل دارای یک آسیب‌پذیری XSS است که به مهاجمان اجازه می‌دهد تا با ارسال یک ایمیل خاص به قربانیان اسکریپت‌ها را در سیستم آن‌ها اجرا کنند.

درحال‌حاضر، یکی از پژوهش‌گران امنیتی F5 Networks به نام Bryan Appleby که این مسأله را به‌طور مستقل به مایکروسافت گزارش داد، جزئیات بیشتر و اثبات مفهومی این آسیب‌پذیری Outlook را که شش ماه قبل به مایکروسافت گزارش داده بود، منتشر کرد. وی در پست وبلاگی خود اعلام کرد که زمانی‌که برخی کدهای جاوااسکریپت را از طریق ایمیل با دوستان خود تبادل می‌کرد، به‌طور تصادفی یک مسأله‌ی XSS را کشف کرد که به مهاجم اجازه می‌داد تا یک آی‌فریم را در ایمیل جاسازی کند.

به عبارت دیگر، این آسیب‌پذیری در روش parse کردن موجودیت‌های HTML در پیام‌های ایمیل توسط سرور ایمیل وجود دارد. اگرچه جاوااسکریپت در داخل یک آی‌فریم اجرا می‌شود و تنها می‌تواند به محتوای داخل آن دسترسی پیدا کند، Appleby متوجه شد که اجرای کد جاوااسکریپت در داخل آی‌فریم تزریق‌شده به مهاجم اجازه می‌دهد تا محتوای مرتبط با برنامه ازجمله کوکی‌ها، توکن‌ها و حتی برخی محتواهای صندوق دریافت ایمیل کاربر وارد‌شده به Outlook را بخواند. Appleby بیان کرد که این آسیب‌پذیری به او اجازه داد تا داده‌ها را از برنامه به سرقت ببرد و از آن برای خواندن و استخراج موجودیت‌های HTML استفاده کند.

Appleby تشریح کرد که این نوع آسیب‌پذیری می‌تواند توسط مهاجمی که یک ایمیل با کد جاوااسکریپت در داخل آن را ارسال می‌‌کند، مورد بهره‌برداری قرار گیرد. این سرور کد جاوااسکریپت را نمی‌بیند، زیرا در داخل یک آی‌فریم است. زمانی‌که ایمیل ارسالی تحویل داده شد، کد جاوااسکریپت در دستگاه کلاینت اجرا می‌شود.

این کد می‌تواند هر کاری را که مهاجم بخواهد، انجام دهد و حتی اطلاعات را به سرقت ببرد و یا اطلاعات را ارسال کند. یک مهاجم می‌تواند به کاربر ایمیل ارسال کند و تنها با خوانده شدن آن توسط کاربر محتوای صندوق دریافت کاربر را به سرقت ببرد. Appleby یافته‌های خود را در ۱۰ دسامبر سال ۲۰۱۸ میلادی به مایکروسافت گزارش داد و این شرکت در ۲۶ مارس سال ۲۰۱۹ میلادی، زمانی‌که وی یک اثبات مفهومی جهانی را با مایکروسافت به اشتراک گذاشت، این آسیب‌پذیری را تأیید کرد. مایکروسافت این آسیب‌پذیری را رفع کرد و برای آن یک وصله منتشر کرد. این شرکت بیان می‌کند که درحال‌حاضر هیچ حمله‌ای را که مرتبط با این مسأله باشد، مشاهده نکرده است. به کاربران توصیه می‌شود که درصورتی‌که دستگاه اندرویدی آن‌ها به‌صورت خودکار به‌روزرسانی نشده باشد برنامه‌ی Outlook خود را به‌صورت دستی از فروشگاه گوگل‌پلی به‌روزرسانی کنند.

منبع

پست‌های مشابه

Leave a Comment

4 + 5 =