محققان آسیب پذیری تصاحب مایکروسافت لاجورد را کشف کردند * خرید VPNvip خرید VPN خرید کریو خرید kerio فیلتر شکن خرید فیلترشکن vip vpn

microsoft azure "title =" microsoft azure "/> </div>
<ul>
<li><strong> تیم Cyberark یک نقص شدید در برنامه های خاص Microsoft OAuth 2.0 را کشف کرده است. </strong></li>
<li><strong> یک مهاجم می تواند نشانه های دسترسی قربانی را بدزدد و این باز می شود. </strong></li>
<li><strong> مایکروسافت تصحیحی را صادر کرده است ، اما مدیران باید مراقب باشند که چگونه OAuth را پیکربندی کنند. </strong></li>
</ul>
<p> محققان سایبرارک آسیب پذیری را کشف کرده اند که مهاجمین را قادر می سازد مایکروسافت لاجورد را تصاحب کنند. حساب ها: آنها این عیب را "Black Direct" نامگذاری کرده اند و این به دلیل اجازه غلط است که به هکر اجازه می دهد سرقت کند یا نشانه هایی را که متعلق به کاربران مجاز است ، ایجاد کند ، ایجاد می کند و پیامدهای آن دسترسی به حساب هدف توسط یک حساب کاربری است. شخص ثالث و امکان انجام اقدامات نامحدود از طرف آنها. این تیم توضیح می دهد که این نقص کشف شده روی برنامه های خاص مایکروسافت OAuth 2.0 تأثیر می گذارد که عبارتند از "پرتفوی" ، "O365 Se" cure Score ، و "Microsoft Service Trust". </p>
<p> مسئله اصلی مربوط به مکانیسم اعتماد است که زیربنای برنامه های OAuth است ، و این واقعیت است که آنها به حوزه های فرعی و زیر دامنه هایی که توسط مایکروسافت ثبت نشده اند اعتماد دارند. این دامنه ها می توانند توسط شخصی با اهداف مخرب ثبت شوند ، بنابراین وقتی برنامه ها درخواست دسترسی دارند ، به طور خودکار با آن تهیه می شود. OAuth پروتکل مجوز است که به طور گسترده به منظور به اشتراک گذاری اطلاعات و مجوزهای تبادل استفاده می شود. به عنوان مثال ، یک وب سایت ممکن است از ما بخواهد که به یک برنامه اجازه دسترسی به حساب ما را بدهد ، یا یک برنامه شخص ثالث ممکن است از یک وب سایت برای داده های کاربر به عنوان ورودی سؤال کند. OAuth 2.0 دسترسی محدود به یک سرویس HTTP اعطا می کند ، و به منظور درخواست نکردن مجوز ، دسته های مختلفی از علائم دسترسی یک بار تولید می شوند و تا آن زمان مورد استفاده قرار می گیرند. </p>
<p> اگر سرپرست تنظیمات "URL های قابل اعتماد" را در بر داشته باشد حاوی دامنه های موجود نیست. تحت مالکیت آنها ، یک مهاجم پس از ثبت نام به وی اجازه می دهد تا با انتقال آن به آن دامنه ، سرقت دسترسی داشته باشد. مهاجم همچنین برای مطابقت با یکی از برنامه های آسیب پذیر ، باید پارامتر "Application_id" را تنظیم کند ، در حالی که پارامتر "redirect_uri" باید به دامنه های مخرب و لیست های سفید نیز اشاره کند. </p>
<figure id=

azure_flaw" width = "696" height = "335" data-srcset = "https://cdn.technadu.com/wp-content/uploads/2020/01/ azure_flaw-1024x493.png 1024w، https://cdn.technadu.com/wp-content/uploads/2020/01/azure_flaw-300x144.png 300w، https://cdn.technadu.com/wp-content/uploads/ 2020/01 / azure_flaw-768x370.png 768w، https://cdn.technadu.com/wp-content/uploads/2020/01/azure_flaw-1536x739.png 1536w، https://cdn.technadu.com/wp- محتوا / آپلودها / 2020/01 / azure_flaw-200x96.png 200w ، https://cdn.technadu.com/wp-content/uploads/2020/01/azure_flaw-696x335.png 696w ، https://cdn.technadu. com / wp-content / uploads / 2020/01 / azure_flaw-1068x514.png 1068w، https://cdn.technadu.com/wp-content/uploads/2020/01/azure_flaw-873x420.png 873w، https:// cdn.technadu.com/wp-content/uploads/2020/01/azure_flaw.png 1910w "size =" (حداکثر عرض: 696px) 100vw ، 696px "/>

<figcaption id=

منبع: Cyberark

برای جلوگیری از همه اینها از اینکه برای شما اتفاق بیفتد ، اطمینان حاصل کنید که URI های هدایت شونده تحت مالکیت شما هستند و آن را حذف می کنید y که نیازی به آنجا نیست. همچنین ، برنامه های کاربردی استفاده نشده را غیرفعال کنید و لیستی از مجوزهایی را که از سمت چپ درخواست شده است ، مرور کنید. در صورت امکان ، امتیازات را به پایین ترین حد که هنوز کار را انجام می دهد محدود کنید. تیم سایبرارک این نقص را در 29 اکتبر 2019 کشف کرد ، اما مایکروسافت فوراً متوجه ذات این گزارش نشد. به همین دلیل است که رفع این مشکلات در حالی صورت گرفت که سرانجام در تاریخ 20 نوامبر 2019 انجام شد.

آیا چیزی برای اظهار نظر در مورد بالا دارید؟ نظرات خود را در بخش زیر ، یا در مورد اجتماعی ما ، در فیس بوک و توییتر به ما اطلاع دهید.