یک برنامه‌ی معروف اندرویدی، گواهی‌نامه‌های کاربر بر روی Microsoft Exchange را افشاء می‌کند

۳یک برنامه‌ی معروف اندرویدی که اجازه‌ی دسترسی به رایانامه، تقویم و مخاطبان یک سازمان را از طریق کارگزار Microsoft Exchange می‌دهد دارای آسیب‌پذیری افشاء گواهی‌نامه‌ی کاربر به مهاجم است.
این برنامه که Nine نام دارد، براساس گفته‌های محققان Rapid۷، به مهاجم اجازه می‌هد یک حمله‌ی مرد میانی را اجرا کند که اجازه‌ی سرقت نام کاربری و گذرواژه‌ی کاربران در شرکت‌های بزرگ را به مهاجم می‌دهد.

این برنامه با توجه به گزارش‌های داده‌ای بخش گوگل‌پلی، نزدیک به یک میلیون بار بر روی دستگاه‌های اندرویدی بارگیری شده و روز پنج‌شنبه به‌روزرسانی نسخه‌ی ۳.۱.۰ برای برطرف کردن این آسیب‌پذیری منتشر شده است.
محقق Rapid۷ با نام دِرِک ابدین۱، در ماه آگوست این آسیب‌پذیری را پیدا کرده و روز سه‌شنبه به‌طور عمومی این اشکال (CVE-۲۰۱۶-۶۵۳۳) را افشاء کرده است.
تاد بردسلی۲، مدیر ارشد تحقیقات امنیتی در Rapid۷ گفت مشکل اصلی این است که برنامه‌ی Nine بدون در نظر گرفتن تنظیمات SSL/TLS، زمانی که به کارگزار Microsoft Exchange متصل می‌شود فاقد اعتبارسنجی گواهی‌نامه است.

بردسلی می‌گوید: «مهاجم می‌تواند از ترافیک، نام کاربری و گذرواژه‌ها را بدست آورده و در مسیر ارسال رایانامه‌های محرمانه اشکال ایجاد کند. در هرصورت کاربر در معرض این آسیب‌پذیری Game over خواهد شد.»
باتوجه به گزارش Rapid۷ مهاجم و قربانی باید در یک شبکه‌ی مشترک باشند تا این آسیب‌پذیری قابل اجرا باشد. در یک سناریوی محتمل، مهاجم یک نقطه دسترسی بی‌سیم Wi-Fi را راه‌اندازی می‌کند تا از طریق آن بتواند ترافیک تبادل‌شده بین قربانی و کارگزار Microsoft Exchange را جمع‌آوری کند. در ادامه زمانی که کاربر Nine از همه‌جا بی‌خبر به نقطه دسترسی مهاجم متصل شد، مهاجم می‌تواند به گواهی‌نامه‌های ورود قربانی به Active Directory دسترسی یابد.

Rapid۷ در پستی در تشریح این آسیب‌پذیری نوشت: «یک مهاجم با امتیازات ویژه و در یک شبکه‌ی اشتراکی و در قالب یک دستگاه اندرویدی که Nine را اجرا می‌کند، می‌تواند بر روی ترافیک قربانی با کارگزار Microsoft Exchange حمله‌ی مرد میانی را اجرا کند.»
با استفاده از ابزار نفوذ همچون mitmproxy یک مهاجم می‌تواند به راحتی، گواهی‌نامه‌های حساب کاربری که با Base۶۴ کدگذاری شده را جمع‌آوری کرده و آن‌ها را کدگشایی کند. Rapid۷ می‌نویسد: «مهاجم می‌تواند ترافیک HTTPS را به ابزار mitmproxy هدایت کند که از گواهی‌های خود-امضای۳ یک مرکز گواهی نامعتبر استفاده می‌کند.»

Rapid۷ گزارش می‌دهد: «ارتباط بین برنامه‌ی Nine و سرویس Exchange ActiveSync ممکن است زمانی که کاربر تلفن همراه خود را باز می‌کند، زمانی که یک رایانامه دریافت می‌کند و یا زمانی که تلفن همراه از یک سرویس راه دور نظرسنجی می‌کند اتفاق بیفتد. همه‌ی بسته‌های ارتباطی حاوی گواهی‌نامه‌ی کاربر در سرآیند احراز هویت پایه‌ای HTTP۴ هستند.»

این شرکت کره جنوبی برنامه‌ی خود را به نسخه‌ی ۳.۱.۰ به‌روزرسانی کرده است و بردسلی تائید کرده که این به‌روزرسانی شامل پشتیبانی از اعتبارسنجی گواهی‌نامه است. بخاطر اینکه هر گوشی با دریافت به‌روزرسانی خودکار به‌طور جداگانه پیکربندی شده است، بردسلی پیشنهاد می‌کند هر کاربری که از برنامه‌ی Nine استفاده می‌کند، دستی این برنامه را به آخرین نسخه به‌روزرسانی کند.

۱. Derek Abdine
۲. Tod Beardsley
۳. self-signed certificates
۴. HTTP basic authentication header

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.