باحث أمني مصري يخترق خوادم فيسبوك بواسطة ملف "وورد"

باحث أمني مصري يخترق خوادم فيسبوك بواسطة ملف "وورد"


اكتشف الباحث الأمني المصري محمد رمضان ثغرة تتيح اختراق أحد الخوادم الخاصة بموقع “فيسبوك” والاتصال به، مستخدما ملفا مصمما عبر برنامج “مايكروسوفت أوفيس وورد”.

و أوضح محمد رمضان، أن الثغرة تتيح له اختراق الخادم الخاص برفع ملفات السير الذاتية بصفحة الوظائف التابعة لشبكة فيسبوك، والمتاحة عبر الرابط https://www.facebook.com/careers

وذلك عبر رفع ملف بصيغة .docx يصمم عبر برنامج “وورد” يتكون من عدة ملفات xml مضغوطة، والتي يمكن استخدامها لوضع كود لفتح اتصال يمكنه من التحكم بأحد خوادم “فيسبوك”.

وتمكن الباحث الأمني المصري من ربط الخادم المرتبط بصفحة الوظائف التابعة لـ”فيسبوك” بخادم آخر تابع له باستخدام الثغرة، مما مكنه من التحكم به، ومن ثم أبلغ الفريق الأمني للشبكة الاجتماعية بالثغرة لخطورتها. 

وشدد رمضان، على أن الثغرة تمكنه بعد التحكم بالسيرفر بالقيام بأمور عدة، مثل غلق الخادم أو منعه عن العمل، أو تنفيذ هجوم “رفض الخدمة” من الخادم على مواقع أو خوادم أخرى

إضافة إلى تمكنه من قراءة الملفات ذات صيغة xml المخزنة على الخادم المخترق، و قراءة بعض الملفات الأخرى وأسماء المجلدات، بجانب استخدام الخادم في عمل فحص للمنافذ على الشبكة الداخلية لـ”فيسبوك”.

وأضاف رمضان أن الثغرة تصيب في الأساس إضافة Apache POl المخصصة لخوادم Apache، والمطورة بشكل مفتوح المصدر، والمستخدمة من قبل آلاف المواقع على الإنترنت مما يزيد من خطورة الثغرة. 

وتمكن الباحث الأمني من استخدام الثغرة نفسها في تنفيذ اختراق آخر لخادم أحد المواقع الخاصة بتوفير برمجيات التوظيف، وهو موقع greenhouse.io، والذي تستخدم برمجياته خدمات مثل شبكة “بينترست” الاجتماعية وشبكة مشاركة الفيديو “فيمو”. 

يذكر أن “فيسبوك” قامت بسد الثغرة الأمنية الخطيرة وكافأت الباحث الأمني المصري بمبلغ 6300 دولار، ضمن برنامج “مكافآت الثغرات” خاصتها، وهو الباحث الذي تم إدراجه بقائمة شرف “القراصنة الأخلاقيين” الخاصة بالشبكة للعام 2014


إرسال تعليق

عزيزى الزائر بمجرد الضغط على اعلامى اسفل نموذج الرد فسيتم اعلامك باخر ردود المشاركة

تذكر قول الله تعالى (( مَا يَلْفِظُ مِنْ قَوْلٍ إِلَّا لَدَيْهِ رَقِيبٌ عَتِيدٌ ))

[facebook][blogger]

نموذج الاتصال

الاسم

بريد إلكتروني *

رسالة *

يتم التشغيل بواسطة Blogger.
Javascript DisablePlease Enable Javascript To See All Widget