مصري يخترق «فيس بوك» بملف «وورد»

اكتشف الباحث الأمني المصري، محمد رمضان، ثغرة تتيح له اختراق أحد الخوادم الخاصة بشبكة فيس بوك الاجتماعية والاتصال به، وذلك مستخدما ملفا مصمما عبر برنامج تحرير النصوص «مايكروسوفت أوفيس وورد».

وقال رمضان، الهاكر الأخلاقي عضو قائمة القبعة البيضاء للشبكة الاجتماعية 2014، لـ«المصري اليوم»، إن الثغرة تتيح له اختراق الخادم الخاص برفع ملفات السير الذاتية إلى شركة فيس بوك، وذلك عبر رفع ملف وورد يحتوي على كود خبيث بصفحة الوظائف التابعة للشبكة الاجتماعية، والمتاحة عبر الرابط facebook.com/careers، مشيرًا إلى أن أي ملف بصيغة docx يصمم عبر برنامج وورد يتكون من عدة ملفات xml مضغوطة، والتي يمكن استخدامها لوضع كود لفتح اتصال يمكنه من التحكم بأحد خوادم «فيس بوك».

وتمكن رمضان من ربط الخادم المرتبط بصفحة الوظائف التابعة لـ«فيس بوك» بخادم آخر تابع له باستخدام الثغرة مما مكنه من التحكم به، موضحا أن الثغرة تمكنه بعد التحكم بـ«السيرفر» بالقيام بعدة أمور مثل غلق الخادم أو منعه عن العمل، أو تنفيذ هجوم «رفض الخدمة».

وتابع الباحث الأمني : «أستطيع قراءة الملفات ذات صيغة xml المخزنة على الخادم المخترق، كما أستطيع قراءة بعض الملفات الأخرى وأسماء المجلدات، بجانب استخدام الخادم في عمل فحص للمنافذ على الشبكة الداخلية للفيس بوك».

يشار إلى أن «فيس بوك» قامت بسد الثغرة الأمنية الخطيرة وكافأت الباحث الأمني بمبلغ 6300 دولارًا، ضمن برنامج «مكافآت الثغرات».

المصدر: المصري اليوم