شرکت SonicWall در خصوص حملات فعال #‫باج_افزار ی بر روی تجهیزات دسترسی از راه دور زیر که وصله نشده یا از ثابت‌افزار نسخه‌‌های 8.x که دیگر پشتیبانی نمی‌شوند (EOL)، استفاده می‌کنند، هشدار داد:

• Secure Mobile Access (SMA) 100 series
• Secure Remote Access (SRA)

حملات باج‌افزاری با بهره‌برداری از یک #‫آسیب‌پذیری شناخته‌شده که در اوایل سال 2021 در نسخه‌های جدیدتر توسط SonicWall وصله شده بود، انجام می‌شود. سازمان‌هایی که از تجهیزات زیر با ثابت‌افزار نسخه‌های 8.x استفاده می‌کنند باید نسخه‌ی ثابت‌افزار را به نسخه‌های 9.x یا 10.x ارتقا داده و یا به‌طور کلی اتصال آن تجهیز را از اینترنت قطع نمایند:

• SRA 4600/1600 (EOL 2019)

          - قطع سریع اتصال تجهیز

          - ریست کردن رمزهای عبور

• SRA 4200/1200 (EOL 2016)

          - قطع سریع اتصال تجهیز

          - ریست کردن رمزهای عبور

• SSL-VPN 200/2000/400 (EOL 2013/2014)

          - قطع سریع اتصال تجهیز

          - ریست کردن رمزهای عبور

• SMA 400/200 (این تجهیز همچنان در حالت Retirement به صورت محدود پیشتیبانی می‌شود)

          - به‌روزرسانی سریع به 10.2.0.7-34 یا 9.0.0.10

          - ریست کردن رمزهای عبور

          - فعال نمودن احراز هویت چند عاملی (MFA)
برای اطلاعات بیشتر به صفحه هشدار منتشر شده توسط Sonicwall به آدرس زیر مراجعه کنید:

https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/

#‫مایکروسافت در به‌روزرسانی‌هایی ماه جولای برای 117 مورد #‫آسیب‌پذیری در محصولات خود وصله امنیتی منتشر کرده است؛ از جمله 13 آسیب‌پذیری بحرانی و 9 آسیب‌پذیری روز صفرم. توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام شود. امکان دریافت به‌روزرسانی برای کاربران ویندوز با استفاده از بخش windows update در مسیر زیر فراهم است:

Start > Settings > Update & Security > Windows Update

محصولات تحت تاثیر این آسیب‌پذیری‌ها شامل موارد زیر هستند:

• Common Internet File System
• Dynamics Business Central Control
• Microsoft Bing
• Microsoft Dynamics
• Microsoft Exchange Server
• Microsoft Graphics Component
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office SharePoint
• Microsoft Scripting Engine
• Microsoft Windows Codecs Library
• Microsoft Windows DNS
• Microsoft Windows Media Foundation
• OpenEnclave
• Power BI
• Role: DNS Server
• Role: Hyper-V
• Visual Studio Code
• Visual Studio Code - .NET Runtime
• Visual Studio Code - Maven for Java Extension
• Windows Active Directory
• Windows Address Book
• Windows AF_UNIX Socket Provider
• Windows AppContainer
• Windows AppX Deployment Extensions
• Windows Authenticode
• Windows Cloud Files Mini Filter Driver
• Windows Console Driver
• Windows Defender
• Windows Desktop Bridge
• Windows Event Tracing
• Windows File History Service
• Windows Hello
• Windows HTML Platform
• Windows Installer
• Windows Kernel
• Windows Key Distribution Center
• Windows Local Security Authority Subsystem Service
• Windows MSHTML Platform
• Windows Partition Management Driver
• Windows PFX Encryption
• Windows Print Spooler Components
• Windows Projected File System
• Windows Remote Access Connection Manager
• Windows Remote Assistance
• Windows Secure Kernel Mode
• Windows Security Account Manager
• Windows Shell
• Windows SMB
• Windows Storage Spaces Controller
• Windows TCP/IP
• Windows Win32K

جزییات آسیب‌پذیری‌ها:

چهار مورد از آسیب‌پذیری‌های روزصفرمی که تحت بهره‌برداری فعال قرار داشته‌اند، عبارتند از:

• CVE-2021-33771: آسیب‌پذیری ارتقاء امتیازات در هسته ویندوز
• CVE-2021-34448: آسیب‌پذیری خرابی حافظه در موتور Scripting
• CVE-2021-31979: آسیب‌پذیری ارتقاء امتیازات در هسته ویندوز
• CVE-2021-34527: آسیب‌پذیری اجرای کد از راه دور در سرویس Print Spooler ویندوز (PrintNightmare).

همچنین پنج مورد آسیب‌پذیری روزصفرم که بهره‌برداری فعال از آنها مشاهده نشده است عبارتند از:

• CVE-2021-34492: آسیب‌پذیری جعل گواهینامه ویندوز
• CVE-2021-34523: آسیب‌پذیری ارتقای امتیاز در سرور Exchange
• CVE-2021-34473: آسیب‌پذیری اجرای کد از راه دور در سرور Exchange
• CVE-2021-33779: آسیب‌پذیری بی‌اثر کردن سازوکار امنیتی ADFS ویندوز
• CVE-2021-33781: آسیب‌پذیری بی‌اثر کردن سازوکار امنیتی در Active Directory

برخی آسیب‌پذیری‌هایی که مایکروسافت آنها را ‌ بحرانی دانسته، در جدول زیر آورده شده است.

جهت اطلاع از سایر محصولات آسیب‌پذیر و جزییات فنی این آسیب‌پذیری‌ها به پیوند زیر مراجعه نمایید:

https://msrc.microsoft.com/update-guide/releaseNote/2021-Jul
https://www.bleepingcomputer.com/news/microsoft/microsoft-july-2021-patch-tuesday-fixes-9-zero-days-117-flaws/

شرکتSolarWinds برای یک #‫آسیب‌پذیری روز صفرم موجود در دو محصول Serv-U خود وصله‌ی امنیتی منتشر کرده است. به گفته‌ی این شرکت در حال حاضر یک گروه تهدید در حال بهره‌برداری فعال از آسیب‌پذیری مذکور می‌باشد. لازم به ذکر است که اگر اتصال مبتنی برSSH در دو محصول مذکور فعال نباشد، تحت تاثیر این آسیب‌پذیری نخواهند بود.

در صورت بهره‌برداری موفق از این آسیب‌پذیری، مهاجم قادر است به اجرای کد از راه دور بر روی سیستم آسیب‌پذیر بپردازد؛ پس از آن مهاجم قادر است به نصب برنامه، مشاهده، تغییر، حذف اطلاعات و یا اجرای برنامه‌های نصب شده بر روی سیستم آسیب‌پذیر بپردازد؛ با توجه به مخاطرات ناشی از بهره‌برداری از این آسیب‌پذیری توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر آورده شده در جدول بالا اقدام کنید. اعمال وصله‌ها (نسخه‌ی 15.2.3 hotfix (HF) 2)، به‌طور کامل آسیب‌پذیری را رفع می‌کند. در صورت عدم امکان نصب وصله‌ی امنیتی نسبت به غیرفعال کردن سرویس SSH در محیط Serv-U اقدام نمایید.

منبع: https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211

کنترل دسترسی به پیکربندی سرویس‌های سرور HP و بازبینی دوره‌ای سطح دسترسی‌های سطح ادمین اکتیودایرکتوری و مرور لاگهای دسترسی به ILO سرورها می‌تواند نقش بسزایی در تشخیص و جلوگیری از حملات اخیر داشته باشد. جهت مطالعه بیشتر به اینجا مراجعه نمایید.

بررسی سه #‫آسیب‌پذیری out HP-Integerated lights با شناسه‌های CVE-2017-12542، CVE-2018-7105 ،CVE-2018-7078 در سطح کشور نشان می‌دهد، برخی از شبکه‌های کشور در برابر این ضعف‌ها به درستی محافظت نشده‌اند. پیکربندی نادرست، عدم به‌روزرسانی به موقع و عدم اعمال سیاست‌های صحیح امنیتی در هنگام استفاده ازHP Integrated Lights-Out از دلایل اصلی این ضعف در شبکه‌های کشور می‌باشد. جدول زیر مشخصات این سه آسیب‌پذیری را نمایش می‌دهد.

به کاربران توصیه می‌شود:

• اگر دسترسی به این سرویس از طریق اینترنت ضروری نیست، دسترسی به آن را محدود به شبکه داخلی خود نمایند.
• با به‌روزرسانی محصولات خود مطمئن شوند که تحت تاثیر این سه آسیب‌پذیری قرار ندارند.
• با توجه به امکان نفوذ به این سرویس توسط گره‌های الوده شده شبکه داخلی، سیاست‌های امنیتی سخت گیرانه‌ای از جمله vlanبندی مجزا برای دسترسی به این سرویس از طریق شبکه داخلی اکیدا توصیه میشود.
• با تنظیم تجهیزات امنیتی و رویدادنگاری حساسیت ویژه نسبت به تلاش برای دسترسی به پورت‌های ILO یا SSH سرورها در نظر گرفته شود.

  برای مطالعه بیشتر اینجا کلیک نمایید.

#‫مایکروسافت در یک به‌روزرسانی اضطراری، برای آسیب‌پذیری‌های موجود در سرویس Print Spooler ویندوز (از جمله CVE-2021-34527 و CVE-2021-1675) وصله امنیتی منتشر کرده است. #‫آسیب‌پذیری روزصفرم CVE-2021-34527 معروف به PrintNightmare که در این به‌روزرسانی وصله شده است، امکان اجرای کد از راه دور با دسترسی SYSTEM بر روی سیستم آسیب‌پذیر را برای مهاجم احراز هویت شده فراهم می‌کند. اکیداً توصیه می‌شود هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر ویندوزی اقدام کنید. مایکروسافت برای همه نسخ ویندوز روی آسیب پذیری PrintNightmare وصله منتشر کرده است.
به گفته محققان امنیتی با اعمال این وصله ها امکان اجرای کد از راه دور (RCE) بر روی سیستم آسیب‌پذیر از بین می‌رود اما همچنان امکان ارتقای امتیاز محلی (LPE) برای مهاجم وجود خواهد داشت؛ لذا توصیه می‌شود علاوه بر نصب وصله‌های امنیتی، اقدامات کاهشی که پیش‌تر در پورتال مرکز ماهر منتشر شده بود، را اعمال کنید تا مخاطرات ناشی از این آسیب‌پذیری‌ها به حداقل برسد.

منبع: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

گزارشی از مهم‌ترین رخدادهای امنیت سایبری و بررسی آماری آن‌ها در سال گذشته توسط مرکز آپای تخصصی دانشگاه اصفهان تهیه شده است. در گزارش مذکور مروری بر حملات solarwinds ،Zerologon، نشت‌های اطلاعاتی گسترده ناشی از حملات در سال 99 و اشاره ای به پیشرفت در پروژه‌های کلان کشوری در حوزه فناوری اطلاعات شده است. آسیب‌پذیری‌های مهم در سال گذشته را بر اساس میزان اهمیت، سطح خطــر و ارزش روز صفر آن‌ها و نوع محصولات آسیب‌پذیر، مورد بحث قرار داده است. وضعیت امنیت سایبری، رخدادهای مهم و پروژه‌های ملی بزرگ در حوزه فضای مجازی کشور، داده‌های سامانه ملی مقابله با بات و آسیب‌پذیری و تهدیدات امنیتی رمز ارزها، تحلیل شده است. همچنین به بزرگترین حملات سایبری جهان، نشت‌های اطلاعاتی سازمان و شرکت‌های جهانی، تأثیرات جهانی دورکاری و کرونا و بررسی مهم‌ترین بدافزارهای سیستم‌ عامل‌های ویندوز، مک و موبایل در سال ۹۹ اشاره شده است. برای مطالعه این گزارش جامع به https://cert.iut.ac.ir/news/Annual-Report-1399 مراجعه نمایید.

مراکز تخصصی آپای دانشگاهی استان‌ها با توجه به همه‌گیری ویروس کرونا در سال 1399 موفق به برگزاری دوره‌های آموزشی در حوزه امنیت به میزان 44595 نفر-ساعت شده‌اند. لیستی از دوره های آموزشی برگزار شده توسط این آپاها در سال گذشته به همراه شرکت‌کنندگان اینجا قابل مشاهده است.

با توجه به افزایش حملات #‫باج_افزار ی در روزهای اخیر در کشورهای مختلف دنیا از جمله آمریکا، دانمارک، سوئد و غیره، به سازمان‌ها، شرکت‌ها و اشخاص حقیقی اکیدا توصیه می‌شود نسبت به تهیه‌ی پشتیبان از اطلاعات با ارزش خود اقدام نمایند. مهاجمان از روش‌های مختلف مبادرت به نفوذ به سیستم‌های رایانه‌ای نموده و بعد از آن نسبت به رمزنگاری داده‌های قربانیان، درخواست باج‌ جهت برگرداندن اطلاعات می‌کنند.

اخیراً یک ‫آسیب‌پذیری با شناسه‌ی CVE-2021-1675 و شدت بالا (7.8 از 10) در سرویس Print Spooler ویندوز کشف شده است که بهره‌برداری از آن امکان ارتقای امتیاز و افزایش سطح دسترسی بر روی سیستم‌های ویندوزی آسیب‌پذیر را برای مهاجم فراهم می‌کند. لازم به ذکر است که مهاجم برای بهره‌برداری به امتیاز یا دسترسی بالایی نیاز ندارد. باید توجه داشت که سرویس Print Spooler به صورت پیش‌فرض در سیستم‌های ویندوزی در حال اجرا است و برای اجرا نیاز به اتصال به یک دستگاه پرینتر ندارد.

در تاریخ 10 تیر ‫مایکروسافت از وجود یک آسیب‌پذیری دیگر در سرویس Print Spooler خبر داد که با نام PrintNightmare و شناسه‌ی CVE-2021-34527 شناخته می‌شود. بهره‌برداری از این آسیب‌پذیری روزصفرم امکان اجرای کد از راه دور با دسترسی SYSTEM بر روی سیستم آسیب‌پذیر، نصب برنامه، مشاهده، تغییر یا حذف اطلاعات و ایجاد حساب‌های کاربری با دسترسی کامل را برای مهاجم احراز هویت شده فراهم می‌کند.

وصله‌های امنیتی/ اقدامات کاهشی
CVE-2021-1675
مایکروسافت از این آسیب‌پذیری به عنوان یک آسیب‌پذیری بحرانی یاد کرده است لذا هرچه سریع‌تر نسبت به به‌روزرسانی محصولات آسیب‌پذیر اقدام کنید.

در ویندوز سرورهایی که به عنوان کنترل کننده‌ی دامنه (DC) فعالیت می‌کنند و سیستم‌های که فیلد «NoWarningNoElevationOnInstall» در تنظیمات group policy، با مقدار «یک» تنظیم شده باشد، دریافت وصله امنیتی در رفع آسیب‌پذیری موثر نخواهد بود و باید نسبت به غیرفعال کردن (Disable) سرویس Print Spooler در این سیستم‌ها اقدام شود. برای مشاهده‌ی مقدار فیلد مذکور به آدرس زیر در DC مراجعه کنید:

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsNT\Printers\PointAndPrint\NoWarningNoElevationOnInstall

CVE-2021-34527- PrintNightmare
تاکنون وصله امنیتی که آسیب‌پذیری را به‌طور کامل برطرف کند، توسط مایکروسافت منتشر نشده است و کد اکسپلویت این آسیب‌پذیری طی چند روز اخیر در سطح اینترنت منتشر شده و در اختیار عموم قرار گرفته است.
با توجه به اینکه یکی از کدهای اکسپلویت به طور خاص کنترل‌کننده‌های دامنه (DC) Active Directory را هدف قرار داده است اکیداً توصیه می‌گردد اگر از ویندوز سرور به عنوان کنترل کننده‌ی دامنه (DC) استفاده می‌کنید، سرویس Print spooler ویندوز را در کنترل‌کننده‌های دامنه و سیستم‌های که از خدمت پرینت استفاده نمی‌کنند (با تغییر Group Policy)، غیرفعال کنید تا در صورت هدف قرار گرفتن توسط مهاجمان، کل شبکه داخلی سازمان تحت اختیار مهاجمان قرار نگیرد. توجه داشته باشید که سرویس باید غیرفعال شود (disabled) نه متوقف (Stopped)؛ چراکه در صورت متوقف کردن سرویس، مهاجم می‌تواند مجدداً آن را راه‌اندازی کند.
جهت آگاهی از اینکه سرویس Print spooler در حال اجرا است یا خیر دستور زیر را با اکانت آدمین دامنه (Domain Admin) اجرا کنید:

Get-Service -Name Spooler

در صورت فعال بودن سرویس برای غیرفعال کردن آن در رابط‌های Command line و PowerShell از دستور زیر استفاده کنید:

Command line: net stop spooler && sc config spooler start=disabled
PowerShell: Stop-Service -Name Spooler -Force Set-Service -Name Spooler -StartupType Disabled

از آنجایی که عموماً کلاینت‌ها نیاز به استفاده از این سرویس دارند به جای غیرفعال کردن سرویس، می‌توان پیکربندی آن را طوری تغییر داد که امکان برقراری اتصال از سایر کلاینت از بین برود. به این منظور به صورت محلی یا با استفاده از تنظیمات Group Policy مطابق شکل زیر«Allow Print Spooler to accept client connections» را بر روی Disabled تنظیم کنید.

لازم به ذکر است که آسیب‌پذیری‌های موجود در سرویس Print Spooler پیش‌تر نیز توسط بدافزارها و ویروس‌های کامپیوتری مورد بهره‌برداری قرار گرفته‌اند (CVE-2010-2729).

منابع:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler
https://doublepulsar.com/zero-day-for-every-supported-windows-os-version-in-the-wild-printnightmare-b3fdb82f840c
https://blog.truesec.com/2021/06/30/exploitable-critical-rce-vulnerability-allows-regular-users-to-fully-compromise-active-directory-printnightmare-cve-2021-1675/