به تازگی یک آسیب‌پذیری در آنتی‌ویروس Bit Defenderمشاهده شده است که به واسطه آن، هکرها می‌توانند کدهای مخرب خود را از راه دور اجرا کنند. این آسیب‌پذیری با شناسه "CVE-2020–8102"، نسخه بروزرسانی اخیر آنتی‌ویروس Bit Defender را تحت‌تأثیر قرار داده است. علاوه براین، محققان مدعی هستند که این آسیب‌پذیری اثرات خطرناک و قدرتمندی را به دنبال دارد چراکه آنتی‌ویروسی را مورد حمله قرار داده است، که معمولا توسط کاربران مختلفی برای حفاظت از دستگاه‌های خود استفاده می‌‌شود. این آنتی­ ویروس در بین کاربران ایرانی نیز محبوبیت زیادی دارد و لازم است که کاربران این آنتی ­ویروس نسبت به آسیب ­پذیری کشف شده آگاهی کامل داشته و نسبت بروزرسانی آن اقدام نمایند. جهت مطالعه بیشتر در خصوص آسیب پذیری ذکر شده اینجا کلیک کنید.

گوگل در پاسخ به گزارش‌هایی مبنی بر اینکه از افزونه‌ها برای سرقت اطلاعات حساس کاربران استفاده شده ‌است، 106 افزونه‌ی مرورگر کروم را از Chrome Web Store حذف کرد. در این تحقیق، که نتایج آن اخیراً منتشر شده است، Awake Security ادعا کرد میلیون‌ها کاربر کروم توسط مهاجمان، مورد هدف قرار گرفته‌اند. مهاجمان از افزونه‌های مرورگر کروم گوگل نه تنها برای سرقت داده، بلکه برای ایجاد بستری پایدار در شبکه‌های قربانیان نیز استفاده کرده‌اند. این افزونه‌های مخرب برای مرورگر رایگان بودند و برای هشدار به کاربران در مورد وب‌سایت‌های مشکوک یا فشرده‌سازی فایل‌ها طراحی شده‌ بودند. به طور کلی، Awake Security تخمین می‌زند که این افزونه‌ها 32 میلیون بار دانلود شده‌اند.
یکی از سخنگوهای گوگل، در بیانیه‌ای اعلام کرد: "ما از افزونه‌های موجود در Web Store که خط‌مشی‌های ما را نقض کرده‌اند، خبردار شده‌ و اقدامات لازم را در این انجام داده‌ایم. همچنین از این افزونه‌ها به عنوان نمونه‌هایی آموزشی، در جهت ارتقای تحلیل خودکار و دستی خود استفاده می‌کنیم."
در حالی که گوگل مدت زمان طولانی است که Web Store کروم را برای افزونه‌های مخرب مرورگر کنترل می‌کند، آنچه که در مورد این دسته افزونه اخیر منحصر به فرد بود، این است که ادعا می‌شد بخشی از یک همکاری و "کمپین نظارت گسترده جهانی" است. محققان گوگل همچنین ادعا می‌کنند که این کمپین توسط ثبت‌کننده‌ی دامنه‌ی اینترنت، CommuniGal Communication Ltd. (GalComm)، پشتیبانی شده است.

به گفته محققان، ثبت‌کننده دامنه به مجرمان اجازه داده‌است تا از چند لایه‌ی امنیتی، حتی در سازمان‌های پیشرفته و با سرمایه‌گذاری‌های قابل توجه در امنیت سایبری، عبور کنند. تنها در سه ماه گذشته، 111 افزونه‌ی مخرب یا جعلی کروم که از دامنه‌های Galcomm برای زیرساخت‌های فرماندهی و کنترل مهاجم و یا به عنوان صفحات بارکننده برای افزونه‌ها استفاده کرده‌بودند، جمع‌آوری شده‌اند. این افزونه‌ها می‌توانند از صفحه عکس بگیرند، کلیپ‌بورد را بخوانند، توکن‌های معتبر ذخیره‌شده در کوکی‌ها یا پارامتر‌ها را جمع‌آوری کنند، ضربه‌های کاربر بر صفحه‌کلید (مانند گذرواژه‌ها) را بگیرند و غیره."
بنیان‌گذار و محقق ارشد Awake Security، در تفسیر فنی این تهدید نوشت: "از میان 26079 دامنه قابل دسترسی که از طریق Galcomm ثبت شدند، تعداد 15160 دامنه مخرب یا مشکوک به میزبانی از تعداد زیادی بدافزار‌های سنتی یا ابزارهای پایش بر اساس مرورگر هستند. با استفاده از روش‌های دور زدن مختلف، این دامنه‌ها از شناسایی شدن به عنوان دامنه‌های مخرب توسط بسیاری از راهکار‌های امنیتی فرار کرده که این امر باعث شد این کمپین ناشناس باقی بماند. در ماه فوریه، Duo Security یک کمپین مشابه را کشف کرده است که 500 افزونه‌ی مرورگر گوگل کروم به طور مخفیانه داده‌های خصوصی کاربران را سرقت کرده و قربانیان را به وب‌سایت‌های دارای بدافزار راهنمایی می‌کردند.

https://threatpost.com/google-yanks-106-malicious-chrome-extensions/156731/

شرکت  Cisco یکی از بزرگترین تولیدکنندگان تجهیزات نرم‌افزاری و سخت‌افزاری شبکه می‌باشد که با توجه به پیشرفت روزافزون حوزه فناوری اطلاعات و به موازات آن افزایش چشم‌گیر تهدیدات سایبری در سطح جهان و آسیب‌پذیری‌های موجود در این تجهیزات می‌تواند موجب به خطر افتادن اطلاعات کاربران شود. از این رو بخش‌های مختلف Cisco به صورت مداوم و چندین مرتبه در ماه اقدام به ارائه آسیب‌پذیری‌های کشف شده در سرویس‌ها و تجهیزات این شرکت و رفع این آسیب‌پذیری‌ها می نمایند. در این گزارش آسیب‌‎پذیری‌های با سطح بحرانی به همراه محصولاتی که دارای این آسیب‌پذیری‌ها هستند و نیز اطلاعات جامع در مورد ‫آسیب‌پذیری و نحوه رفع آن ارائه شده است. جهت مطالعه آسیب پذیری‌های کشف شده شرکت سیسکو در ماه ژوئن اینجا کلیک کنید.

آزمایشگاه تحقیقاتی JSOF مجموعه‌ای از آسیب‌پذیری‌های روز صفر را در یک کتابخانه نرم‌افزاری سطح پایین TCP/IP توسعه داده شده توسط Treck Inc، که بسیار نیز مورد استفاده قرار می‌گیرد کشف کرده است. 19 آسیب‌پذیری با نام 20Ripple، صدها میلیون دستگاه (یا بیشتر) را تحت تاثیر قرار داده است و شامل چندین ‫آسیب‌پذیری اجرای کد از راه دور می‌باشد. از جمله خطرات این آسیب‌پذیری‌ها می توان به سرقت داده‌ها از یک پرینتر، اختلال در عملکرد دستگاه‌های کنترل صنعتی، حمله انکار سرویس(DoS) و افشای اطلاعات اشاره کرد. یک مهاجم می‌تواند سال‌ها کد مخرب را در دستگاه‌های جداسازی‌شده پنهان کند. یکی از این آسیب‌پذیری‌ها می‌تواند ورود به مرزهای شبکه را از خارج فعال کند.

نرم افزار شبکه‌ای Treck IP Stack برای انواع مختلف سیستم‌ها طراحی و ساخته شده است، این نرم‌افزار شامل چندین آسیب‌پذیری است که اکثر آن‌ها به دلیل نقص‌های موجود در مدیریت حافظه می‌باشند. گستردگی کاربرد این نرم افزار در بخش های مختلف که برخی از آنها در شکل 1 اشاره شده است، نگرانی­ها را در بین فعالان امنیت سایبری بالا برده است. برای مطالعه بیشتر اینجا کلیک کنید.

اخیراً شش ‫آسیب‌پذیری که در زیر آمده در مدل DIR-865L از روترهای D-Link که برای نظارت بر شبکه‌های خانگی از هر مکانی طراحی شده‌اند، یافت شده است:

• CVE-2020-13782 (آسیب‌پذیری تزریق دستور): یک موتور backend به نام cgibin.exe رابط وب را در این روتر کنترل می‌کند؛ مهاجمان می‌توانند کد دلخواه خود را جهت اجرا با دسترسی‌های admin در این رابط اعمال کنند.
• CVE-2020-13786 (آسیب‌پذیری جعل درخواست (CSRF)): مهاجمان می‌توانند داده‌های موجود در بخش محافظت رمزعبور را توسط ضبط داده‌های شبکه جعل کنند. رابط وب حاوی صفحات مختلفی است که نسبت به این نقض امنیتی آسیب‌پذیر هستند.
• CVE-2020-13785 (مکانیسم رمزگذاری ضعیف): مهاجمان می‌توانند پس از ورود کاربر به پورتال دسترسی به وب SharePort در پورت 8181، رمزعبور کاربر را از طریق یک حمله brute force به صورت آفلاین و بر اساس اطلاعاتی که از روتر به کلاینت ارسال می‌شود مشاهده کنند.
• CVE-2020-13784: با بهره‌برداری از این آسیب‌پذیری مهاجمان می‌توانند حتی در صورت رمزنگاری session اطلاعات با استفاده از HTTPS، اطلاعات مورد نیاز حملات CSRF را استخراج کنند.
• CVE-2020-13783 (پاک کردن حافظه اطلاعات حساس): مهاجم جهت به دست آوردن رمزعبور‌های admin که در صفحه tools_admin.php ذخیره شده‌اند، نیاز به دسترسی فیزیکی به یک دستگاه دارد. سپس می‌تواند رمزعبور را از طریق منبع HTML صفحه مشاهده کند.
• CVE-2020-13787 (انتقال حافظه اطلاعات حساس): مهاجمان با سرقت و مشاهده اطلاعات می‌توانند به رمزعبور مورد استفاده برای شبکهwifi مهمان دسترسی پیدا کنند، که این مسئله با استفاده از گزینه Wired Equivalent Privacy (WEP) امکان پذیر است.

این شش آسیب‌پذیری در روترهای D-Link توسط محقق امنیتی به نام Palo Alto Networks کشف شده و می‌توانند جهت اجرای کد دلخواه، حذف اطلاعات، بارگذاری بدافزار، استخراج داده یا جعل اطلاعات و به دست آوردن اعتبار غیرمجاز کاربر استفاده شوند. جهت محافظت در برابر حملات session hijacking به کاربران توصیه می‌شود کلیه ترافیک خود را به HTTPS انتقال داده و با اعمال وصله‌های اخیراً منتشر شده برای سیستم‌عامل در وب‌سایت روترهای D-Link، به‌روز باقی بمانند. این وب سایت همچنین یک آموزش جهت تغییر منطقه زمانی روی روتر را در اختیار کاربران قرار می‌دهد تا کاربران بتوانند از خود در برابر حملات مخرب احتمالی محافظت کنند.

https://www.ehackingnews.com/2020/06/six-new-vulnerabilities-found-in-dir.html

شرکت مایکروسافت در آخرین بروزرسانی ماهانه خود (Patch Tuesday)، یک وصله‌ی امنیتی مهم را جهت رفع نقص اجرای کد از راه دور در سرور Microsoft Exchange منتشر کرده است. این ‫آسیب‌پذیری که توسط یک محقق ناشناس به این شرکت گزارش داده شد، تمام نسخه‌های پشتیبانی شده‌ی Microsoft Exchange Server را تا قبل از نسخه وصله شده، تحت تاثیر قرار می‌دهد. در ابتدا، مایکروسافت اظهار داشت که این نقص به دلیل یک آسیب‌پذیری تخریب حافظه است و می‌تواند توسط یک ایمیل ساختگی خاص و فرستاده شده به یک سرور آسیب‌پذیر Exchange، مورد بهره برداری قرار گیرد. این آسیب‌پذیری نتیجه مشکل سرور Exchange در ایجاد کلیدهای رمزنگاری منحصربفرد در زمان نصب است.
به طور خاص، این نقص در مولفه Exchange Control Panel )ECP) یافت شده است. ماهیت باگ بسیار ساده است. به جای داشتن کلیدهای تصادفی ایجاد شده بر اساس هر نصب، تمام نصب‌های سرور Exchange دارای مقادیر یکسان کلید اعتبارسنجی و کلید رمزنگاری در web.config هستند. این کلیدها به منظور تامین امنیت ViewState استفاده می‌شوند. ViewState، داده‌های سمت سرور است که وب‌اپلیکیشن‌های ASP.NET در فرمت مرتب بر روی کلاینت ذخیره می‌کنند. کلاینت، این داده‌ها را از طریق پارامتر درخواست VIEWSTATE__ به این سرور ارائه می‌دهد. شکل زیر قطعه ای از فایل web.config که حاوی کلید اعتبارسنجی می باشد را نشان می دهد.

به دلیل استفاده از کلیدهای استاتیک، یک مهاجم احراز هویت‌شده می‌تواند این سرور را به سمت داده ViewState مخرب ساختگی سوق دهد. با کمک YSoSerial.net، یک مهاجم می‌تواند کد .NET دلخواه خود را بر روی سرور در وب‌اپلیکیشن Exchange Control Panel که به صورت SYSTEM اجرا می‌شود، اجرا کند.
مایکروسافت این آسیب‌پذیری را در February 2020، با شناسه " CVE-2020-0688 " وصله کرده است. با توجه به write-up، آنها آسیب‌پذیری مذکور را با "اصلاح نحوه ایجاد کلیدها در هنگام نصب توسط Microsoft Exchange" رفع کرده‌اند. به عبارت دیگر، اکنون کلیدهای رمزنگاری در زمان نصب، تصادفی می‌شوند. مایکروسافت این مسئله را از نظر شدت در دسته Important قرار داده است، شاید به این علت که مهاجم ابتدا باید احراز هویت کند. با این حال باید توجه داشت که در یک شرکت، اکثر کاربران مجاز به احراز هویت در سرور Exchange هستند. به طور مشابه، هر کدام از مهاجمان خارجی که دستگاه یا credentials هر کاربر شرکت را به خطر بیاندازد، قادر است به سرور Exchange دست یابد. پس از تحقق این امر، مهاجم در موقعیتی قرار می‌گیرد که بنا به درخواست خود بتواند ارتباطات ایمیل شرکت را صادر و جعل کند. بر این اساس، اگر شما یک مدیر سرور Exchange هستید، باید این مورد را یک مسئله بحرانی در نظر گرفته و سریعا در جهت رفع آن اقدام نمایید.
در کشور ایران نیز استفاده از سرور Exchange محبوبیت بالایی داشته و بسیاری از سازمان ها و شرکت های دولتی و خصوصی از آن استفاده می کنند. همانطور که در گزارش ذکر شد به طور دقیق نمی توان سرورهای آسیب پذیر را پیدا کرد مگر اینکه به یک اکانت از سرور Exchange دسترسی داشته باشیم. اما مدیران و کارشناسان با بررسی تنظیمات و نسخه آپدیت شده سرور خود می توانند اطمینان حاصل کنند که آیا نسبت به این آسیب پذیری مقاوم هستند یا خیر. درصورتیکه آخرین آپدیت سرور شما مربوط به قبل از فوریه 2020 می باشد حتما نسبت به بروزرسانی سرور خود اقدام نمایید.

منبع:

https://www.zerodayinitiative.com/blog/2020/2/24/cve-2020-0688-remote-code-execution-on-microsoft-exchange-server-through-fixed-cryptographic-keys

‫باج‌افزار STOP برای نخستین بار در تاریخ 25 دسامبر 2017 میلادی مشاهده گردید. این باج‌افزار تاکنون با اسامی مختلفی از جمله STOP، Djvu، Drume و STOPData در فضای سایبری معرفی شده است. اما به طور کلی به دو دسته STOP و Djvu تقسیم می‌گردد. Djvu در واقع نسخه جدیدتر این باج‌افزار بوده که از نظر عملکرد شبیه والد خود (STOP) می‌باشد و امروزه آن‌ها را با نام STOP/Djvu می‌شناسند. تعدد نسخه‌ها در فواصل زمانی کوتاه در واقع تکنیکی است که باج‌افزار STOP/Djvu از آن برای نفوذ و اثرگذاری بیشتر استفاده می‌کند. تاکنون بیش از 200 پسوند مختلف از این باج‌افزار مشاهده گردیده است. بر اساس آمارهای منتشر شده در وب‌سایت Emsisoft تنها در سه‌ماهه اول 2020 بیش از 66,090 مورد گزارش آلودگی به این باج‌افزار توسط قربانیان به ثبت رسیده است. این رقم حدوداً 70% از موارد آلودگی به باج‌افزارها در سطح جهان را به خود اختصاص داده است. نسخه‌هایی از این باج‌افزار با پسوندهای alka، nbes، redl، kodc، topi، righ، bboo، btos و ... در کشور ایران نیز مشاهده شده است.
باج‌افزار STOP/Djvu با زبان برنامه‌نویسی C++ نوشته شده است. نسخه‌های جدید این باج‌افزار در کد نویسی خود به شدت مبهم‌سازی (Obfuscate) شده‌اند و از انواع روش‌های anti-emulation و anti-debugging برای جلوگیری از تحلیل توسط تحلیل‌گران بدافزار استفاده کرده‌اند. برخی از نسخه‌های این باج‌افزار نیز باتوجه به منطقه زمانی و موقعیت جغرافیایی میزبان فرآیند رمزگذاری را انجام می‌دهند و بدین ترتیب به صورت هدفمندتر قربانیان خود را انتخاب می‌کنند.
این باج‌افزار به محض اجرا در سیستم قربانی ابتدا یک نسخه از فایل اجرایی خود را در مسیر "%AppData%\Local\" کپی کرده و با افزایش سطح دسترسی خود به کاربر Administrator و اجرای دستوراتی در محیط CMD با سرور فرمان و کنترل (C&C) خود ارتباط می‌گیرد و فایل‌ها را با کلید آنلاین و الگوریتم نامتقارن RSA-2048 رمزگذاری می‌کند. در برخی نسخه‌ها از الگوریتم Salsa20 نیز برای رمزگذاری فایل‌ها استفاده شده است. در صورتی که باج‌افزار به هر دلیل موفق به برقراری ارتباط با سرور خود نگردد از روش آفلاین (الگوریتم AES-256) برای رمزگذاری فایل‌ها استفاده می‌کند. نسخه‌های اولیه این باج‌افزار از روش آفلاین برای رمزگذاری فایل‌های قربانیان استفاده می‌کردند و شرکت‌هایی مثل Emsisoft توانستند برای این نسخه‌ها رمزگشا ارائه دهند. اما از آگوست 2019 شیوه رمزگذاری باج‌افزار STOP/Djvu تغییر کرد و در حال حاضر تنها به روش آنلاین رمزگذاری را انجام می‌دهد. لذا بدون کلید خصوصی مهاجم که در سرور C&C باج‌افزار ذخیره شده است عملاً رمزگشایی فایل‌ها غیرممکن خواهد بود. در مواردی مشاهده شده که باج‌افزار STOP/Djvu پس از ارتباط با سرور C&C، سیستم قربانی را به انواع تروجان‌ها و جاسوس‌افزارها از قبیل Vidar و Azorult که اطلاعات حساس سیستم قربانی را سرقت می‌نماید نیز آلوده نموده است. لذا توجه به این نکته در زمان ارائه خدمات امداد به قربانیان این باج‌افزار ضروری است.
باج‌افزار STOP/Djvu برای جلوگیری از شناسایی و دور زدن آنتی‌ویروس‌ها به صورت مداوم پسوند و ساختار خود را تغییر می‌دهد. به همین دلیل است که حتی از سد به‌روزترین آنتی‌ویروس‌ها نیز عبور می‌کند. بر اساس گزارش‌های رسیده از قربانیان این باج‌افزار در سرتاسر جهان، باج‌افزار STOP/Djvu معمولاً از طریق کرک و فعال‌سازهای ویندوز (KMSAuto، KMSPico)، آفیس و سایر نرم‌افزارها (از قبیل اتوکد، فتوشاپ، دانلود منیجر و ...) و همچنین لایسنس‌های تقبلی و حتی آپدیت‌های جعلی ویندوز منتشر می‌شود. نسخه‌هایی از این باج‌افزار حتی در قالب اسناد آفیس و فایل Setup نرم‌افزارهای مرتبط با پایان‌نامه‌ها جاسازی شده و قشر دانشجو را مورد هدف قرار داده است. باتوجه به موارد فوق می‌توان اینگونه نتیجه‌گیری کرد که جامعه هدف باج‌افزار STOP/Djvu کاربران شخصی و خانگی بوده و برای سرورها و سازمان‌ها تهدید کمتری محسوب می‌گردد. بنابراین اطلاعات از دست رفته ارزش مادی بالایی ندارند. دلیل آن هم روش انتشار این باج‌افزار می‌باشد که بیشتر مبتنی بر دانلود فایل‌های آلوده در اثر بی‌ احتیاطی کاربران است. طبق بررسی‌های صورت گرفته، می‌توان گفت که رفتار باج‌افزار STOP/Djvu در کشور ایران به صورت فصلی می‌باشد. در فصولی که دانشجویان به دنبال یافتن قالب برای پایان‌نامه‌ها یا سایر مقالات و ارائه‌های خود هستند، رخدادهای بیشتری مشاهده می‌گردد.
به منظور پیشگیری از آلودگی و مقابله با این باج‌افزار توصیه می‌گردد در مرحله اول سیستم‌عامل، آنتی‌ویروس و سایر نرم‌افزارها به صورت مداوم به‌روزرسانی گردند. همچنین کاربران می‌بایست از دانلود هرگونه فایل یا نرم‌افزار از وب‌سایت‌های ناشناس خودداری کرده و قبل از اجرای فایل‌ها بر روی سیستم خود حتما آن‌ها را با آنتی‌ویروس‌های به‌روز و سامانه‌های آنلاین مثل VirusTotal اسکن نمایند. در پایان یادآور می‌گردد که پشتیان‌گیری منظم از اطلاعات به صورت آفلاین تنها راه قطعی مقابله با هرگونه تهدید سایبری خصوصاً باج‌افزارهاست.

بر اساس گزارشات منتشر شده، VMware چند آسیب‌پذیری با شدت بالا را وصله کرده است که بر روی چندین محصول این شرکت تاثیر می‌گذارد و بهره‌برداری از آنها به مهاجمان اجازه می‌دهد تا به اطلاعات حساس دست یابند. این ‫آسیب پذیری ها VMware ESXi ، Workstation ،Fusion VMware Horizon Client و VMware Cloud Director را تحت تاثیر قرار می‌دهند. برای مطالعه بیشتر اینجا کلیک کنید.

محققان مرکز امنیتی Talos دو ‫آسیب‌پذیری را در نرم‌افزار محبوب Zoom کشف کرده‌اند که به مهاجمین حاضر در نشست ویدویی اجازه می‌دهد تا کدی دلخواه را در ماشین‌های قربانیان اجرا کنند. Zoom یک نرم‌افزار نشست ویدیویی محبوب در سراسر جهان است که اخیراً برای دورکاری و یا برقراری ارتباط با خانواده و دوستان بسیار مورد توجه قرار گرفته است.
هر دوی این آسیب‌پذیری‌های کشف شده، path traversal هستند و توسط تیم امنیتی Talos به Zoom گزارش و در ماه می برطرف شدند. مهاجمان می‌توانند از این نقص‌ها برای اجرا کردن، جاگذاری و نوشتن فایل‌ها بر روی نسخه‌های آسیب‌پذیر، بهره‌برداری کنند. در ادامه هر کدام از آسیب‌پذیری‌ها بررسی خواهند شد.

آسیب‌پذیری با شناسه TALOS-2020-1055/CVE-2020-6109
در این آسیب‌پذیری، مهاجم می‌تواند با ارسال یک پیام خاص برای کاربران حاضر در نشست ویدیویی، از نقص موجود در نرم‌افزار Zoom نسخه 4.6.10 بهره‌برداری کند. باید توجه داشت که این پیام خاص، می‌تواند به مهاجم اجازه کار بر روی فایل‌ها را داده و منجر به اجرای کد دلخواه شود. این آسیب‌پذیری به دلیل محدودسازی نامناسب نام مسیرها(Pathname) رخ خواهد داد که ممکن است منجر به Directory Traversal شود. به طور دقیق‌تر اگر یک مشخصه ID از تگ giphy که به صورت خاص برای بهره‌برداری از این نقص طراحی شده است، می‌تواند شامل آدرسی باشد که منجر به ایجاد فایلی در سیستم قربانی گردد.
آسیب‌پذیری با شناسه TALOS-2020-1056/CVE-2020-6110
آسیب‌پذیری دوم در نسخه‌های 4.6.10 و 4.6.11 نرم‌افزار Zoom کشف شده است. بررسی‌ها نشان می‌دهد که مهاجم می‌تواند با ارسال یک پیام به کاربران حاضر در نشست ویدیویی (فایل باینری دلخواه در سیستم قربانی)، آسیب‌پذیری را مورد حمله قرار دهد.
با آغاز همه‌گیری ویروس کرونا، شرکت‌های بسیاری در سراسر جهان از کارمندان خود خواسته‌اند که به صورت دورکاری فعالیت خود را از خانه پیگیری کنند که این امر باعث افزایش استفاده از نرم‌افزارهای نشست ویدیویی شده‌است. در نتیجه RDP و پلتفرم‌های ارتباط ویدیویی شدیداً در معرض حملات مهاجمان هستند. توصیه می‌شود که اگر از این ابزارها استفاده می‌شود، به‌روزرسانی و اعمال وصله‌های امنیتی مورد توجه قرار گیرد.

منبع:

https://gbhackers.com/new-zoom-flaw/

آسیب‌پذیری اجرای کد از راه دور بر روی پروتکل‌های SMBV3 یک #‫آسیب‌پذیری بسیار جدی و با درجه شدت بالا است که به تازگی توسط شرکت مایکروسافت تایید و منتشر شده است و به مدیران شبکه‌ها هشدار داده شده است تا هرچه سریع‌تر نسبت به رفع این آسیب‌پذیری اقدام نمایند. کد بهره برداری این آسیب پذیری تحت عنوان نرم افزارهای متن باز در اینترنت موجود است و سیستم‌هایی که این آسیب پذیری را دارند، به راحتی مورد حمله واقع می‌شوند. برای مطالعه بیشتر اینجا کلیک نمایید.