مایکروسافت آخرین به‌روزرسانی را برای ‫آسیب‌پذیری‌های نرم‌افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند. به‌روزرسانی‌ امنیتی در ماه ژوئن سال2020 شامل موارد زیر برای محصولات مایکروسافت در درجه حساسیت بحرانی(Critical) بوده است.

• Microsoft Windows
• Microsoft Edge
• Internet Explorer
• Microsoft Office

وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل در گزارش آماده شده است. کاربر می‌بایست با استفاده از فرمان winver در CMD نسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید. جهت مطالعه بیشتر اینجا کلیک کنید.

به گزارش وردفنس 1.3میلیون وب‌سایت وردپرس توسط یک کمپین مورد حمله قرار گرفته‌اند. مهاجمان این کمپین سعی دارند با دانلود کردن فایل پیکربندی wp-config.php، نام کاربری و گذرواژه وب‌سایت‌ها را سرقت کنند.از 29 تا 31 ماه می سال جاری، دیوار آتش وردفنس 130 میلیون حمله روی وب‌سایت‌های وردپرس را شناسایی و مسدود کرده است. این حملات 1.3 میلیون وب‌سایت را هدف گرفته بودند. کاربران نسخه پرمیوم و نسخه رایگان وردفنس در برابر این حمله مصون هستند.در این مدت حملات دیگری نیز روی ‫آسیب‌پذیری‌های افزونه‌ها و تم‌های وردپرس صورت گرفته و حملات این کمپین 75 درصد کل چنین حملاتی را تشکیل می‌دادند. مهاجمانی که این کمپین را اداره می‌کنند، در اواخر ماه آوریل نیز در کمپین دیگری به دنبال سوء استفاده از آسیب‌پذیری‌های XSS وردپرس بودند.
 

در کمپین قبلی، از 20 هزار IP مختلف برای حمله استفاده می‌شد و در کمپین جدید نیز اکثر حملات با استفاده از همین IPها صورت گرفته‌اند. در حملات اخیر، یک میلیون وب‌سایت جدید نیز مورد هجوم واقع شده‌اند که جزء اهداف کمپین قبلی نبوده‌اند.
در هر دو کمپین، تقریباً تمام حملات، از آسیب‌پذیری‌های قدیمی استفاده می‌کردند که در افزونه‌ها یا تم‌های به‌روز نشده وردپرس وجود دارند. این آسیب‌پذیری‌ها امکان export یا دانلود کردن فایل‌ها را فراهم می‌کنند. در کمپین جدید مهاجمان قصد دانلود فایل wp-config.php را داشتند. این فایل حاوی گذرواژه و اطلاعات اتصال به پایگاه داده است و همچنین شامل کلیدهای یکتا و saltهای احراز هویت است. اگر مهاجمی به این فایل دسترسی پیدا کند می‌تواند به پایگاه داده وب‌سایت که شامل محتویات وب‌سایت و مشخصات کاربران آن است، دست یابد.
به نظر می‌رسد مهاجمین به طور سیستماتیک کدهای بهره‌برداری را از وب‌سایت exploit-db.com و سایر منابع استخراج و آنها را روی لیستی از وب‌سایت‌ها اجرا می‌کنند. در حال حاضر مهاجمین مشغول استفاده از صدها آسیب‌پذیری هستند، اما آسیب‌پذیری‌های CVE-2014-9734، CVE-2015-9406، CVE-2015-5468 و CVE-2019-9618 جزء موارد با بیشترین استفاده بوده‌اند.
اگر وب‌سایت شما مورد حمله واقع شده باشد، می‌توانید اثرات آن را در فایل لاگ سرور خود مشاهده کنید. در فایل لاگ به دنبال مدخل‌هایی بگردید که قسمت query آنها شامل wp-config بوده و پاسخ آنها کد 200 است. 10 آدرسی که بیشترین حملات از آنها صورت گرفته عبارت اند از:

• 200.25.60.53
• 51.255.79.47
• 194.60.254.42
• 31.131.251.113
• 194.58.123.231
• 107.170.19.251
• 188.165.195.184
• 151.80.22.75
• 192.254.68.134
• 93.190.140.8

وب‌سایت‌هایی که از وردفنس استفاده می‌کنند در برابر این حملات مصون هستند. اگر از کاربران وردفنس نیستید و احتمال می‌دهید مورد حمله واقع شده باشید، گذرواژه پایگاه داده، کلیدها و saltهای احراز هویت را تغییر دهید. برای ایجاد این تغییرات ممکن است نیاز باشد تا با هاستینگ وب‌سایت خود تماس بگیرید. در ضمن برای جلوگیری از حملات، همه افزونه‌ها و تم‌های وردپرس را به‌روز نگه دارید.
اگر سرور شما طوری پیکربندی شده است که اجازه دسترسی از راه دور را به پایگاه داده می‌دهد، مهاجم با داشتن گذرواژه پایگاه داده می‌تواند به راحتی کاربر مدیر جدید اضافه کند، داده‌های حساس را سرقت کند یا کل وب‌سایت را پاک کند. در صورتی که امکان دسترسی از راه دور به پایگاه داده فراهم نباشد نیز، ممکن است مهاجم با داشتن کلیدها و saltهای احراز هویت بتواند سایر مکانیزم‌های امنیتی را دور بزند.

https://www.wordfence.com/blog/2020/06/large-scale-attack-campaign-targets-database-credentials
https://threatpost.com/attackers-target-1m-wordpress-sites-to-harvest-database-credentials/156255

آسیب پذیری CVE-2020-1301 از نوع اجرای کد از راه دور می باشد که با شدت خطر CVSS 7.5 شناخته شده است. مهاجم احراز هویت شده، برای بهره برداری موفق از این آسیب پذیری تنها نیاز به ساخت و ارسال یک پکت خاص به سمت سرور مورد هدف دارد. این آسیب پذیری از عدم برخورد صحیح SMBv1 با درخواست های ورودی از سمت کاربر نشات می گیرد.

نسخه های آسیب پذیر:

• Windows 10 Version 1809 for x64-based Systems Windows 10 for 32-bit Systems
• Windows 10 Version 1903 for 32-bit Systems Windows 10 for x64-based Systems
• Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1607 for 32-bit Systems
• Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1607 for x64-based Systems
• Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1709 for 32-bit Systems
• Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1709 for ARM64-based Systems
• Windows 10 Version 1909 for x64-based Systems Windows 10 Version 1709 for x64-based Systems
• Windows 10 Version 2004 for 32-bit Systems Windows 10 Version 1803 for 32-bit Systems
• Windows 10 Version 2004 for ARM64-based Systems Windows 10 Version 1803 for ARM64-based Systems
• Windows 10 Version 2004 for x64-based Systems Windows 10 Version 1803 for x64-based Systems
• Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for 32-bit Systems
• Windows RT 8.1 Windows 7 for 32-bit Systems Service Pack 1
• Windows Server 2008 for 32-bit Systems Service Pack 2 Windows 7 for x64-based Systems Service Pack 1
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows 8.1 for 32-bit systems
• Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows 8.1 for x64-based systems
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
• Windows Server 2012 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
• Windows Server 2012 R2 Windows Server 2012 (Server Core installation)
• Windows Server 2016 Windows Server 2012 R2 (Server Core installation)
• Windows Server 2019 Windows Server 2016 (Server Core installation)
• Windows Server, version 1803 (Server Core Installation) Windows Server 2019 (Server Core installation)
• Windows Server, version 1909 (Server Core installation) Windows Server, version 1903 (Server Core installation)
• (Windows Server, version 2004 (Server Core installation)

بروز رسانی جدیدی برای مرتفع سازی این آسیب پذیری انتشار یافته است، شما می توانید با مراجعه به لینک زیر اطلاعات بیشتری متناسب با نسخه مورد استفاده خود دریافت نمایید.

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1301

همچنین پیشنهاد می شود تا SMbv1 را غیر فعال نمایید:
کاربران Windows 8.1 یا Windows Server 2012 R2 می توانند طبق مراحل زیر اقدام به غیر فعال سازی نمایند.

1.  Open Control Panel, click Programs, and then click Turn Windows features on or off.
2.  In the Windows Features window, clear the SMB1.0/CIFS File Sharing Support checkbox, and then click OK to close the window.
3. Restart the system.

کاربران سیستم عامل های سرور نیز می توانند از مراحل زیر اقدام نمایند.

1. Open Server Manager and then click the Manage menu and select Remove Roles and Features.
2. In the Features window, clear the SMB1.0/CIFS File Sharing Support check box, and then click OK to close the window.
3. Restart the system.

آسیب‌پذیری SMBGhost با شناسه CVE-2020-0796 در مکانیزم فشرده‌سازی SMBv3.1.1 حدود سه ماه پیش وصله و برطرف شد. در مطالب مختلفی این آسیب‌پذیری و نحوه بهره‌برداری از آن برای افزایش سطح دسترسی محلی نشان داده شدند. در طول بررسی‌ها درخصوص این آسیب‌پذیری مشخص شد که این تنها نقص در عملکرد از حالت فشرده‌سازی خارج کردن SMB نیست بلکه SMBleed در همان تابع SMBGhost رخ می‌دهد. این نقص به مهاجم اجازه می‌دهد تا حافظه‌ی کرنل غیرمجاز را بخواند که در این مطلب، توضیحاتی با جزئیات بیشتر در خصوص این آسیب‌پذیری ارائه شده است.

Jitsi یک راهکار ویدئوکنفرانس کاملاً رایگان و ‫متن‌باز است. از ویژگی‌های امنیتی آن می‌توان به رمزنگاری سرتاسری در جلسات P2P (دو کاربره) و رمزنگاری بین کلاینت و سرور در جلسات چندکاربره اشاره کرد. اکوسیستم Jitsi از اجزای مختلفی تشکیل شده است. Jitsi Meet Server سرور مورد استفاده در برگزاری جلسات است. کلاینت‌ها از طریق مرورگر وب با سرور ارتباط برقرار می‌کنند. محتوای چندرسانه‌ای نیز از طریق WebRTC به طور مستقیم بین کلاینت‌ها ارسال می‌شود. برای موبایل نیز از اپلیکیشن‌های Jitsi ویژه اندروید و iOS استفاده می‌شود. در جلسات چندنفره از یک مسیریاب ویدئو (SFU ) به نام Jitsi Videobridge استفاده می‌شود که وظیفه انتقال محتوای ویدئویی را بین کلاینت‌ها به عهده دارد. جهت مطالعه بیشتر کلیک کنید.

اخیراً سیسکو اعلام کرده‌است که تعداد زیادی ‫آسیب‌پذیری‌ را در سیستم‌عامل IOS روترهایش برطرف کرده‌است که شامل بیش از ده‌ها آسیب‌پذیری است که بر سوئیچ‌ها و روترهای صنعتی شرکت تا‌ثیر می‌گذارند. درمجموع، 25 آسیب‌پذیری با شدت بالا و بحرانی در سیستم‌عامل‌های IOS و IOS XE رفع شده‌اند. علاوه بر این، این شرکت تعدادی توصیه‌ی دیگر را در مورد نقص‌هایی با شدت بالا و متوسط که بر IOS و سایر نرم‌افزارها تاثیر می‌گذارند، منتشر کرده ‌است.
یکی از مهمترین این آسیب‌پذیری‌ها که بحرانی نیز است با شناسه CVE-2020-3205 قابل ردیابی بوده که به یک مهاجم غیرمجاز اجازه می‌دهد تا دستورات شل دلخواه را بر روی یک سرور VDS اجرا کند.آسیب‌پذیری مهم دیگر با شناسه‌ی CVE-2020-3198 نیز مشابه مورد قبل عمل می‌کند. با توجه به اینکه به یک مهاجم غیرمجاز اجازه می‌دهد تا از راه دور کد دلخواه را بر روی سیستم آسیب‌پذیر اجرا کند، مهاجم قادر است با ارسال بسته‌های مخرب به دستگاه، به سادگی باعث خرابی(crash) و سپس راه‌اندازی مجدد(reboot) دستگاه ‌شود. از طرفی دیگر، سیسکو آسیب‌پذیری با شناسه CVE-2020-3227 را نیز بحرانی اعلام کرده است. به طور خلاصه، با توجه به کسب امتیاز 9.8 از 10 در مقیاس CVSS، خطر این آسیب‌پذیری از موارد قبلی کمتر نیست. برای مطالعه بیشتر اینجا کلیک کنید.

بر اساس گزارشات منتشر شده، پروتکل (Universal Plug and Play (UPnP می‌تواند برای ارسال ترافیک به مقصدهای دلخواه با استفاده از قابلیت SUBSCRIBE مورد سوء استفاده قرار گیرد. پروتکل UPnP به گونه‌ای طراحی شده است که در یک شبکه محلی (LAN) قابل اعتماد مورد استفاده قرار می‌گیرد و هیچ گونه احراز و تصدیق هویت را اجرا نمی‌کند. بسیاری از دستگاه‌های متصل به اینترنت، از پروتکل UPnP پشتیبانی می‌کنند. آسیب‌پذیری کشف شده در قابلیت UPnP SUBSCRIBE به مهاجمان اجازه می‌دهد تا مقادیر زیادی از داده‌ها را به مقصدهای دلخواه قابل دسترسی از طریق اینترنت ارسال کنند که این امر می‌تواند منجر به حمله(Distributed Denial of Service (DDoS، نشت و سرقت داده‌ها و سایر اعمال غیرمنتظره در شبکه شود. این ‫آسیب‌پذیری با شناسه "CVE-2020-12695" و با عنوان Call Stranger شناخته می‌شود. برای مطالعه بیشتر اینجا کلیک کنید.

رمزگشای ‫باج‌افزار Zorab توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
این باج‌افزار که در پوشش رمزگشای باج‌افزار قربانیان خود را فریب می‌دهد با بهره گیری از الگوریتم رمزنگاری AES-256 فایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک فایل متنی به صورت تصویر زیر در سیستم قربانی قرار می‌دهد:

ر صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند ZRB. می‌باشند. می‌توانید با این رمزگشا فایل‌های خود را رمزگشایی کنید.
به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:

https://www.emsisoft.com/ransomware-decryption-tools/zorab

رمزگشای ‫باج‌افزار Jigsaw توسط پژوهشگران شرکت امنیتی Emsisoft به روز شد.
این باج‌افزار در سال ۲۰۱۶ ظهور پیدا کرد و تاکنون به پسوندهای مختلف منتشر شده و قربانیان بسیاری را آلوده کرده است. این باج‌افزار به ازای هر ساعت به صورت نمایی تعداد فایل‌های رمزشده را حذف می‌کند. پس از ۷۲ ساعت، تمام فایل‌های رمزشده را نیز حذف می‌کند. البته در صورتی که پیش از ۷۲ ساعت باج‌افزار بسته شود و یا سیستم ریستارت شود، به صورت خودکار دوباره اجرا شده و به عنوان جریمه ۱۰۰۰ فایل رمز شده را بلافاصله حذف می‌کند. این باج‌افزار از الگوریتم رمزگذاری AES 128 جهت رمزگذاری فایل‌های قربانیان خود استفاده می کند.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار پسوندهای rar. و enc. و Professur. دارند، می‌توانید از طریق این رمزگشا فایل‌های رمزشده خود را رمزگشایی کنید. شایان ذکر است، این رمزگشا 90 پسوند دیگر را نیز می‌تواند رمزگشایی کند.
نکته مهم:

پیش از اجرای رمزگشا، این مراحل را انجام دهید:

• در Task Manager، دو فرآیند firefox.exe و drpbx.exe را End Task نمایید.
• سپس در Run ویندوز خود msconfig را تایپ نموده و اجرا کنید.
• در پنجره msconfig به زبانه Startup رفته و تیک مربوط به موردی که با عنوان firefox.exe و آدرس %UserProfile%\AppData\Roaming\Frfx\firefox.exe می‌باشد را برداشته و سپس رمزگشا را اجرا نمایید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/jigsaw

یک ‫آسیب‌پذیری از نوع ارتقاء دسترسی کشف شده است که بر دستگاه‌های اندروید دارای نسخه‌ی 9.0 و قبل از آن تأثیر می‌گذارد و به مهاجمان این امکان را می‌دهد که هر برنامه‌ای را از تلفن آلوده به‌سرقت ببرند. این اشکال که به‌دلیل شباهت آن به اشکال "StrandHogg" که در سال گذشته کشف شد، آسیب‌پذیری "StrandHogg 2.0" لقب گرفته است، یک برنامه‌ی مخرب نصب‌شده در یک دستگاه اندروید است که می‌تواند پشت برنامه‌های قانونی پنهان شود و اعتبار ورود به سیستم را برای برنامه‌ی قانونی به‌سرقت ببرد.
آسیب پذیری StrandHogg، از مشخصه‌ی "TaskAffinity" جهت سرقت ویژگی multitaskingاندروید استفاده می‌کند و در نتیجه اثراتی از خود به جا می‌گذارد که قابل رهگیری هستند، اما نسخه‌ی 2.0 طیف گسترده‌ای از حملات را امکان‌پذیر می‌کند. تفاوت اصلی این اشکال جدید در این است که سوءاستفاده از طریق بازتاب (Reflection) انجام می‌شود و به برنامه‌های مخرب اجازه می‌دهد تا هویت برنامه‌های معتبر را به‌سرقت ببرند و در عین حال مخفی بمانند.
وقتی برنامه‌ی مخرب روی دستگاه نصب می‌شود، مهاجم می‌تواند به پیام‌ها و عکس‌های خصوصی، اعتبار ورود به سیستم، حرکات GPS، مکالمات تلفنی و موارد دیگر دسترسی پیدا کند یا حتی خود، تماس برقرار کند و از طریق میکروفن و دوربین گوشی جاسوسی کند.
به‌گفته‌ی محققان، StrandHogg 2.0 می‌تواند به‌صورت پویا تقریباً به هر برنامه‌ای بر روی یک دستگاه خاص با لمس یک دکمه حمله کند (برخلاف StrandHogg اصلی که فقط می‌تواند یک بار به یک برنامه حمله کند). در نتیجه، نسخه‌ی ۲.0 قابلیت‌های تهاجمی بسیار بیشتری دارد و برای اجرا به دسترسی ریشه یا هر مجوزی از سوی دستگاه نیاز ندارد.
برنامه‌ی مخربی که برروی دستگاه نصب شده است، می‌تواند با استفاده از این آسیب‌پذیری کاربر را فریب دهد، یعنی وقتی کاربر یک برنامه‌ی سالم را باز می‌کند، نسخه مخربی از آن بر روی صفحه‌ی نمایش نشان داده می‌شود. سپس اگر قربانی مشخصات ورود به سیستم خود را در رابط کاربری وارد کند، این اطلاعات بلافاصله به مهاجم منتقل می‌شود و مهاجم می‌تواند به برنامه‌های حساس وارد شده و آن‌ها را کنترل کند.
از آنجایی که StrandHogg 2.0 به‌صورت مبتنی بر کد اجرا می‌شود، تشخیص آن نیز سخت‌تر است. در StrandHogg، مهاجم باید برنامه‌های هدف خود را در مانیفست اندروید بنویسد. این اطلاعات در یک فایل XML ظاهر می‌شود که شامل اعلان مجوزهای لازم است و نشان می‌دهد که چه عملیاتی می‌توانند اجرا شوند. بنابراین اعلان کد مورد نیاز در گوگل‌پلی قابل مشاهده خواهد بود، اما در StrandHogg 2.0 اینطور نیست. از آنجایی که برای اجرای StrandHogg 2.0 به هیچ پیکربندی خارجی‌ای نیاز نیست، هکر می‌تواند حمله‌ی خود را مبهم‌تر و مخفی‌تر کند، زیرا کدی که از گوگل‌پلی به‌دست می‌آید، در ابتدا، از چشم توسعه‌دهندگان و تیم‌های امنیتی مشکوک به نظر نمی‌رسد.
بدافزارهایی که از StrandHogg 2.0 بهره‌برداری می‌کنند حتی توسط اسکنرهای امنیتی و آنتی‌ویروس‌ها نیز قابل شناسایی نیستند. براساس داده‌های گوگل در آوریل 2020، 91.8 درصد از کاربران اندروید از نسخه 9.0 یا قبل‌تر از آن استفاده می‌کنند.
با وجود اینکه گوگل این آسیب‌پذیری را رفع کرده و خطر کمی برای کاربران وجود دارد، اما همچنان هکرها می‌توانند از آن سوءاستفاده کنند. بنابراین کاربران گوشی‌های اندروید برای جلوگیری از سرقت اطلاعات خود، باید جدیدترین وصله‌ی امنیتی اندروید را که برای نسخه‌های 8، 8.1 و 9 ارایه شد است، نصب کنند.
منبع:

https://gbhackers.com/strandhogg-2-0/