با توجه به شیوع ویروس #‫کرونا که در این روزها بسیار مردم را وحشت زده کرده است هکرهای کلاه سیاه نیز از این موقعیت سوءاستفاده‌های خود را انجام داده و با استفاده از حملات گسترده مهندسی اجتماعی اقدام به سرقت اطلاعات و ... می‌کنند.
ترس از این ویروس باعث شده که مردم به مطالعه مستندات مختلف بپردازند تا اطلاعات خود را در مورد این ویروس و روشهای پیشگیری و ... آن افزایش دهند. حال هکرها از این موقعیت با ارسال ایمیل‌ها و مستندات آلوده انبوه مختلف با موضوعات تحریک‌آمیز و استفاده از شبکه‌های اجتماعی می‌توانند سوءاستفاده‌های لازم را به منظور دستیابی به اهداف خود داشته باشند که در زیر سعی می‌کنیم این روش‌ها را همراه با روش‌های مقابله نام ببریم:
   • ایجاد مستندات Microsoft Office آلوده به بدافزار
   • ایجاد مستندات PDF آلوده به بدافزار
   • ایجاد لینک‌های آلوده به بدافزار
   • ایجاد اپلیکیشن‌های آلوده
   • ایمیل‌های آلوده و یا جعلی
   • آسیب‌پذیری‌های سیستم‌عامل و نرم‌افزارها
   • ایجاد مستندات Microsoft Office آلوده به بدافزار
در صورتی که در فایل Word از کدهای VBA استفاده شده باشد پیغامی به شکل زیر برای کاربران نمایش داده می‌شود که از کاربر درخواست فعال کردن محتوای کدهای ماکرو را دارد. این کدها ممکن است که توسط هکر نوشته شده و حاوی یک کد مخرب باشد. پس در صورت اجرای فایل‌های مجموعه Microsoft Office به هیچ عنوان ماکروها را فعال نکنید.

دانلود پیوست

اخیراً #‫بدافزار مخرب جدیدی به‌نام ObliqueRAT با استفاده از اسناد مخرب مایکروسافت آفیس سازمان‌های دولتی در جنوب شرقی آسیا را هدف قرار داده است. محققان بر این باورند که کمپین گسترش ObliqueRAT با کمپین CrimsonRAT مرتبط است زیرا همان ناهنجاری‌ها و کد‍‌ها‌ی مخرب را به اشتراک می‌گذارند.
در این کمپین، مهاجمان برای ارائه بدافزار ObliqueRAT از پیام‌هایی در قالب ایمیل فیشینگ با اسناد مخرب پیوست شده به فایل‌های مایکروسافت آفیس استفاده می‌کنند.
گسترش ObliqueRAT
این بدافزار در قالب اسناد مخرب پیوست شده به فایل‌های مایکروسافت آفیس با نام فایل‌های
" Company-Terms.doc& DOT_JD_GM.doc " به سیستم کاربر می‌رسد.
اگر کاربر این اسناد را باز کند، برای مشاهده‌ محتویات سند به رمز عبور نیاز دارد. پس از وارد کردن رمز عبور صحیح، اسکریپت VB در اسناد مخرب فعال می‌شود.
 

اسکریپت مخرب سپس میانبری را در دایرکتوری Start-Up ایجاد می‌کند تا در صورت راه‌اندازی مجدد دستگاه، به ماندگاری دست یابد.
مرحله دوم payload، ObliqueRAT است که دارای ویژگی‌ها و کارکردهای مختلفی‌ست، RAT با سرور C&C ارتباط برقرار می‌کند و سپس دستورات را اجرا می‌کند.
این بدافزار فرآیندی به نام “Oblique” را که بر روی دستگاه آلوده اجرا می‌شود، بررسی می‌کند و اگر فرآیند درحال اجرا باشد، RAT اجرا را قطع می‌کند.
در مرحله بعد، اطلاعات سیستم را جمع‌آوری کرده و به سرور C&C ارسال می‌شود. همچنین، این بدافزار فهرستی از نام‌های کاربری و نام‌های رایانه‌هایی که در لیست‌سیاه هستند، دارد.
اگر مقادیر لیست‌سیاه مطابقت یابد، اجرای آن بر روی رایانه آلوده متوقف می‌شود. این بررسی برای جلوگیری از اجرای بدافزار در سیستم تشخیص مبتنی بر Sandbox است.
ارتباط بین سرور C&C بصورت کدگذاری شده‌است که آدرس‌IP C&C و شماره پورت را مخفی می‌کند. همچنین کدهای مختلف فرمان را از سرور کنترل دریافت می‌کنند و عملکردهایی را انجام می‌دهند.
محققان Cisco Talos همچنین "نوع دیگری از حمله ObliqueRAT که از طریق یک dropper مخرب توزیع شده‌است را کشف کرده‌اند. dropper مخرب شامل دو فایل EXE تعبیه شده در آن است که در حین اجرا در دیسک دانلود می‌شوند تا تکثیر و فاعلیت مخرب را تکمیل کنند. "

قابلیت‌های ObliqueRAT:
   • قادر به اجرای دستورات بر روی سیستم آلوده
   • جمع‌آوری اطلاعات و دریافت فایل‌ها از سیستم کاربر
   • توانایی یک مهاجم برای افزودن فایل‌های مختلف در سیستم قربانی
   • قادر به غیرفعال کردن هر فرآیند در حال اجرا در سیستم قربانی

نزدیک به ده ماه طول کشید تا محققان امنیتی موفق به کشف روشی برای پاکسازی دستگاه‌های هوشمند اندرویدی از این بدافزار#xHepler شدند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.
درباره‌ی بدافزار
بدافزار xHelper نخستین بار در مارس 2019 زمانی که کاربران از برنامه‌ای ناشناخته روی گوشی اندرویدی خود خبر دادند که حتی با برگشتن به تنظیمات کارخانه نیز حذف نمی‌شد، شناسایی شد. این برنامه مخرب روی گوشی تلفن همراه تبلیغات ناخواسته نمایش می‌دهد. منابعی که xHelper ممکن از آن بارگیری شده باشد بطور دقیق مشخص نیست اما طبق گفته محققان امنیتی منبع اصلی، «web redirect»هایی بودند که کاربران را به صفحات وب مخرب هدایت می‌کردند. این صفحات مخرب امکان دانلود برنامه‌های اندرویدی مخرب را فراهم می‌کردند. درنهایت این برنامه‌های مخرب اندرویدی تروجان xHelper را دانلود و نصب می‌کنند.
بدافزار xHelper با هر بار بازگشتن دستگاه اندرویدی به تنظیمات کارخانه حذف می‌شود اما بعد از چند ساعت بدون نیاز به تعامل با کاربر مجدداً به صورت خودکار نصب می‌شود. تنها راه برای پاکسازی دستگاه از این بدافزار flash کردن دستگاه و نصب مجدد سیستم عامل اندروید بر روی آن است که البته اعمال این روش برای همه‌ی کاربران امکان پذیر نیست چراکه اکثرا به طور صحیح به firmware image سیستم عامل اندرویدی دسترسی ندارند.
روش پاکسازی
به گزارش Malwarebytes این بدافزار از فرآیندی در برنامک Google Play Store برای نصب مجدد خود استفاده می‌کند؛ همچنین به کمک دایرکتوری‌های خاصی که در دستگاه اندرویدی می‌سازد فایل APK خود را روی دیسک ذخیره می‌کند تا امکان حذف آن از طریق بازگشت به تنظیمات کارخانه وجود نداشته باشد چرا که با بازگشت به تنظیمات کارخانه برنامه‌های دستگاه اندرویدی حذف می‌شود اما فایل‌ها و دایرکتوری‌ها باقی می‌مانند.
به گفته‌ی Nathan Collier محقق امنیتی در Malwarebytes، زمانی که برنامه Google Play Store عملیاتی شبیه به اسکن را شروع می‌کند، بدافزار، مجدداً و به صورت خودکار خود را نصب می‌کند.
با پنج قدم زیر می‌توان از نصب مجدد این بدافزار جلوگیری کرد:
1. نصب برنامه مدیریت فایلی (file manager) که امکان جستجوی فایل‌های و دایرکتوری‌ها را دارد.
2. متوقف کردن موقت برنامه‌ی Google Play Store برای جلوگیری از نصب مجدد xHelper
      • مراجعه به قسمت تنظیمات -> برنامه‌ها -> Google Play Store
      • فشردن دکمه غیرفعال (Disable)
3. جستجوی عبارت com.mufc در برنامه مدیریت فایل
4. در صورت یافتن، فایل‌ها را به ترتیب تاریخ مرتب کرده و هر گروهی از فایل‌ها را که با com.mufc آغاز می‌شود و تاریخ یکسان دارند (به جز دایرکتوری‌های اصلی core مانند Download) حذف کنید.
5. فعال کردن مجدد برنامه Google Play Store

#‫گوگل یک به‌روزرسانی جدید جهت رفع سه نقص امنیتی در مرورگر کروم منتشر ساخته است که در آن یک آسیب‌پذیری روز صفرم را که تحت حملات فعال است، برطرف ساخته است.
این سه آسیب‌پذیری که در آخرین نسخه‌ی کروم، 80.03987.122، برطرف شده‌اند عبارتند از آسیب‌پذیری سرریز عدد صحیح در ICU ، دسترسی خارج از محدوده به حافظه در جریان‌ها با شناسه‌ی CVE-2020-6407 و آسیب‌پذیری به همریختگی نوع در V8 (مؤلفه‌ای در کروم که مناسب پردازش کد جاوااسکریپت است) با شناسه‌ی CVE-2020-6418.
آسیب‌پذیری به همریختگی نوع در V8، یک نقص روز صفرم است که متأسفانه پیش از آنکه گوگل آن را ردیابی و برطرف کند، توسط کلاهبردان مورد سوءاستفاده قرار گرفته است و تحت حملات فعال است.
به همریختگی نوع به اشکالات کدگذاری اشاره می‌کند که در طی آن، یک برنامه، عملیات اجرای داده‌ها را بااستفاده از ورودی یک «نوع» خاص مقداردهی اولیه می‌کند، اما به گونه‌ای فریب میخورد که با ورودی به عنوان یک «نوع» متفاوت رفتار می‌کند. به همریختگی نوع منجر به خطاهای منطقی در حافظه‌ی برنامه‌ی کاربردی می‌شود و می‌تواند موقعیتی درست کند که مهاجم بتواند کد مخرب نامحدودی را درون یک برنامه‌ی کاربردی اجرا کند. به گفته‌ی گوگل، اطلاعات فنی مربوط به این آسیب‌پذیری در حال حاضر محدود است.
سوءاستفاده‌ی موفق از آسیب‌پذیری‌های سرریز عدد صحیح و نوشتن خارج از محدوده، یک مهاجم راه دور را قادر می‌سازد تا یک سیستم آسیب‌پذیر را با فریب‌دادن کاربر به بازدید یک صفحه وب ساختگی خاص که از این سوءاستفاده برای اجرای کد دلخواه استفاده می‌کند، به خطر اندازد.
این به‌روزرسانی برای کاربران ویندوز، MacOS و لینوکس موجود است؛ اما برای iOS، Chrome OS و اندروید هنوز وصله منتشر نشده است.
به کاربران ویندوز، لینوکس و MacOS توصیه می‌شود آخرین نسخه‌ی کروم را با رفتن به قسمت Help-> About Chrome از منوی تنظیمات، دانلود و نصب کنند.

محققان امنیتی، گونه‌ی جدیدی از بدافزار اندرویدی را کشف کردند که می‌تواند رمزهای یک‌بارمصرف (OTP) تولید‌شده توسط "Google Authenticator" را استخراج و به‌سرقت ببرد.
Google Authenticator یک برنامه‌ی تلفن همراه است که از سال 2020 به‌عنوان یک لایه‌ی احراز هویت دو عاملی (2FA) برای بسیاری از حساب‌های آنلاین استفاده می‌شود. کار این برنامه، تولید کدهای منحصربه‌فرد شش تا هشت‌رقمی است که کاربران باید هنگام دسترسی به حساب‌های برخط و فرم‌های ورود به سیستم، آن‌ها را وارد کنند.
گوگل، Authenticator را به‌عنوان گزینه‌ای برای رمزهای یک‌بار مصرف مبتنی بر پیام کوتاه راه‌اندازی کرد. از آنجایی که کدهای Google Authenticator در تلفن هوشمند کاربر ایجاد می‌شوند و هرگز از شبکه‌های تلفن همراه ناامن عبور نمی‌کنند، حساب‌های برخطی که از کدهای Authenticator به‌عنوان لایه‌های 2FA استفاده می‌کنند، امنیت بالایی دارند.
اما محققان امنیتی اخیراً در نمونه‌های جدید تروجان Cerberus که یک تروجان نسبتاً جدید بانکی اندرویدی است، قابلیت سرقت رمزهای یک‌بار مصرف را کشف کرده‌اند.
این تروجان که از ماه ژوئن سال 2019 شروع به‌کار کرده است، اکنون می‌تواند با سوءاستفاده از امتیازات دسترسی، کدهای 2FA را نیز از برنامه‌ی Google Authenticator به‌سرقت ببرد.
به‌گفته‌ی محققان، وقتی برنامه‌ی Authenticator در حال اجرا است، این تروجان می‌تواند محتوای رابط را دریافت کند و آن‌را به کارگزار کنترل و فرمان ارسال کند.
نسخه‌های فعلی تروجان بانکی Cerberus بسیار پیشرفته هستند. این تروجان دارای همان ویژگی‌هایی است که معمولاً در تروجان‌های دسترسی از راه دور (RATها)، یافت می‌شوند. این ویژگی‌های RAT به اپراتورهای Cerberus اجازه می‌دهند تا از راه دور به یک دستگاه آلوده متصل شوند، از اعتبارنامه‌ی بانکی مالک استفاده کنند تا به یک حساب بانکی برخط دسترسی پیدا کنند و سپس از ویژگی Authenticator OTP-stealing برای دورزدن محافظت 2FA بر روی حساب استفاده کنند.
این تروجان همچنین دارای ویژگی گرفتن قفل صفحه است که از هم‌پوشانی استفاده می‌کند و این امکان را برای مهاجمین فراهم می‌کند که از RAT داخلی برای بازکردن قفل دستگاه‌های اندرویدی قربانیان خود استفاده کنند.
Cerberus حتی می‌تواند خودش را در قالب یک لینک مربوط به نرم‌افزار TeamViewer نیز درآورد؛ بنابراین هکرها می‌توانند گوشی قربانی را بررسی کنند و هر زمانی که بلااستفاده بود، کنترل آن‌را به‌دست بگیرند. این بدان معناست که پیام‌های متنی، حساب‌های کاربری شبکه‌های اجتماعی، تصاویر و همه‌چیز کاملاً در معرض دید هکرها قرار می‌گیرد.
به‌نظر می رسد این ویژگی جدید در نسخه‌ی Cerberus هنوز در مرحله‌ی آزمایش است اما به‌زودی منتشر می‌شود و در تالارهای هک به‌فروش خواهد رسید.
گوگل هنوز وصله‌ای را برای رفع این مشکل در برنامه‌ی Authenticator منتشر نکرده است، اما انتظار می‌رود تا هر چه زودتر، امنیت اندروید را در مقابل این نوع خطر افزایش دهد.

محققان در Ruhr-Universität Bochum، از حفره امنیتی در #LTE خبر دادند که از ناتوانی در رسیدگی به payloadهای رمزنگاری شده ارسالی در جریان‌های داده ناشی می‌شود. این آسیب‌پذیری موجود در استاندارهای ارتباطی 4G، امکان جعل هویت کاربر گوشی هوشمند را فراهم می‌کند؛ درنتیجه مهاجمان می‌توانند به عنوان مثال مدارک محرمانه یک سازمان را به نام شخص دیگری افشا کنند.
حملات صورت گرفته با استفاده از این آسیب‌پذیری موسوم به IMP4GT (حملات جعل هویت در شبکههای 4G) همه‌ی دستگاه‌هایی که از طریق تکنولوژی LTE ارتباط برقرار می‌کنند که در واقع همه‌ی گوشی‌های هوشمند، تبلت‌ها و تعدادی از دستگاه‌های اینترنت اشیا را شامل می‌شود، تحت تاثیر قرار می‌دهد.
رادیوهای نرم‌افزاری (Software-defined radio) یکی از عناصر کلیدی در حملات IMP4GT هستند. این دستگاه قادر به شنود کانال‌های ارتباطی بین دستگاه موبایل و ایستگاه پایه (base station) است و با استفاده از آن امکان فریب گوشی هوشمند و جا زدن رادیو نرم‌افزاری به عنوان ایستگاه پایه و برعکس فراهم وجود دارد. به محض اینکه امکان شنود کانال ارتباطی با فریب دادن ایستگاه پایه و گوشی هوشمند فراهم شد می‌توان داده‌های ارسالی بین گوشی هوشمند و ایستگاه پایه را دستکاری کرد.
اگرچه بسته‌های داده برای جلوگیری از استراق سمع به صورت رمزنگاری شده بین ایستگاه پایه و گوشی هوشمند تبادل می‌شوند اما امکان تغییر و دستکاری محتوای بسته‌های مبادله شده وجود دارد. در واقع مهاجم از محتویات بسته‌های داده مطلع نیست ولی می‌تواند با تغییر بیت‌های صفر، به یک و بالعکس موجب بروز خطا شود. این خطا ایستگاه پایه و گوشی هوشمند را وادار به رمزگشایی یا رمزنگاری پیام‌ها یا ایجاد شرایطی که در آن مهاجم می‌تواند دستورات را بدون نیاز به مجوز خاصی ارسال کند، می‌کند.
به گفته‌ی Holz، با استفاده از این دستورات مهاجم می‌تواند با هویت شخصی دیگر از یک سایت بازدید کند، شخص دیگری را به عنوان کسی که مرتکب جرم شده جلوه دهد و یا با هویت او اقدام به افشای اطلاعات کند. لازم به ذکر است که مهاجمان برای بهره‌برداری از این آسیب‌پذیری باید موقعیت مکانی نزدیک به قربانی داشته باشند.
طبقه گفته محققان تنها راه کاهش یا از بین بردن این مخاطره تغییر سخت‌افزار استفاده شده است که باید در تکنولوژی 5G نیز مورد توجه قرار گیرد. با توجه به اینکه با محافظت بیشتر، داده‌ی بیشتری نسبت به قبل هنگام ارسال تولید می‌شود، اپراتورهای تلفن همراه نیز باید هزینه‌ی بیشتری نسبت به قبل متقبل شوند. به علاوه همه‌ی گوشی‌های موبایل باید جایگزین شوند و همچنین ایستگاه‌های پایه نیز گسترش یابند.

Kr00k، یک نقص امنیتی در تراشه‌های Wi-Fi است که به مهاجمان اجازه می‌دهد تا ترافیک رمزنگاری شده‌ WPA2 را رمزگشایی کنند. این آسیب‌پذیری بر روی تراشه‌های Broadcom و Cypress تأثیر می‌گذارد که این رایج‌ترین تراشه‌هایی است که توسط چندین شرکت از جمله مارک‌های برتر آمازون(اکو ، کیندل)، اپل (آی فون، آی پد، مک بوک)، گوگل (نکسوس)، سامسونگ (گلکسی) و ... استفاده می‌شود.
این آسیب‌پذیری نه‌تنها دستگاه‌های کاربران بلکه نقاط و روترهای دسترسی Wi-Fi را نیز تحت تأثیر قرار می‌دهد.

آسیب‌پذیری Kr00k
محققان امنیتی ESET، آسیب‌پذیری ملقب به Kr00k را کشف کردند و شناسه CVE-2019-15126 را به آن اختصاص دادند. مهاجم می‌تواند با استراق‌سمع ارتباطات یک دستگاه وصله‌نشده، از این آسیب‌پذیری بهره‌برداری کند.
اگر حمله موفقیت‌آمیز باشد، مهاجمان می‌توانند داده‌های حساس را از دستگاه مورد‌ نظر سرقت کنند. این حمله از نقص عملکرد و اجرای تراشه‌های Wi-Fi سوءاستفاده می‌کند.
 

به طور کلی بسته‌ها با یک کلید منحصر‌به‌فرد بر اساس رمزعبور شبکه Wi-Fi رمزنگاری می‌شوند. وقتی دستگاهی از شبکه Wi-Fi جدا شود، کلیدهای تراشه آسیب‌پذیر صفر می‌شوند و سپس داده‌های بافرشده با رمزنگاری صفر ارسال می‌شوند.
با تحریک مداوم جداسازی دستگاه‌های متصل، مهاجم می‌تواند برخی از بسته‌های شبکه‌ی بی‌سیم که توسط یک دستگاه آسیب‌پذیر منتقل می‌شود را رمزگشایی کند.
این آسیب‌پذیری هر دو پروتکل WPA2-Personal و WPA2-Enterprise را با رمزگذاری AES-CCMP تحت‌تأثیر قرار داده است.
Kr00k همچنین به آسیب‌پذیری KRACK که در سال 2017 پیدا شد، مربوط می‌شود.
تفاوت بین KRACK و Kr00k در زیر آمده‌است:
 

ESET تولید‌کنندگان تراشه Broadcom و Cypress را در مورد این آسیب‌پذیری مطلع کرد و آن‌ها مشکل را برطرف کردند، همچنین ESET با ICASI همکاری‌کرد تا مطمئن شود تمام فروشندگان از Kr00k مطلع هستند.
این آسیب‌پذیری به هیچ‌وجه به رمز‌عبور Wi-Fi مربوط نیست، تغییر رمزعبور Wi-Fi در رفع این آسیب‌پذیری مؤثر نیست.
اگر از تراشه‌های آسیب‌دیده استفاده می‌کنید، توصیه می‌شود دستگاه‌های دارای تراشه‌های Broadcom یا Cypress را به آخرین نسخه‌های نرم افزاری به‌روز کنید.

افزونه‌ی دیگری از #WordPress به لیست افزونه‌هایی که دارای نقص‌های امنیتی تهدیدآمیز هستند، پیوسته است. این بار، این آسیب‌پذیری در افزونه‌ی GDPR Cookie Consent ظاهر شده است و یکپارچگی 700000 وب سایت را به خطر انداخته است.
طبق گزارشات، محققی به نام Jerome Bruandet، یک آسیب‌پذیری جدی در افزونه‌ی GDPR Cookie Consent کشف کرده است. GDPR Cookie Consent به کاربران در ساخت سایت مطابق با GDPR کمک می‌کند. با در نظر گرفتن 700000 نصب از این افزونه، این نقص می‌تواند هزاران وب‌سایت را در معرض خطر قرار دهد.
این آسیب‌پذیری، یک نقص بحرانی تزریق اسکریپت مخرب در افزونه‌ی GDPR Cookie Consent است که ناشی از کنترل نامناسب دسترسی در نقطه‌پایانی (endpoint) استفاده‌شده در افزونه‌ی AJAX API (یک روش توسعه‌ی وب برای ساخت برنامه‌های کاربردی تحت وب) وردپرس است. نقطه‌پایانی، یک روش “-construct” درون افزونه است که برای کد مقداردهی اولیه‌ی اشیایی که به تازگی ایجاد شده‌اند، مورد استفاده قرار می‌گیرد. پس از آنکه فعالیت‌ها ایجاد شدند، از طریق AJAX به روش “-construct” ارسال می‌شود. این فرایند در پیاده‌سازی بررسی‌ها شکست می‌خورد. به همین دلیل، نقطه‌پایانی AJAX که به گونه‌ای در نظر گرفته شده است که تنها برای مدیران قابل دسترسی باشد، به کاربران سطح مشترک (یک نقش کاربر در وردپرس با قابلیت‌های بسیار محدود) نیز اجازه دهد تعدادی فعالیت که امنیت سایت را به مخاطره می‌اندازد، انجام دهند. روش “-construct”، سه مقدار متفاوت از AJAX API را می‌پذیرد. دو مقدار از آن‌ها، autosave_contant_data و save_contentdata هستند که می‌توانند توسط مهاجم از طریق این آسیب‌پذیری مورد سوءاستفاده قرار گیرند. روش save_contentdata به مدیران اجازه می‌دهد اعلان‌های کوکی را به عنوان یک نوع پست صفحه در پایگاه داده ذخیره سازد. اما از آنجاییکه این روش مورد بررسی قرار نگرفته است، یک کاربر یا مشترک احرازهویت‌شده می‌تواند هر صفحه یا پست موجود (یا کل وب‌سایت) را تغییر دهد و با تغییر وضعیت آن‌ها از «منتشرشده» به «پیش‌نویس»، آن‌ها را آفلاین کند. روش دیگر ، autosave_contant_data ، برای ذخیره‌ی صفحه‌ی اطلاعات کوکی GDPR در پس زمینه، در حالی که مدیر در حال ویرایش آن است، با ذخیره کردن داده‌ها در فیلد cli_pg_content_data پایگاه‌داده، بدون اعتبارسنجی استفاده می‌شود. عدم بررسی در این روش به کاربر معتبر احرازهویت‌شده اجازه می‌دهد کد جاوااسکریپت را به صفحه وب تزریق نماید. سپس این کد هر بار که شخصی به صفحه «http://example.com/cli-policy-preview/» مراجعه می‌کند، بارگیری و اجرا می‌شود.
این نقص از نظر شدت، بحرانی رتبه‌بندی شده است و دارای امتیاز CVSS 9.0 از 10 است.
تیم تحقیقاتی WordFence نیز وجود این نقص را پس از آنکه تیم توسعه‌ی این افزونه، آن را برطرف ساخت، تأیید کرده است.
Bruandet در تاریخ 28 ژانویه سال 2020، توسعه‌دهندگان این افزونه را از وجود آسیب‌‌پذیری در آن مطلع ساخت. نسخه‌های 1.8.2 و پیش از آن افزونه‌ی GDPR Cookie Consent، تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند. توسعه‌دهندگان این افزونه، با انتشار نسخه‌ی 1.8.3، یک هفته پس از افشای این نقص، آن را وصله کرده‌اند. کاربران باید با به‌روزرسانی این افزونه به آخرین نسخه، مانع از سوءاستفاده‌های بالقوه شوند.

طبق آخرین گزارشات CIS Security #‫آسیب‌پذیری‌های چندگانه جدید در گوگل کروم کشف شده است که شدیدترین آن‌ها می‌توانند باعث اجرای کد دلخواه بر روی سیستم هدف شوند. سوءاستفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند. بسته به دسترسی‌های داده شده به برنامه، مهاجم می‌تواند اقدام به نصب برنامه، بازدید یا تغییر در اطلاعات موجود یا حتی ایجاد حساب‌های کاربری جدید نماید. اگر در تنظیمات و پیکربندی به نکات امنیتی توجه شود، حتی سوءاستفاده از شدیدترین این آسیب‌پذیری‌ها نیز تأثیر کمتری را نسبت به حالت تنظیمات پیش‌فرض خواهد داشت.
نسخه آسیب‌پذیر این برنامه مربوط به نسخه‌های قبل از 80.0.3987.116 گوگل کروم می‌شود. این آسیب‌پذیری‌ها می‌توانند در صورت مراجعه یا تغییر مسیر دادن‌ کاربر به یک صفحه وب ساختگی خاص، مورد بهره‌برداری قرار گیرند. جزئیات آسیب‌پذیری‌ها به شرح زیر است:
   • استفاده پس از آزادسازی در WebAudio (CVE-2020-6384)
   • استفاده پس از آزادسازی در speech (CVE-2020-6386)
   • ابهام در نوع استفاده در V8 (CVE-2020-6383)
بهره‌برداری موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه را در متن مرورگر اجرا کنند، اطلاعات حساس را بدست آورد، محدودیت‌های امنیتی را دور بزنند و کارهایی غیرمجاز انجام دهند، یا باعث منع از سرویس شوند.
توصیه می‌شود اقدامات زیر انجام شود:
   • بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط گوگل به سیستم‌های آسیب‌پذیر اعمال شود.
   • برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
   • تذکر به کاربران برای بازدید نکردن وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
   • اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصا از منابع نامعتبر و ناشناس.
   • اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منبع :

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbit…
https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_18.html
CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6383
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6384
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6386

شرکت #‫گوگل پس از اطلاع از تبلیغات مخرب و تزریق داده‌های مرور کاربر به سرورهای تحت کنترل مهاجمان توسط پانصد افزونه در کروم، آن‌ها را از فروشگاه وب خود حذف کرد.
این افزونه‌ها بخشی از یک پویش تبلیغاتی و کلاهبرداری بودند که حداقل از ماه ژانویه‌ی سال 2019 شروع به کار کرده‌اند و از آن زمان تا‌کنون توسط بیش از 7/1 میلیون کاربر نصب شده‌‌اند.
کد مخرب تزریق‌شده توسط افزونه‌ها، تحت شرایط خاص فعال شده و کاربران را به سایت‌های خاص هدایت می‌کند. در برخی موارد، مقصد می‌تواند یک لینک وابسته به سایت‌های قانونی مانند Macys ، Dell یا BestBuy باشد، اما در 60 تا 70 درصد موارد، لینک مقصد چیزی مخرب مانند سایت بارگیری بدافزار یا صفحه‌ی فیشینگ است.
محققان با استفاده از ابزار ارزیابی امنیت افزونه‌ی کروم موسوم به "CRXcavator"، در حال بررسی این افزونه‌های کروم بودند که دریافتند مشتری‌های این مرورگر به یک سرور کنترل و فرمان (C2) کنترل‌شده توسط مهاجمان متصل می‌شوند و این امکان را برای مهاجمان فراهم می‌آورد تا داده‌های مرور را بدون اطلاع کاربران، دریافت کنند.
این افزونه‌ها که تحت پوشش تبلیغات و خدمات تبلیغاتی عمل می‌کردند، دارای کد منبع تقریباً یکسان اما نام توابع متفاوت بودند و از این طریق، مانع از تشخیص مکانیسم‌های شناسایی فروشگاه وب کروم می‌شدند.
افزونه‌های مخرب موجود در کروم علاوه بر درخواست مجوزهای گسترده که امکان دسترسی آن‌ها به کلیپ‌بورد و کلیه کوکی‌هایی را که به‌صورت محلی در مرورگر ذخیره می‌شوند را می‌دهد، به‌صورت دوره‌ای نیز به یک دامنه متصل می‌شوند. این دامنه دارای همان نام افزونه است و به‌ آن‌ها دستور حذف از مرورگر را می‌دهد.
پس از برقراری تماس اولیه با سایت، افزونه‌ها با یک دامنه‌ی C2 که به صورت سخت‌افزاری کدگذاری‌شده است، ارتباط برقرار می‌کنند. سپس در انتظار دستورات بعدی، مکان‌هایی برای بارگذاری داده‌های کاربر و دریافت لیست‌های به‌روزشده از تبلیغات مخرب و دامنه‌های هدایت‌شونده که جلسات مرور کاربران را به ترکیبی از سایت‌های قانونی و فیشینگ هدایت می‌کنند، می‌مانند.
گوگل برای رفع این موضوع، از 15 اکتبر سال 2019، محدودیت‌هایی را برای افزونه‌ها اعمال کرد. از آن زمان تاکنون، افزونه‌ها به درخواست دسترسی به «حداقل مقدار داده» نیاز دارند و هر افزونه‌ای که خط مشی رازداری را نداشته باشد و داده‌های مرور کاربران را جمع‌آوری ‌کند، ممنوع می‌شود.
به کاربران توصیه می‌شود افزونه‌هایی را که به‌ندرت از آن‌ها استفاده می‌کنند، حذف کرده یا به سایر گزینه‌های نرم‌افزاری که نیازی به دسترسی تهاجمی به فعالیت مرورگر ندارند، روی آورند.