#‫مایکروسافت وصله‌ی ماه فوریه‌ی سال ۲۰۱۹ را منتشر کرد که شامل به‌روز‌رسانی‌های امنیتی برای 77 خطا، 20 آسیب‌پذیری بحرانی، 54 آسیب‌پذیری مهم و 3 آسیب‌پذیری با شدت متوسط است.
یکی از این به روزرسانی‌ها، مربوط به یک آسیب‌پذیری روز صفرم در اینترنت اکسپلورر است که توسط گوگل کشف شده و در حملات مورد سوءاستفاده قرار گرفته است.
این نقص که با شناسه‌ی "CVE-2019-0676" شناسایی می‌شود، نقص افشای اطلاعات است که مسیر راه‌اندازی اینترنت اکسپلورر را در حافظه‌ها بررسی می‌کند.
مهاجم می‌تواند این نقص را با فریب‌دادن قربانیان به بازدید از یک وب‌سایت مخرب و با استفاده از نسخه‌ی آسیب‌پذیر اینترنت اکسپلورر، مورد سوء‌استفاده قرار دهد. پس از آن، مهاجم می‌تواند وجود فایل در دیسک سخت قربانی را بررسی‌کند.
به‌گفته‌ی مایکروسافت، به‌روزرسانی امنیتی، این آسیب‌پذیری را با تغییر چگونگی کنترل اشیاء در اینترنت اکسپلورر، رفع می‌کند.
مایکروسافت اخیراً به کاربران خود توصیه کرده است که از اینترنت اکسپلورر استفاده نکنند. این مرورگر اینترنتی دیگر از قابلیت‌های امنیتی بالایی برخوردار نیست و نمی‌تواند از نفوذ هکرها و مجرمان سایبری و همچنین حملات فیشینگ و بدافزاری به رایانه‌ها و دستگاه‌های الکترونیکی محافظت کند. به عبارتی دیگر، اینترنت اکسپلورر از امنیت سایبری قابل قبولی برخوردار نیست و کاربران به منظور حفاظت از اطلاعات و حریم شخصی خود دیگر نباید از آن استفاده کنند.
این شرکت به کاربران ویندوز توصیه کرده است که این مرورگر را از حالت پیش‌فرض خارج کرده و در صورت امکان آن را لغو نصب کنند و به مرورگر جدید این شرکت یعنی مایکروسافت Edge مهاجرت نمایند.

رمزگشای #‫باج‌افزار #GandCrab برای نسخه های ۱ ، ۴ و ۵.۱ توسط کمپانی بیت دیفندر منتشر شد. در صورتی که فایل‌های شما توسط این باج‌افزار رمزگذاری شده اند، هم اکنون می توانید فایل های خود را رمزگشایی کنید
به منظور دانلود رمزگشا به همراه راهنمای آن به لینک زیر مراجعه بفرمایید.

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/

به صاحبان سایت‌های #WordPress که از افزونه‌ی "Total Donations" استفاده می‌کنند، توصیه می‌شود که این افزونه را از سرورهای خود حذف کنند تا از سواستفاده‌ی هکرها برای بهره‌برداری از یک آسیب‌پذیری وصله‌نشده در کد آن جلوگیری کنند.
این آسیب‌پذیری روز صفرم (CVE-2019-6703)، همه‌ی نسخه‌های Total Donations ازجمله 2.0.5 را تحت تأثیر قرار می‌دهد. Total Donations یک افزونه‌ی تجاری است که صاحبان سایت از آن برای جمع‌آوری و مدیریت کمک‌های مالی از پایگاه‌های کاربران مربوطه‌ی خود استفاده می‌کنند.
به گفته‌ی محققان، کد این افزونه شامل چندین عیب طراحی است که به‌طور ذاتی، افزونه و سایت وردپرس را در معرض نمایش هکرهای خارجی و کاربران دیگر قرار می‌دهد.
این افزونه حاوی نقطه‌ی پایانی AJAX است که می‌تواند توسط هر مهاجم ناشناس راه دور درخواست شود. نقطه‌‌ی پایانی AJAX در یکی از فایل‌های افزونه واقع شده است، به این معنی که غیرفعال کردن افزونه، خطر تهدید را از بین نمی‌برد؛ زیرا مهاجمان می‌توانند به‌طور مستقیم آن فایل را فراخوانی کنند و تنها حذف کامل افزونه می‌تواند سایت‌ها را در برابر سوءاستفاده محافظت کند.
نقطه‌ی پایانی AJAX به مهاجم اجازه می‌دهد تا مقادیر تنظیمات هسته‌ی سایت وردپرس، تنظیمات مرتبط با افزونه و حساب مقصد کمک دریافت‌شده از طریق افزونه را تغییر دهد و حتی لیست‌های Mailchimp (که این افزونه به‌عنوان ویژگی جانبی پشتیبانی می‌کند) را بازیابی کند.
به‌گفته‌ی محققان، تمام تلاش‌ها برای تماس با توسعه‌دهنده‌ی این افزونه بی‌فایده است. به‌نظر می‌رسد که سایت توسعه‌دهنده در ماه مه سال 2018 غیرفعال شده است و فهرست محصولات CodeCanyon این افزونه در همان زمان غیرفعال شده‌اند.
این افزونه دارای کاربران زیادی نیست، با این حال، به احتمال زیاد در سایت‌های فعال با پایگاه‌های کاربری بزرگ نصب شده است و می‌تواند هدف خوبی برای هکرها باشد، از این رو به صاحبان سایت‌ها توصیه می‌شود که این افزونه را به‌طور کلی از سایت‌های خود حذف کنند تا از حملات در امان بمانند.

تجهیزات Cisco Small Business RV320, RV325 Dual Gigabit Wan VPN Router دارای دو #‫آسیب‌_پذیری با درجه اهمیت بالا هستند که یکی از آنها از نوع نشت اطلاعات حساس و دیگری از نوع تزریق دستور است.
 

آسیب‌پذیری نشت اطلاعات حساس
این آسیب‌پذیری با شناسه CVE-2019-1653 در رابط تحت وب تجهیزات مذکور نهفته است و به مهاجم احرازهویت نشده راه دور، اجازه استخراج اطلاعات حساس را می‌دهد. این آسیب‌پذیری ناشی از کنترل دسترسی نامناسب URLها است. مهاجم می‌تواند بدین وسیله به اطلاعات پیکربندی یا اشکال‌زدایی (debug) تجهیز دست یابد.
آسیب‌پذیری تزریق دستور
این آسیب‌پذیری که شناسه CVE-2019-1652 به آن اختصاص یافته است نیز ریشه در رابط تحت وب این تجهیزات دارد. منشاء آسیب‌پذیری، اعتبارسنجی نادرست ورودی کاربر است. مهاجم می‌تواند با ارسال درخواست مخرب POST از این نقص بهره‌برداری کند. با بهره‌برداری موفق می‌توان دستورات دلخواه را در قالب کاربر root روی shell لینوکس تجهیز اجرا کرد. بهره‌برداری از این آسیب‌پذیری نیازمند احراز هویت است.
کد بهره‌برداری از آسیب‌پذیری‌های فوق به طور عمومی منتشر شده است. همان طور که گفته شد، می‌توان با استفاده از آسیب‌پذیری اول، اطلاعات تجهیز از جمله اطلاعات کاربری درهم‌سازی (hash) شده را استخراج نمود. سپس می‌توان با شکستن hash، اطلاعات کاربری را به دست آورده و از آسیب‌پذیری دوم بهره‌برداری نمود.
راه حل
#‫سیسکو برای رفع آسیب‌پذیری‌های نامبرده، بروزرسانی‌هایی برای سفت‌افزار تجهیزات فوق منتشر کرده است که در جدول زیر نمایش داده شده است. همان طور که در جدول مشاهده می‌شود، برای مصونیت از هر دو آسیب‌پذیری باید از نسخه 1.4.2.20 به بالا استفاده نمود. این نسخه از اینجا قابل دریافت است.             

منابع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-inject
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190123-rv-info
https://software.cisco.com/download/home/284005929/type/282465789/release/1.4.2.20

بدافزارهای دسته " #‫پوشفا " را شاید بتوان ازجمله قدیمی ترین و پرانتشارترین #‫بدافزار های اندرویدی ایرانی تا به امروز دانست. براساس مشاهدات انجام شده، نخستین بدافزارهای این دسته از مرداد ماه 96 در پیام رسان تلگرام منتشر شده است. این درحالی است که در همان زمان، تلگرام در بین ایرانیان محبوبیت بیشتری پیدا کرده بود. متاسفانه آمار دقیقی از میزان آلودگی به این بدافزارها دردسترس نیست اما با توجه به فعالیت مستمر این بدافزار و انتشار روزانه حداقل 1 نسخه از بدافزار در صدها کانال تلگرامی در طی 17 ماه گذشته، انتظار می رود چندین میلیون از دستگاه های اندرویدی ایرانی به بدافزارهای پوشفا آلوده شده باشند. تاکنون بیش از 200 نمونه از این بدافزار توسط مرکز ماهر شناسایی شده است.

دانلود گزارش

در دسامبر سال گذشته، #‫سیستم_مدیریت_محتوا(CMS) متن‌باز و رایگان اعلام کرد 85% از وب‌سایت‌هایی که WordPress 5.0 را اجرا می‌کنند، از PHP 5.0 یا بیشتر استفاده می‌کنند.
PHP 5.6 پایین‌ترین نسخه‌ی PHP است که سایت‌های WordPress به آن نیاز دارند و به مدیران سایتی که نسخه‌های تاریخ گذشته‌ی PHP را استفاده می‌کنند، هشدار داده می‌شود. این هشدار حاوی لینکی (در قالب یک دکمه) به یک صفحه جدید نیز است که دارای اطلاعات مربوط به چگونگی به‌روزرسانی PHP است.
WordPress هنوز هم به‌روزرسانی‌های امنیتی و رفع اشکالات را برای وب‌سایت‌هایی که می‌خواهند از نسخه‌ی PHP 5.5 یا پایین‌تر استفاده کنند، ارایه می‌دهد. البته این سایت‌ها نمی‌توانند بدون آنکه ابتدا به نسخه‌ی پشتیبانی‌شده‌ی PHP جابه‌جا شوند، به آخرین نسخه‌ی WordPress ارتقا یابند.
WordPress 5.1 که قرار است 21 فوریه منتشر شود، اولین فاز پروژه Health Check را نیز پیاده‌سازی می‌کند. هدف این پروژه، بهبود ثبات و عملکرد کل اکوسیستم WordPress است. CMS همچنین شامل مکانیزمی برای شناسایی خطای مهلک ناشی از به‌روزرسانی نسخه‌ی PHP خواهد بود و آن‌ها را در بخش‌های طراحی‌شده‌ی خاصی از WordPress از این خطاها نجات خواهد داد.
اگرچه فرایند به‌روزرسانی ساده است و پلاگین‌ها و تم‌ها محبوب معمولاً به خوبی حفظ می‌شوند، ممکن است برخی از افزونه‌ها هنوز با آخرین نسخه‌‌های PHP سازگار نباشند که این امر می‌تواند منجر به خراب‌شدن سایت WordPress پس از به‌روزرسانی شود.
WordPress زمانی که یک خطای مهلک رخ می‌دهد، پلاگین و تم سازگار با آن را تشخیص خواهد داد ‌و در حالی که اطلاعات مربوط به افزونه را در قسمت مدیریت ارایه می‌‌دهد، آن را متوقف می‌سازد. افزونه‌ها پس از رفع مشکل می‌توانند ادامه یابند.
در WordPress 5.1، اگر مدیران سعی در نصب پلاگین‌هایی داشته باشند که به نسخه‌ی PHP بالاتری نسبت به نسخه‌ی فعلی نیاز داشته باشد، به آن‌ها هشدار می‌دهد. علاوه‌براین، CMS دکمه را برای نصب آن پلاگین‌ها غیرفعال خواهد ساخت. در آینده، به‌روزسانی پلاگین محدود خواهد شد (تم‌ها را نیز تحت‌تأثیر قرار می‌دهد).
در حال حاضر WordPress قصد دارد اگر نسخه‌ی PHP، پایین‌تر از 5.6 باشد، به مدیران هشدار دهد؛ اما ممکن است این مسئله به زودی تغییر کند. پایین‌ترین نسخه‌ی PHP که هنوز به‌روزرسانی امنیتی دریافت می‌کند، نسخه‌ی 7.1 است و حداقل نسخه‌ی مورد نیاز PHP تا پایان سال جاری ممکن است به 7 برسد.

گزارش پیوست حاصل بررسی و تحلیل دقیق صورت گرفته توسط تیم CERT #‫همراه_اول (MCI-CERT) بر روی بدافزار اندرویدی منتشر شده تحت عنوان #FREEnet است. این گزارش مشروح جهت بهره‌برداری عمومی علاقمندان این حوزه منتشر می‌گردد. مرکز ماهر به عنوان سرت ملی، آمادگی دارد نسبت به انتشار گزارشات خوب سایر مراکز پاسخگویی به رخدادهای سایبری و فعالین حوزه امنیت در کشور اقدام نماید.

دو #‫آسیب‌پذیری بحرانی در سیستم مدیریت محتوای دروپال (Drupal) کشف شده که به‌روزرسانی‌هایی برای حل آنها منتشر شده است. یکی از این دو، آسیب‌پذیری تزریق شیء مربوط به کتابخانه PEAR Archive_Tar است که برخی پیکربندی‌های دروپال را تحت تاثیر قرار می‌دهد. آسیب‌پذیری دوم از نوع اجرای کد راه دور است و از PHP نشات می‌گیرد.
آسیب‌پذیری تزریق شیء
دروپال از کتابخانه Archive_Tar عرضه شده توسط PEAR استفاده می‌کند. به تازگی یک بروزرسانی امنیتی برای یک آسیب‌پذیری این کتابخانه ارائه شده است که برخی پیکربندی‌های دروپال را تحت تاثیر قرار می‌دهد. آسیب‌پذیری مذکور با شناسه CVE-2018-1000888، در کلاس Archive_Tar نهفته است. مهاجم می‌تواند یک فایل مخرب tar بسازد و مسیر آن را به شکل phar://[path_to_malicious_phar_file] به تابع Archive_Tar::extract بدهد. با این کار، unserialization اتفاق می‌افتد. با استفاده از تزریق شیء می‌توان تابع destruct کلاس بارگذاری شده PHP را فراخوانی کرده و حذف فایل دلخواه را سبب شد.
فایل phar نوعی فایل آرشیو است که برای بسته‌بندی اپلیکیشن‌های PHP مورد استفاده قرار می‌گیرد.
اجرای کد راه دور
پیاده‌سازی stream wrapper برای phar که بطور توکار در PHP وجود دارد، دچار یک آسیب‌پذیری کد راه دور است که با استفاده از لینک‌های نامطمئن phar:// فعال می‌شود. برخی از کدهای دروپال (core، contrib و custom) ممکن است تحت تاثیر این آسیب‌پذیری باشند.
در به‌روزرسانی دروپال، .phar به لیست پسوندهای خطرناک اضافه شده است، در نتیجه هر فایلی با این قالب در یک فیلد فایلی بارگذاری شود، به طور خودکار به فایل متنی .txt تبدیل می‌شود. همچنین برای PHP نسخه 5.3.3 به بالا، پیاده‌سازی پیش‌فرض PHP با یک پیاده‌سازی توسط دروپال جایگزین شده و در نسخه‌هایPHP پایین‌تر، به طور پیش‌فرضphar stream wrapper غیرفعال شده است.

راه حل:
Drupal Core را به آخرین نسخه به‌روزرسانی کنید: اگر از دروپال نسخه 7 با PHP 5.2 یا PHP 5.3.0-5.3.2 استفاده می‌کنید و نیاز دارید که phar stream wrapper را فعال کنید، بهتر است نسخه PHP را ارتقاء دهید.
 

مطابق بررسی های بعمل آمده #‫آسیب‌پذیری‌ هایی در نسخه‌های پشتیبان‌شده‌ی Microsoft Windows و Winows Server وجودداشته که یک مهاجم راه‌دور می‌تواند از این آسیب‌پذیری‌ها سوءاستفاده کند تا کنترل سیستم هدف را به‌دست گیرد. #‫مایکروسافت اطلاعات مربوط به این آسیب‌پذیری‌ها با شناسه‌ی CVE-2018-8611 و CVE-2018-8626 را ارایه داده است.
آسیب‌پذیری CVE-2018-8611، یک آسیب‌پذیری ارتقا سطح دسترسی هسته ویندوز است که تمامی نسخه‌های کارگزار و مشتری ویندوز، از جمله Windows 10 و Windows Server 2019 را تحت‌تأثیر قرار می‌دهد. این آسیب‌پذیری زمانی وجود دارد که هسته‌ی ویندوز نتواند به‌درستی اشیا را در حافظه مدیریت (handle) کند. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در حالت هسته اجرا کند. سپس مهاجم می‌تواند برنامه نصب کند، داده‌ها را مشاهده کند؛ تغییر دهد یا حذف نماید یا حساب‌های جدید با دسترسی کامل ایجاد کند. یک حمله‌ی موفق نیاز به یک عامل مخرب دارد تا وارد سیستم شود و برنامه‌ی ساختگی که کنترل کامل بر روی ماشین هدف را فراهم می‌آورد، اجرا نماید. به گفته‌ی مایکروسافت، این نقص اخیراً مورد سوءاستفاده قرار گرفته است؛ اما با توجه به اینکه به صورت عمومی افشا نشده است، تأثیر آن به میزان قابل توجهی کاهش یافته است.
آسیب‌پذیری CVE-2018-8626 یک آسیب‌پذیری برای کارگزارهای سیستم نام دامنه (DNS) ویندوز است. یک نقص اجرا کد راه‌دور است که در کارگزارهای سیستم نام دامنه (DNS) ویندوز، زمانی که نتوانند درخواست‌ها را به درستی مدیریت کنند، وجود دارد. این آسیب پذیری تنها در Windows 10، Windows Server 2012 R2، Winows Server 2016 و Windows Server 2019 وجود دارد. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در قالب حساب کاربری سیستم داخلی (Local System Account) اجرا نماید. کارگزارهایی که به عنوان کارگزار DNS پیکربندی شده‌اند، در معرض خطر این آسیب‌پذیری قرار دارند. این حمله بستگی به درخواست‌های مخربی دارد که حتی بدون احرازهویت به کارگزار DNS ویندوز ارسال شده‌اند.
هر دو آسیب‌پذیری فوق در چرخه‌ی به‌روزرسانی ماه دسامبر سال 2018 مایکروسافت وصله شده‌اند و وصله‌های آن‌ها از Windows Update تمامی نسخه‌های پشتیبان‌شده‌ وبندوز قابل دانلود است.

#‫اسکایپ یکی از قدیمی‌ترین و بهترین برنامه‌های کاربردی برای برقراری تماس صوتی و تصویری است. با ارائه‌ی امکان تماس صوتی در #‫تلگرام و از طرف دیگر فیلترشدن آن در ایران، بحث تماس صوتی و تصویری رایگان و استفاده از نرم‌افزارهایی همچون اسکایپ که این قابلیت را فراهم می‌کنند، دوباره بر سر زبان‌ها افتاده است. اما یک آسیب‌پذیری جدید در اسکایپ تحت اندروید کشف شده است که به یک مهاجم ناشناس اجازه می‌دهد تا گالری و مخاطبین کاربر را مشاهده کند و حتی لینک‌های بازشده در مرورگر را رصد کند.
مهاجم برای سوءاستفاده از این آسیب‌پذیری، نیاز به دسترسی مؤثر به دستگاه هدف دارد. سپس، باید یک تماس اسکایپ را دریافت کند و به آن پاسخ دهد. به‌طور معمول، با دستگاه قفل‌شده، مهاجم نباید دسترسی به داده‌هایی مانند عکس‌ها و مخاطبین را بدون تأیید اعتبار با یک رمز عبور، یک PIN، یک الگوی قفل صفحه یا یک اثر انگشت داشته باشد، اما با وجود این آسیب‌پذیری، مهاجم می‌تواند پس از پاسخ به تماس، اجازه‌ی دسترسی به داده‌های کاربر، حتی اگر دستگاه قفل شده باشد را پیدا کند.
به‌نظر می‌رسد یک خطای کد در اسکایپ برای اندروید، به مهاجم امکان دسترسی به عکس‌ها، مشاهده مخاطبین و حتی ارسال پیام بدون نیاز به احراز هویت را می‌دهد. مهاجم همچنین می‌توان مرورگر دستگاه را به‌طور مستقیم از اسکایپ راه‌اندازی کند. برای این کار، فقط باید یک لینک را در یک پیام جدید تایپ کند، پیام را ارسال کند و سپس روی لینک کلیک کند.
این آسیب‌پذیری که میلیون‌ها تلفن همراه اندرویدی دارای اسکایپ را تحت تأثیر قرار می‌دهد، در ماه اکتبر کشف و بلافاصله به مایکروسافت گزارش شد. این شرکت به سرعت پاسخ داد و موضوع را در نسخه‌ی جدید اسکایپ رفع کرد.
باتوجه به افزایش میزان تماس تصویری و محبوبیت بسیار اسکایپ در میان کاربران ایرانی، توصیه می‌شود تا هرچه سریع‌تر نسبت به دریافت آخرین نسخه از این نرم‌افزار اقدام کنند.