پیرو اطلاعیه قبلی درخصوص وجود آسیب‌پذیری سرویس #SMB (درگاه ۴۴۵) در سطح کشور، بررسی‌های انجام شده نشان­ دهنده افزایش سطح حملات روی این درگاه است. این درگاه به صورت پیش‌فرض در پروتکل SMB مورد استفاده قرار می‌گیرد که در گذشته مورد هجوم حملات بسیاری بوده است. آنچه در این ارتباط مورد توجه است، افزایش حملات در سطح کشور از مبدا داخل ایران است که می‌تواند گویای افزایش آلودگی در کشور باشد. از این رو لازم است تا پاکسازی سیستم‌های آلوده داخلی مورد توجه قرار گیرد.خلاصه‌ای از وضعیت حملات ثبت شده از ابتدای مهر به شرح زیر است:
 

بر اساس گزارش منتشر شده از #‫کسپرسکی اخیرا گروه shadow broker ابزاری با نام DarkPulsar را ارائه کرده‌اند که با بهره‌گیری از این آسیب‌پذیری، اجازه کنترل راه‌دور را برای مهاجم فراهم می‌کند. علاوه بر آن دو چارچوب پیچیده دیگر با نام‌های DanderSpritz و FuzzBunch نیز توسط این گروه در سال 2017 ارائه شده است که دارای قابلیت تحلیل میزبان قربانی، آسیب‌پذیری‌های قابل اکسپلویت و سایر مولفه‌های مانیتور میزبان قربانی هستند.

جهت دریافت متن کامل کلیک نمایید.

اخیرا یک #‫آسیب‌پذیری بحرانی در بخش #OracleWebLogicServer مربوط به Oracle Fusion Middleware (بخش‌های WLS Core ) مشاهده شده است. Oracle WebLogic Server میان‌افزاری است که به منظور توسعه، یکپارچه‌سازی و مدیریت برنامه‌های تحت وب، برنامه‌های تحت شبکه و پایگاه‌های داده مورد استفاده قرار می‌گیرد. بنا بر مستندات منتشر شده، آسیب‌پذیری مذکور در نسخه‌های 10.3.6.0، 12.1.3.0 و 12.2.1.3 از Oracle WebLogic Server وجود دارد. سوء استفاده از این آسیب‌پذیری در صورت داشتن دسترسی به شبکه با استفاده از پروتکل T3، منجر به دسترسی غیرمجاز به Oracle WebLogic Server خواهد شد.
جهت رفع آسیب‌پذیری، با توجه به ارائه وصله امنیتی مربوط از سوی شرکت اوراکل، به مدیران شبکه توصیه می‌گردد نسبت به نصب وصله‎های امنیتی و به روزرسانی‌های موجود اقدام نمایند. همچنین توصیه می‌شود که درخواست‌های ارتباط T3 از خارج از اینترانت به Oracle WebLogic Server مسدود شود.

اطلاعات بیشتر در خصوص جزئیات این آسیب‌پذیری در توصیه نامه شرکت اوراکل در لینک زیر قابل دسترسی است:

https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

در اواخر سال 1395یک #‫آسیب‌پذیری جدی با سطح خطر بحرانی با نام EternalBlue در پروتکل #SMB افشاء شد که نسخه‌های مختلف سیستم عامل ویندوز را تحت تاثیر قرار می‌داد. از آن زمان تا به حال انواع کدهای سوء‌استفاده و #‫باج‌افزار و جاسوس‌افزار و غیره از این آسیب‌پذیری سوء‌استفاده نموده‌اند. بررسی‌های مجددمرکز ماهر نشان‌دهنده وجود تعداد زیاد آدرس های دارای آسیب پذیری مذکور می باشد. از این‌رو لازم است راهبران شبکه نسبت به امن‌سازی آن اقدام نمایند. برخی از مهمترین گام‌های امن‌سازی این پروتکل عبارتند از:

1. به‌روزرسانی: با توجه به انتشار وصله‌های امنیتی مرتبط توسط شرکت مایکروسافت (حتی برای ویندوز XP خارج از دوره پشتیبانی)، لازم است این سرویس در تمامی سیستم‌ها به روزرسانی شود.
2. غیرفعال نمودن SMB 1.0 در سمت ماشین‌های سرویس‌دهنده
3. غیر فعال نمودن SMB در سمت ماشین‌های سمت کلاینت (درصورت عدم نیاز)
4. اعمال SMB Signing به‌طور جداگانه برای ارتباط‌های ورودی و خروجی (از طریق Group Policyیا از طریق رجیستری).
5. جلوگیری از ارتباطات Null Session (از طریق رجیستری)
6. غیرفعال نمودن NetBIOS over TCP/IP
7. استفاده از دیواره آتش و بستن پورت‌های مربوط به NetBIOS over TCP/IP
8. رمز نمودن ترافیک SMB

اخیراً، محققین امنیت سایبری، یک #‫آسیب_پذیری بر روی X.org سرور کشف کرده اند که در صورت #Exploit شدن موفقیت آمیز آن، عملیات #Privilege_Escalation جهت رسیدن سطح دسترسی به root برای نفوذگران در سیستم عامل های Linux Base و BSD Base امکان پذیر خواهد بود. این آسیب پذیری که با شماره شناسایی CVE-2018-14665 توسط Narendra Shinde معرفی شده در حدود 2 سال است که وجود دارد و از نسخه 1.19.0 تا کنون این آسیب پذیری بر روی X.org Server موجود می باشد. در حال حاضر آخرین نسخه ارائه شده 1.20.3 می باشد.
بر اساس توضیحات ارائه شده توسط مسئولین بخش توسعه X.org، این آسیب پذیری بر اساس خطای اعتبارسنجی در پارامتر command-line آن رخ داده است که به نفوذگر اجازه ی بازنویسی فایلهای خاصی را می دهد و این خود باعث می شود که نفوذگر بتواند در مسیرهای غیر امن با بارگزاری آن پارامترها، فایل های مد نظر را overwrite کند.
OpenBSD که یک سیستم عامل مبتنی بر BSD بوده و تمرکز اصلی آن بر روی امنیت بخشی به این سیستم عامل می باشد، از Xorg استفاده می کند و در 18 اکتبر نسخه 6.4 این سیستم عامل را منتشر کرد، اما این نسخه انتشار یافته هم متاسفانه دارای آسیب پذیری CVE-2018-14665 می باشد. Theo de Raadt مدیر پروژه OpenBSD اعلام کرده است که مسئولین بخش Xorg از 11 اکتبر در مورد این آسیب پذیری اطلاع داشته اند، اما اطلاعیه منتشر شده توسط توسعه دهندگان OpenBSD یک هفته بعد از انتشار نسخه نهایی این سیستم عامل منتشر شده است. احتمالا اگر تیم امنیتی X در پروژه OpenBSD زودتر به این موضوع پی می بردند، انتشار نسخه نهایی این سیستم عامل به تعویق می افتاد.
تیم امنیتی توسعه دهنده OpenBSD برای رفع این آسیب پذیری، یک source code patch ارائه کرده است که نیاز به کامپایل و rebuilding مجدد X Server دارد، اما راه حل موقتی برای رفع این آسیب پذیری، غیر فعال کردن Xorg binary توسط دستور زیر می باشد:
chmod u-s /usr/X11R6/bin/Xorg
توانمندی استفاده های مختلف از این آسیب پذیری برای نفوذگران وجود دارد، همانطور که Matthew Hickey از محققین مرکز Hacker House Security اعلام کرد که توسط یک اکسپلویت می توان دسترسی خاصی توسط SSH را هم به صورت Remote از این آسیب پذیری داشت. همچنین Michael Shirk از مرکز Daemon Security CEO اعلام کرد که می توان توسط یک خط دستور، فایل shadow را بر روی سیستم آسیب پذیر بازنویسی کرد.
دیگر توزیع های مختلف لینوکسی بر پایه RedHat و Debian هم به این ضعف کشف شده آسیب پذیر هستند. حتما در صورت انتشار به روز رسانی های منتشره توسط توسعه دهنده گان، سیستم عامل های خود را به روز رسانی کنید.

اخیرا یک #‫آسیب‌پذیری بحرانی به شماره CVE-2018-10933‬ در #libssh شناسایی شده که حاکی از عملکرد نادرست احراز هویت نرم‌افزاری در سمت سرور می‌باشد. Libssh مجموعه کد مورد استفاده در بسیاری از محصولات برای امنیت و احراز هویت در انتقال فایل، اجرای برنامه از راه دور و ... است. با سوء استفاده از این آسیب‌پذیری مهاجمین می‌توانند فرآیند احراز هویت را دور زده و وارد تجهیزات آسیب پذیر شوند. بنا بر مستندات موجود این آسیب‌پذیری در محصولات مبتنی بر سیستم‌عامل لینوکس که از libssh نسخه 0.6 و بالاتر به عنوان سرور ssh استفاده می‌کنند، نیز وجود دارد. آسیب‌پذیری مذکور در نسخه‌های 0.7.6 و 0.8.4 libssh رفع شده است و به روزرسانی مربوطه در انواع سیستم‌عامل‌های لینوکس از جمله Debian، Ubuntu، SUSE و ... در دسترس می‌باشند. متاسفانه مشاهدات اخیر در فرایندهای امدادی حاکی از وجود این آسیب‌پذیری در محصولات #‫سیسکو که کاربردی گسترده در فضای سایبری کشور دارند، می باشد. احتمال وجود این آسیب‌پذیری در محصولات سیسکو، در روزهای گذشته به تایید شرکت سیسکو نیز رسیده است. این شرکت هنوز در حال بررسی وجود آسیب‌پذیری مذکور در محصولات مختلف خود می‌باشد و تاکنون هیچ فهرستی از انواع تجهیزات آسیب‌پذیر و وصله‌های امنیتی و به‌روزرسانی‌های لازم از سوی شرکت سیسکو برای رفع مشکل ارایه نشده است.

جزئیات این آسیب‌پذیری و اطلاعات بیش‌تر درخصوص محصولات آسیب‌پذیر و وصله‌های امنیتی‌ در لینک زیر در وب‌سایت سیسکو در حال به‌روزرسانی است:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181019-libssh

جهت جلوگیری از هرگونه سوء استفاده از این آسیب‌پذیری، به مدیران شبکه توصیه می‌گردد با استفاد از لیست‌های کنترل دسترسی امکان اتصال از راه دور به تجهیزات را به آدرس های داخلی محدود نمایند و در صورت مشاهده هر گونه علایم مشکوک، مراتب را به اطلاع این مرکز برسانند. همچنین توصیه می‌گردد که در صورت ارائه فهرست تجهیزات آسیب پذیر و ارایه به روزرسانی از سوی شرکت سیسکو سریعا نسبت به نصب آن اقدام نمایند. اطلاعات تکمیلی در رابطه با این موضوع متعاقبا ارائه خواهد شد.

تجهیزات ارتباطی شرکت #‫میکروتیک به ویژه روترهای تولید این شرکت در کشور و عموماً در شبکه‌های کوچک و متوسط بسیار مورد استفاده قرار دارند. از ابتدای سال جاری، چندین #‫آسیب‌پذیری حیاتی در این تجهیزات شناسایی و منتشر گردید. اهمیت این آسیب‌پذیری‌ها به حدی است که امکان دسترسی کامل مهاجم به تجهیز، استخراج رمز عبور، و دسترسی به محتوای نرافیک عبوری از روتر را فراهم می‌کند. از جمله مخاطرات دسترسی به ترافیک عبوری، می توان به امکان شنود و بررسی ترافیک شبکه قربانی بر روی پروتکل های SMB,HTTP,SMTP,FTP,…اشاره کرده که نفوذگر با انتقال جریان ترافیک دستگاه آلوده به مقصد مورد نظر، امکان بدست آوردن تمامی رمز های عبور که به صورت متن آشکار در حال تبادل در شبکه قربانی می باشد را فراهم می کند. با توجه به در معرض خطر قرار داشتن این تجهیزات و اهمیت آسیب‌پذیری آنها، مرکز ماهر از ابتدای سال حداقل ۶ مرتبه اطلاعیه و هشدار جدی عمومی از طریق وب‌سایت و شبکه تعاملی منتشر نموده است.

با رصد انجام شده تعداد دستگاه های فعال میکروتیک در تاریخ ۱۰ مرداد ماه ۱۳۹۷ در کشور برابر با ۶۹،۸۰۵ عدد بوده است. تعداد دستگاه های آسیب پذیر شناسایی شده توسط مرکز ماهر در تاریخ ۱۴ مرداد ۱۳۹۷ تعداد ۱۶،۱۱۴ عدد بوده است که تمامی این ۱۶ هزار دستگاه در معرض نفوذ قرار داشتند. اطلاع رسانی چندین باره مرکز ماهر، درباره ضرورت بروزرسانی و انجام اقدامات لازم جهت جلوگیری و گسترش این تهدید صورت گرفته است. علاوه بر این اقداماتی چون قطع ارتباط از خارج کشور به دستگاه­هایداخل کشور شامل پورت ۸۲۹۱ (winbox) توانست تا حدی مانع افزایش تعداد قربانیان گردد.

با وجود همه‌ی اقدامات صورت گرفته متاسفانه مشاهده شد به دلیل عدم همکاری مالکین این تجهیزات به ویژه شرکت‌های خدمات اینترنتی که مالک یا بهره بردار بخش عمده این تجهیزات هستند، بسیاری از روترهای فعال در کشور همچنان بروزرسانی نشده و آسیب‌پذیر می­باشند. بررسی این تجهیزات نشان داده که هر یک به دفعات مورد نفوذ مهاجمین مختلف قرار گرفته است.

در موج اخیر حمله و سوءاستفاده از تجهیزات آسیب‌پذیر میکروتیک، مهاجمین با تزریق کدهای ارزکاوی، از ظرفیت پردازشی کاربران عبور کننده از این روترها در هنگام مرور وب بهره‌برداری می‌کنند، این حملات اصطلاحاً CryptoJackingنام دارد.

با رسانه ای شدن خبر آلودگی بیش از ۷۰ هزار دستگاه میکروتیک به ارزکاو در کشور برزیل موجب شروع انتشار موج دوم استفاده از آسیب پذیری های دستگاه­های میکروتیک اینبار با هدف بهره برداری ارزکاوی آغاز شد. هم‌زمان نیز مرکز ماهر اقدام به رصد فضای سایبری کشور نمود که در اولین مشاهدات تعداد ۱۵۷ دستگاه آلوده میکروتیک به ارزکاو در کشور مشاهده شد. برای جلوگیری از افزایش خسارات ناشی از این حملات، مرکز ماهر اقدام به انتشار چندین اطلاعیه و ارایه راهکاری های کنترلی نمود. اما به دلیل عدم توجه کافی به هشدارها و اطلاعیه های مرکز ماهر و توجه نشان دادن هکر ها به این نوع حملات و همچنین آلوده سازی دستگاه­ها توسط فرآیند خودکار شاهد افزایش روز افزون تعداد دستگاه­های آلوده شده در کشور هستیم. روند صعودی این حمله در نمودار زیر نمایش داده شده است. همانطور که در بخش هایی از نمودار مشاهده می شود، در روزهای اخیر این روند صعودی تسریع شده و به صورت ساعتی در حال افزایش تعداد قربانیان می باشد.
 

تا لحظه نگارش این گزارش بیش از ۱۷،۴۵۲ دستگاه آلوده در کشور به ارزکاو مشاهده شده است.در حال حاضر از منظر آلودگی روترهای میکروتیک به بدافزار استحصال رمز ارز، ‌ایران پس از کشورهای برزیل، هند و اندونزی رتبه چهارم را داراست. بررسی های کارشناسان مرکز ماهر حاکی از این نکته است که منشاء حملات این ۱۷،۴۵۲ دستگاه حداکثر ۲۴ مهاجم می باشند.

نکته قابل تامل این است که بسیاری از قربانیان فوق، با توجه به نفوذ پیشین مهاجمین و سرقت رمز عبور و اخذ دسترسی،‌ حتی بعد از بروزرسانی firmware نیز همچنان در کنترل مهاجمین قرار دارند. شرکت‌های بزرگ و کوچک ارائه خدمات اینترنت و شماری از سازمان‌ها و دستگاه‌های دولتی از جمله قربانیان این حمله هستند.

دستورالعمل پاکسازی دستگاه‌های آلوده
با درنظر گرفتن این شرایط، لازم است به منظور اطمینان از رفع آلودگی احتمالی و جلوگیری از آسیب‌پذیری مجدد، اقدامات زیر صورت پذیرد:

1. قطع ارتباط روتر از شبکه
2. بازگردانی به تنظیمات کارخانه‌ای (Factory reset)
3. بروزرسانی firmwareبه آخرین نسخه منتشر شده توسط شرکت میکروتیک
4. تنظیم مجدد روتر
5. غیرفعال کردن دسترسی به پورت های مدیریتی (telnet,ssh,winbox,web) از خارج شبکه (دسترسی مدیریتی صرفاً از شبکه داخلی صورت گیرد یا در صورتی که از خارج از شبکه لازم است برقرار باشد بایستی از طریق ارتباط VPNانجام گردد)
6. با توجه به احتمال قوی نشت رمز عبور قبلی، حتما این رمز عبور را در روتر و سایر سیستم‌های تحت کنترل خود تغییر دهید.

درصورتی که راه‌اندازی و تنظیم مجدد امکان پذیر نیست، می توان مراحل زیر را جهت پاکسازی روتر اجرا نمود. با این وجود همچنان روش فوق توصیه می‌گردد:

      1. اعمال آخرین نسخه بروزرسانی بر روی دستگاه های میکروتیک[1]
      2. بررسی گروه های کاربری و حساب های دسترسی موجود
      3. تغییر رمز عبور حساب های موجود و حذف نام های کاربری اضافی و بدون کاربرد
      4. بررسی فایل های webproxy/error.htmlو flash/webproxy/error.html
           a.  حذف اسکریپت ارزکاوی(coinhive) از فایل
          b. حذف هر گونه تگ اسکریپت اضافه فراخوانی شده در این فایل ها
      5. حذف تمامی Scheduler Taskهای مشکوک
      6. حذف تمامی اسکریپت های مشکوک در مسیر System/Script
      7. حذف تمامی فایل های مشکوک در مسیر فایل سیستم و پوشه های موجود
      8. بررسی تنظیمات بخش فایروال و حذف Ruleهای اضافی و مشکوک
      9. اضافه کردن Ruleهایی برای اعمال محدودیت دسترسی از شبکه های غیرمجاز
      10. بررسی جدول NATو حذف قوانین اضافی و مشکوک
     11. غیرفعال کردن دسترسی Webو Telnet
     12. محدود کردن دسترسی های مجاز به Winbox
     13. غیرفعال کردن دسترسی به پورت های مدیریتی از خارج شبکه داخلی
     14. بررسی تنظیمات بخش Snifferو غیرفعال کردن Captureو Streamingدر صورت عدم استفاده
     15. غیرفعال کردن تنظیمات web proxyدر صورت عدم استفاده
     16. غیرفعال کردن تنظیمات Socksدر صورت عدم استفاده

در ادامه به اطلاع می‌رساند فهرست کلیه تجهیزات آلوده‌ی شناسایی شده به تفکیک شرکت‌ها و سازمان‌های مالک، به سازمان تنظیم مقررات رادیویی ارسال شده و تبعا درصورت عدم اقدام این شرکت‌ها در راستای پاکسازی و رفع آسیب‌پذیری، راهکارهای قانونی توسط آن سازمان اجرا خواهد شد.

دانلود فیلم روش‌های ساده پاک‌سازی روترهای میکروتیک آسیب‌پذیر

منبع: https://mikrotik.com/download

توسعه‌دهندگان سیستم مدیریت محتوای #Drupal نقص‌‌های مختلف از جمله #‫آسیب‌پذیری‌هایی که می‌توانند منجر به اجرای کد راه‌دور شوند را برطرف ساخته‌اند. یکی از این شکاف‌‌های امنیتی که «بحرانی» رتبه‌بندی شده، ماژول Contextual Links را تحت‌تأثیر قرار داده و لینک‌های متنی درخواستی را به‌درستی اعتبارسنجی نمی‌کند. این آسیب‌‌پذیری می‌تواند منجر به اجرای کد راه‌دور شود، اما مهاجم برای سوءاستفاده، نیاز به یک حساب کاربری دارای مجوز «دسترسی به لینک‌های متنی» دارد.
نقص بحرانی دیگر، یک مشکل تزریق در تابع DefaultMailSystem::mail() است. این مشکل ناشی از عدم پاکسازی (sanitization) برخی از متغیر‌ها برای آرگومان‌های شل (shell) در هنگام ارسال رایانامه‌ها است.
لازم به ذکر است که در Drupal، رتبه‌بندی «بحرانی» دومین سطح خطر امنیتی و پس از «بسیار بحرانی» است. پس از «بحرانی»، رتبه‌بندی «نسبتا بحرانی» را داریم.
سه آسیب‌پذیری دیگری که در سیستم مدیریت محتوای Drupal برطرف شده‌اند، رتبه‌بندی «نسبتا بحرانی» را به خود اختصاص داده‌اند. این آسیب‌پذیر‌ها، شامل یک مشکل دورزدن دسترسی مربوط به تعدیل محتوا و دو اشکال هدایت باز (open redirect) است.
یکی از اشکالات مربوط به هدایت باز پیش از انتشار وصله، به صورت عمومی مستندسازی شده ‌بود. توسعه‌دهندگان Drupal هشدار داده‌اند که تغییرات پیاده‌سازی‌شده برای رفع ضعف دورزدن دسترسی می‌تواند پیامدهایی برای سازگاری عقبگردها داشته باشد.
این آسیب‌پذیری‌ها، با انتشار نسخه‌های 7.60، 8.6.2 و 8.5.8 Drupal رفع شده‌اند.
به کاربران توصیه می‌شود در اسرع وقت به‌روزرسانی‌های امنیتی را نصب نمایند، زیرا آسیب‌پذیری‌های Drupal در سال‌های گذشته اغلب مورد سوءاستفاده‌ی هکرهای مخرب قرار گرفته‌اند.

مشاهدات اخیر حاکی از افزایش چشمگیر پیام‌های فریبنده‌ای است که در فضای مجازی برای ترغیب کاربران به نصب یا اجرای برنامه‌هایی با قابلیت استخراج رمزهای ارزپایه (عموما #‫بیت‌کوین) منتشر می‌شوند. این مجموعه‌ها نوعا از ساختار بازاریابی هرمی نیز استفاده می‌کنند تا از ارتباطات افراد برای افزایش گستره نفوذ خود بهره ببرند. مطالعات نشان می‌دهند که ادعاها و وعده های مطرح شده در اغلب موارد کذب بوده و این ابزارها علاوه بر احتمال آسیب زدن به سخت افزار رایانه‌ها می‌توانند سرمنشا مخاطرات جدی امنیتی باشند. به این ترتیب به کاربران و مدیران به طور جدی توصیه می‌شود که از عضویت در این شبکه ها پرهیز و ممانعت نمایند.
بررسی‌های انجام شده نشان می‌دهد که برخلاف ادعاهای مطرح شده، از منظر اقتصادی و با توجه به انرژی الکتریکی صرف شده، انجام این کار با استفاده ازرایانه‌های معمول، حتی در صورتی که گرداننده شبکه هرمی و افراد بالادست چیزی از عایدات طلب نکنند، اقتصادی نخواهد بود. به همین دلیل در سطح جهان، انجام این امور به صورت قانونی (و نه با سرقت منابع دیگران) با تکیه بر سخت‌افزارهای خاص منظوره و با اتکا به پردازنده های گرافیکی پیشرفته انجام می‌گیرد.
ذکر این نکته حایز اهمیت است که با بیشتر شدن بار محاسباتی پردازنده‌ها برای استخراج ارزهای رمزپایه در رایانه‌های معمول و افزایش مصرف توان، دمای سیستم افزایش خواهد یافت و این خود سبب کاهش دوام دستگاه و احیانا آسیب به آن می‌شود. بنابراین حتی برای آزمایش نیز تصمیم به ورود به این شبکه‌های هرمی منطقی نیست.
همچنین اگرچه به دلیل تعدد این ابزارها فرصت تحلیل رفتاری همه آنها موجود نبوده است، اما نکته نگران‌کننده اصلی در این خصوص این است که با تکیه بر هر یک از روش های معمول برای انجام این امور به صورت هرمی ( اجرای برنامه‌های اجرایی ارایه شده یا نصب افزونه‌های معرفی شده در مرورگرهای وب) کاربر و شبکه میزبان او در معرض دسترسی فراهم آورنده این ابزارها یا سایر مهاجمین قرار می‌گیرند و این خود می‌تواند سرآغاز حملات جدی‌تر باشد.
در خصوص کاربرانی که مالک رایانه یا بستر شبکه متصل به آن نیستند، عضویت در این شبکه‌های هرمی می‌تواند توام با جرایمی چون سوء استفاده از منابع عمومی یا خیانت در امانت نیز باشد.
به این ترتیب به کاربران و مدیران، مجددا توصیه اکید می‌شود که از ورود به این شبکه‌ها و نصب ابزارهای مرتبط با آنها پرهیز و ممانعت جدی به عمل آورند.

متخصصین امنیت، #‫آسیب‌پذیری #zero-day جدیدی در سیستم عامل #‫ویندوز کشف کرده اند. این نقص، هنگام بررسی نفوذ برخی مهاجمین و درحالی کشف شده است که فرد نفوذگر سعی داشته به شبکه هدف از طریق یک آسیب‌پذیری ناشناخته در سیستم عامل ویندوز حمله نماید.
تحلیل های انجام شده بیشتر حول کتابخانه ای به نام win32.sys بوده است که در واقع فایل مربوط به درایور Win32 محسوب می‌گردد. متن منتشر شده مایکروسافت بدین شرح است:
"یک آسیب پذیری ارتقاء سطح دسترسی (elevation of privilege) در ویندوز وجود دارد به‌طوریکه وقتی Win32 نمی‌تواند به اشیاء داخل حافظه رسیدگی (handle) کند، فرد نفوذگر با استفاده از این آسیب پذیری قادر به اجرای کد دلخواه در سطح هسته (kernel mode) خواهد بود. در صورت استفاده صحیح، مهاجم قادر به نصب نرم افزارها، مشاهده، تغییر و یا حذف اطلاعات و یا حتی ایجاد اکانت جدید با اختیارات کامل می‌باشد.
برای استفاده از این آسیب پذیری، مهاجم ابتدا باید در داخل سیستم وارد (log on) شود و سپس یک برنامه مخصوص و از پیش طراحی شده را اجرا کند تا کنترل سیستم مورد نظر را به دست گیرد."
از لحاظ جغرافیایی، بیشتر حملات به کامپیوترهای خاورمیانه صورت گرفته است که نشان دهنده حملات هدفمند (targeted attack) می‌باشد.
مایکروسافت یک به‌روزرسانی امنیتی را به صورت اضطراری منتشر و از همه کاربران درخواست کرده است که در اولین فرصت ممکن سیستم‌های خود را به‌روزرسانی نمایند.
زمان کشف آسیب پذیری : 9 اکتبر 2018
درجه ریسک آسیب پذیری بالا اما به دلیل عدم وجود کد مخرب بصورت عمومی و ارائه وصله توسط مایکروسافت متوسط در نظر گرفته شده است.

CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C

سیستم‌های عامل تحت تاثیر این آسیب پذیری:

• Microsoft Windows 10 Version 1607 for 32-bit Systems
• Microsoft Windows 10 Version 1607 for x64-based Systems
• Microsoft Windows 10 Version 1803 for 32-bit Systems
• Microsoft Windows 10 Version 1803 for x64-based Systems
• Microsoft Windows 10 Version 1809 for 32-bit Systems
• Microsoft Windows 10 Version 1809 for x64-based Systems
• Microsoft Windows 10 for 32-bit Systems
• Microsoft Windows 10 for x64-based Systems
• Microsoft Windows 10 version 1703 for 32-bit Systems
• Microsoft Windows 10 version 1703 for x64-based Systems
• Microsoft Windows 10 version 1709 for 32-bit Systems
• Microsoft Windows 10 version 1709 for x64-based Systems
• Microsoft Windows 7 for 32-bit Systems SP1
• Microsoft Windows 7 for x64-based Systems SP1
• Microsoft Windows 8.1 for 32-bit Systems
• Microsoft Windows 8.1 for x64-based Systems
• Microsoft Windows RT 8.1
• Microsoft Windows Server 1709
• Microsoft Windows Server 1803
• Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
• Microsoft Windows Server 2008 R2 for x64-based Systems SP1
• Microsoft Windows Server 2008 for 32-bit Systems SP2
• Microsoft Windows Server 2008 for Itanium-based Systems SP2
• Microsoft Windows Server 2008 for x64-based Systems SP2
• Microsoft Windows Server 2012
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2016
• Microsoft Windows Server 2019

از آنجاییکه برای استفاده از این آسیب پذیری فرد حمله کننده نیازمند دسترسی محلی به کامپیوتر هدف می‌باشد، ضروریست این دسترسی صرفا به اشخاص مورد اعتماد داده شده و درصورت امکان از محیط‌های محدود شده استفاده گردد.
منابع:

https://www.symantec.com/security-center/vulnerabilities/writeup/105467
https://sensorstechforum.com/cve-2018-8453-microsoft-windows-zero-day-vulnerability-used-attacks-wo…

#‫آسیب_پذیری منتشر شده با شناسه CVE-۲۰۱۸-۸۴۹۵ به مهاجم اجازه اجرای کد از راه دور را بر روی #‫مرورگر_Edge آسیب پذیر می دهد. برای بهره برداری از این آسیب پذیری، تعامل کاربر مورد نیاز بوده و روش کار نیز به این ترتیب می باشد که پس از بازدید کاربر از یک صفحه وب آلوده و انجام عمل تایید، کد مخرب اجرا می گردد. در این فرآیند، کاربر هشداری مبنی بر این که موضوع خطرناکی در جریان است دریافت نمی‌ کند و درنهایت، مهاجم می تواند از طریق این آسیب پذیری با اجرای کد نفوذ کند.
تاریخ انتشار آسیب پذیری : ۲۰۱۸/۱۰/۰۹ (۱۷ مهرماه ۱۳۹۷)
سیستم عامل های دارای نسخه های آسیب پذیر مرور گر Edge:

• Microsoft Windows Server 2016
• Microsoft Windows Server 1803
• Microsoft Windows Server 1709
• Microsoft Windows 10 Version 1803 for x64-based Systems
• Microsoft Windows 10 Version 1803 for 32-bit Systems
• Microsoft Windows 10 version 1709 for x64-based Systems
• Microsoft Windows 10 version 1709 for 32-bit Systems
• Microsoft Windows 10 version 1703 for x64-based Systems
• Microsoft Windows 10 version 1703 for 32-bit Systems
• Microsoft Windows 10 Version 1607 for x64-based Systems
• Microsoft Windows 10 Version 1607 for 32-bit Systems

روش‌های جلوگیری از آلوده شدن به این باگ: دریافت و نصب آخرین بسته بروزرسانی

اطلاعات بیشتر:

https://msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8495