با عرض تسلیت ویژه بابت ایام سوگواری پیش رو، به اطلاع می‌رساند که ایام تعطیلات، خصوصا تعطیلات طولانی، بهترین فرصت برای مهاجمین جهت انجام نفوذ، سرقت اطلاعات و تخریب در زیرساخت‌های فناوری اطلاعات کشور می‌باشد. لذا اکیدا توصیه میگردد تا اقداماتی به شرح زیر را برای کسب آمادگی و پیشگیری از رخدادهای احتمالی در دستور کار قرار دهند:

1. خاموش کردن سامانه‌ها و خدمات دهنده‌هایی که در این ایام نیاز ضروری به ارائه خدمات آن‌ها وجود ندارد؛ به عنوان مثال سرورهای واسطه انتقال فایل.
2. پرهیز از استفاده از پروتکل‌های دسترسی از راه دور و در صورت عدم امکان به کار بستن این تمهید، افزایش ایمنی این قبیل از دسترسی‌ها.
3. تغییر دادن رمز ورود به سامانه‌ها قبل از آغاز تعطیلات و رعایت نکات امنیتی در تعیین رمز عبور، تعیین و تنظیم تعداد دفعات مجاز برای تلاش ناموفق ورود و مخصوصا دقت کافی در زمان استفاده از رمز عبور برای دسترسی از راه دور.
4. قطع ارتباط اینترنت در مورد آن دسته از سرورها که خاموش کردن آن‌ها ممکن نیست ولی دسترسی به آن‌ها از طریق اینترنت در این ایام الزامی نمی باشد.
5. به روزرسانی نرم‌افزارها و سخت‌افزارهای امنیتی و بررسی گزارش‌های تولید شده توسط این دسته از ابزارها.
6. تهیه پشتیبان از سامانه‌ها و اطلاعات به ویژه سرورهای پایگاه داده و تست عمکلرد صحیح پشتیبان‌های تهیه شده قبل از آغاز تعطیلات.
7. هوشیاری و پیگیری مستمر اخبار حوزه امنیت اطلاعات به منظور آگاه شدن از تهدیدهای بالقوه و در صورت نیاز در موارد نادر انجام اقدامات تامینی در طی مدت تعطیلات.
8. سرکشی به سامانه‌ها، بررسی عملکرد سرورها و گزارش‌های امنیتی در تعداد نوبت‌های مناسب در میانه تعطیلات.
9. گزارش نمودن هرگونه مورد مشکوک برای دریافت خدمات تخصصی امدادی ویژه از مرکز ماهر در این ایام.

وب سایت FireEye در تاریخ 13 سپتامبر سال جاری یک آسیب پذیری از Microsoft Office RTF کشف کرده که از طریق تزریق کد مخرب در SOAP WSDL parser اجرا میشود.وب سایت fire eyeیک سند مایکروسافت word را آنالیز کرد که در ان مهاجم با تزریق و دانلود یک اسکریپت ویژوال بیسیک که شامل دستورات پاور شل می شود،به سیستم قربانی نفوذ کرد و دستورات خود را اجرا کرد

FireEye اطلاعات این اسیب پذیری را به مایکروسافت ارائه داد و مایکروسافت با ارائه یک اپدیت این اسیب پذیری را بر طرف کرد. لذا توصیه میشود کاربران رایانه خود را بروز رسانی کنند.

جهت دانلود مطلب کلیک نمایید.

هکرها هر روزه در حال پیشرفت هستند و از روشهای جدیدی برای گرفتن قربانیان خود استفاده می کنند. حملات هکری تنها برای نفوذ به سیستم های شخصی و یا گوشی های تلفن همراه هوشمند نیست. بسیاری از این گونه حملات برای دراختیار گرفتن شبکه های بزرگ که دارای اطلاعات مهم بر روی سرورهای خود هستند می باشد. جهت انجام این گونه حملات نفوذگران روشهای مخفی و جالبی را برای موفقیت خود در نفوذ ابداع می کنند.
بر اساس گزارشی که به تازگی توسط محققان امنیت سایبری کمپانی KasperSky منتشر شده است، یک درب پشتی (Backdoor) مخفی بر روی یکی از محصولات مهم شبکه قرار داده شده است. این درب پشتی که با کد نام ShadowPad معرفی شده است بر روی نرم افزار به روز رسانی شده برخی محصولات کمپانی NetSarang کشف شده است که این محصول در کشور ما هم بسیار مورد استفاده قرار می گیرد. توسط این درب پشتی، نفوذگر می توان کنترل کامل بر روی شبکه مخفی پشت این محصولات را در کنترل بگیرد که محصولات این کمپانی، در شبکه های بانکی، شبکه شرکت های داروسازی و پزشکی، ارائه دهندگان خدمات مخابراتی، شرکت های هواپیمایی و غیره... مورد استفاده قرار می گیرند.
بر اساس گزارش منتشر شده توسط کاسپراسکی، نفوذگران با دزدیدن مکانیزم به روز رسانی نرم افزارهای این کمپانی، درب پشتی کاملا مخفیانه و حرفه ای را بر روی سیستم software update قرار داده و به صورت خودکار، همراه با مجوز کامل و گواهی قانونی امضا شده (legitimate signed certificate) کد مخرب درب پشتی را بر روی سیستم های قربانی ارسال و نصب می کردند. این Backdoor مخفی در کتابخانه nssock2.dll بر روی نرم افزارهای Xmanager و Xshell قرار داده شده است.
در تاریخ 4 جولای کمپانی کاسپراسکی این درب پشتی را بر روی محصولات فوق به کمپانی NetSarang گزارش می دهد که این کمپانی سریعا مشکل را بررسی کرده و رفع نموده است. محصولاتی که این حمله بر روی آنها صورت گرفته است عبارتند از:
   • Xmanager Enterprise 5.0 Build 1232
   • Xmanager 5.0 Build 1045
   • Xshell 5.0 Build 1322
   • Xftp 5.0 Build 1218
   • Xlpd 5.0 Build 1220
این حمله، یادآور حمله ای مشابه توسط سازندگان باج افزار Petya/NotPetya در تیرماه امسال می باشد که توسط تغییراتی که در سیستم به روز رسانی نرم افزاری خاص سیستم امور مالیاتی کشور اوکراین داده شده در سطح وسیعی از ساختارهای مالیاتی آن کشور انتشار یافته است.
هکرها این درب پشتی را توسط چندین لایه رمزنگاری آماده سازی و بر روی سیستم به روز رسانی قرار داده اند که تنها در برخی موارد خاص، رمزگشایی آن صورت می گرفته است. این کار برای بهتر کردن عملکرد درب پشتی جهت مخفی ماندن آن می باشد. تا هنگامی که packet های خاصی که حاوی دستورالعمل های اجرایی می باشدن از جانب سرور C&C برای درب پشتی ارسال نشود، این backdoor فعالیت خاصی را از خود نشان نمی دهد تا همچنان مخفی بماند. پس از آن، درب پشتی هر 8 ساعت یکبار اقدام به ارسال برخی اطلاعات سیستم قربانی برای سرور خود می کند.
فعال سازی این درب پشتی پس از نصب بر روی سیستم قربانی، توسط یک پیغام DNS TXT Record صورت می گیرد که از یک دامنه خاص برای آن ارسال می گردد که این دامنه در طول ماه گذشته register شده و عملیات DNS lookup بر روی آن انجام می گردد. پس از نصب درب پشتی بر روی سیستم قربانی و معرفی خود به سرور C&C، از طرف سرور کلید رمزگشایی برای انجام قدم های بعدی عملکرد درب پشتی ارسال می شود و درب پشتی را فعال می کند. پس از فعال سازی، این درب پشتی امکان اجرای دستورات از راه دور و همچنین اجرای پروسه های جدید را برای هکر بر روی سیستم قربانی از راه دور فراهم می آورد.
اگر از این محصولات در ساختار شبکه خود استفاده می کنید، جهت مشخص شدن این موضوع که آیا این درب پشتی بر روی سیستم های شما وجود دارد یا خیر، می توانید با چک کردن رکوردهای DNS به دامنه های زیر در داخل شبکه خود، وجود یا عدم وجود درب پشتی را مشخص کنید. در صورت وجود این گونه رکوردها، درخواست ها به دامنه های زیر را حتما در شبکه خود block نمایید:
   • ribotqtonut[.]com
   • nylalobghyhirgh[.]com
   • jkvmdmjyfcvkf[.]com
   • bafyvoruzgjitwr[.]com
   • xmponmzmxkxkh[.]com
   • tczafklirkl[.]com
   • notped[.]com
   • dnsgogle[.]com
   • operatingbox[.]com
   • paniesx[.]com
   • techniciantext[.]com
به یاد داشته باشید که حتما نرم افزارهای آسیب پذیر که در بالا اشاره شد را به روز رسانی کنید، چراکه نسخه به روز شده که این مشکل در آن رفع شده است بر روی وب سایت سازنده جهت دانلود قرار داده شده است.

چکیده
پس از به‌روز‌رسانی این ماه ویندوز که لااقل ۴۸ آسیب‌پذیری وصله شد (25 تای آن‌ها بحرانی بوده‌اند)، این آسیب‌پذیری‌ها افشاء شده‌اند. یکی از این آسیب‌پذیری‌ها بسیار خطرناک بوده و همه نسخه‌های ویندوز را تحت تاثیر قرار می‌دهد. آخرین باری که آسیب‌پذیری با این سطح خطر افشاء شد، باج‌افزار WannaCry را با خود به همراه داشت.

شرح
مایکروسافت در آخرین به‌روز‌رسانی ماهانه که برای محصولات خود منتشر نمود، ۴۸ آسیب‌پذیری که ۲۵ تای آن‌ها آسیب‌پذیری‌های بحرانی بودند را وصله نموده است. در میان این آسیب‌پذیری‌ها یک آسیب‌پذیری بسیار خطرناک وجود دارد که با شناسه بین‌المللی CVE-2017-8620 شناخته می‌شود. این آسیب‌پذیری بسیار خطرناک بوده و همه نسخه‌های ویندوز تحت تاثیر آن هستند. این آسیب‌پذیری به هکر‌ها اجازه می‌دهد که بدافزار خود را درون یک شبکه نشر دهند.
آخرین باری که آسیب‌پذیری با این سطح خطر کشف شد، ماه مارس میلادی بود که سوء استفاده از آن با اکسپلویتی با نام EternalBlue انجام شد. دو ماه پس از اینکه این آسیب‌پذیری وصله شد، یک کمپین باج‌افزاری عظیم با نام WannaCry میلیون‌ها سیستم را در بسیاری از کشور‌ها آلوده نمود و لقب بزرگترین حمله باج‌افزاری تاریخ را از آن خود کرد.
یکی از مهم‌ترین دلایلی که WannaCry قربانیان زیادی گرفت و به شدت گسترش یافت و خسارت‌های زیادی را متحمل سازمان‌ها و شرکت‌ها کرد این بود که علی‌رغم اینکه وصله رفع آسیب‌پذیری EternalBlue منتشر شده بود بسیاری از کاربران و شرکت‌ها اقدام به نصب آن ننموده بودند. زمانی که یک آسیب‌پذیری افشاء می‌شود، بسیاری از کاربران به‌روز‌رسانی‌های رفع آسیب‌پذیری را نصب نمی‌کنند و آن سیستم را به طعمه‌هایی راحت برای هکر‌ها تبدیل می‌کنند.
مرکز ماهر پیش‌بینی می‌نماید که همان اتفاقی که زمان افشای آسیب‌پذیری EternalBlue و باج‌افزار WannaCry رخ داد، دوباره می‌تواند اتفاق بیافتد. شرکت‌های زیادی از WannaCry ضربه خوردند و هزینه‌های بسیاری دادند و نباید درس‌هایی که از WannaCry گرفته شد را از یاد برد.
به‌روز‌رسانی سیستم‌ها یکی از مهم‌ترین روش‌های رفع این آسیب‌پذیری‌ها است. بخصوص سازمان‌ها باید به این امر توجه بیشتری داشته باشند زیرا تعلل یک کارمند در عدم به‌روز‌رسانی می‌تواند سازمان را با خسارت‌های زیادی روبرو کند. سیستم‌های مدیریت وصله در این مورد می‌توانند کمک شایانی به سازمان‌ها کنند. سیستم مدیریت وصله بدون دخالت کاربر جدید‌ترین به‌روز‌رسانی‌ها و وصله‌های رفع آسیب‌پذیری را روی سیستم کاربران سازمان نصب می‌کند و آن‌ها را مقابل استفاده از آسیب‌پذیری‌های کشف شده مقاوم می‌کند.

مرکز ماهر با هدف ارتقای امنیت و‌ افزایش ظرفیت و سرعت پاسخگویی وبسایت‌های دولتی به مراجعات کاربران و همچنین مقابله با حملات سایبری نظیر DDOS،‌ با همکاری ((ابر آروان)) اقدام به ارائه خدمات ابری توزیع محتوا نموده است. شبکه توزیع محتوا با قرارگیری در بین مراجعه کنندگان و وبسایت علاوه بر افزایش چشم‌گیر ظرفیت پاسخگویی به کاربران متعدد، خدمات حفاظتی متعددی نیز در لایه‌های متعدد ارائه می نماید. بهره‌گیری از این خدمات ابری،‌ نیازمند هیچ تغییری در ساختار سرویس دهنده ها و نرم‌افزارهای وبسایت نیست. استفاده از این خدمات برای وبسایت‌های دولتی هزینه‌ای به همراه ندارد.
جزییات بیشتر این خدمت در مستند پیوست ارائه شده است. در صورت تمایل به استفاده از این خدمت،‌ فهرست وبسایت‌ها و اطلاعات تماس خود را به آدرس ایمیل web-protect[@]cert.ir ارسال فرمایید.

به اطلاع می‌رساند در هفته‌های اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی ازجمله چندین سامانه بیمارستانی در کشور واصل شده است که خسارات جبران ناپذیری به بار آورده است. بررسی‌های فنی نشان داده که در بسیاری از این حملات، مهاجمین با سوء استفاده از دسترسی‌ به سرویس دسترسی از راه دور در سیستم‌عامل ویندوزکه مبتنی بر پروتکل RDP است، وارد شده، آنتی ویروس نصب شده را غیرفعال می‌کنند و با انتقال فایل باج افزار، اقدام به رمزگزاری فایل‌های سرور می‌نمایند. حتی در مواردی، مشاهده شده است که مهاجمین، با صرف زمان کافی و پس از کسب شناخت و انجام انواع دیگری از سوء استفاده‌های ممکن، زمان و الگوی انجام پشتیبان‌گیری از اطلاعات را نیز شناسایی کرده و موفق به انجام حملات باج‌افزاری بی‌نقص شده‌اند.
در این حملات، مهاجم با سوء استفاده از نسخه‌های آسیب‌پذیر سرویس Remote Desktop‌، رمز عبور ضعیف، تنظیمات ناقص یا بی‌احتیاطی در حفاظت از رمز عبور، وارد سرورها می‌شوند. به منظور جلوگیری از وقوع این حملات لازم است که تا حد امکان، نسبت به مسدود نمودن سرویس ‌های غیر ضروریRemote Desktopبر روی سرورهای در دسترس از طریق شبکه اینترنت اقدام نمود و در صورت ضرورت و غیرقابل اجتناب بودن ارایه این امکان در بستر اینترنت، به دقت موارد زیر را رعایت نمود. همچنین یادآور می‌شود که فعال بودن دسترسی Remote Desktop ‌به صورت حفاظت نشده در سطح اینترنت، سرور و داده‌های شما را جداْ در معرض خطر قرار خواهد داد.

1. به‌روزرسانی مداوم سیستم‌عامل و هوشیاری از احتمال رخداد حملات جدید و شناسایی آسیب‌پذیری‌های جدید.
2. انجام منظم و سخت‌گیرانه پشتیبان‌گیری از اطلاعات بر روی تعداد کافی از رسانه‌های ذخیره‌سازی اطلاعات و آزمایش نسخ پشتیبان پس از هر مرتبه پشتیبان‌گیری.
3. عدم استفاده از کاربر Administrator برای دسترسی از راه‌دور و تعریف یک کاربر جدید با دسترسی محدود شده برای این منظور.
4. تنظیم کردن سرورها به شکلی که برای ورود موفق، سقف مشخص و محدودی از تلاش‌های ناموفق تعیین شود، سطح قابل قبولی از پیچیدگی برای رمز عبور را الزام نماید و تغییر رمز عبور در بازه زمانی معقولی را اجبار نماید. این فرآیند در سیستم‌عامل‌های مختلف متفاوت بوده و بسیار ساده اما تاثیر گذار است و سبب پیشگیری از موفقیت بسیاری از حملات بر پایه دیکشنری یا دزدیدن رمز عبور می‌شود.
5. در صورت امکان، محدود کردن اجازه استفاده از خدمات دسترسی از راه‌دور در فایروال به آدرس آی‌پی‌های مشخص. همچنین، ایجاد لایه‌های دفاعی بیشتر با تکیه بر خدماتی چون VPN.
6. محدود کردن زمان و ساعت استفاده از خدمات دسترسی از راه‌دور با استفاده از Group Policy Managerویندوز. (مثلا محدود کردن دسترسی به ساعات اداری) یا حتی فعال کردن دسترسی از راه دور فقط در زمان نیاز و غیر فعال نمودن آن پس از رفع نیاز.
7. بررسی مداوم و روزانه گزارش‌های امنیتی (مخصوصا گزارش مربوط به Log-inدر Event-viewerویندوز)، گزارش آنتی ویروس و فایروال، جهت آگاه شدن از مواردی چون زمان ورود هر کاربر و توجه و واکنش متناسب به موارد غیر متعارف همچون ورود در روزهای یا ساعت‌های تعطیل و تلاش‌های ناموفق بدافزارها برای دسترسی و آلوده سازی.
8. دقت مضاعف در زمان استفاده از نام کاربری و گذرواژه برای دسترسی از راه دور، مخصوصا در زمانی که برای اتصال از رایانه دیگران استفاده می‌شود. انواع Key logger از تروجان‌ها می‌توانند با دزدیدن مخفی اطلاعات تایپ شده، دسترسی مهاجمین به سرورها را ممکن کنند. این نوع از حملات به این دلیل که در ناآگاهی کاربر یا مدیر، تمام فرآیند ورود را می‌بینند، بسیار خطرناک بوده و منشاء اغلب حملات با میزان خسارت درشت در ماه‌های اخیر هستند

با توجه به گزارشات متعدد از حمله باج افزارها به سرورهای ویندوزی از طریق سرویس RDPدر کشور از اسفند ۹۵ تاکنون و پیرو اطلاعیه های قبلی مرکز ماهر در این خصوص، لازم است راهبران شبکه نسبت به امن سازی جدی سرورهای خود اقدامات لازم را به عمل آورند.
بدین منظور درصورت عدم نیاز، این سرویس را غیرفعال نموده یا دسترسی به آن را محدود به آدرس‌های IP خاص نمایند. در ادامه توصیه‌هایی درخصوص امن‌سازی این سرویس ارائه شده است.
برای کنترل و مدیریت یک کامپیوتر از راه دور می‌توان از برنامه‌های مبتنی بر پروتکل Remote Desktop استفاده کرد. در سیستم عامل‌های مبتنی بر Microsoft Windows از نرم‌افزار پیش‌فرض Remote Desktop Client استفاده می‌شود که بایستی برای استفاده آن بر بستر اینترنت چندین مشخصه آن را امن‌سازی نمود تا از دسترسی به آن توسط افراد غیرمجاز جلوگیری شود.
نکاتی که در ذیل معرفی شده، اهم موارد امن‌سازی مطرح در استاندارد NIST-SP800-46r2 می‌باشد که بایستی برای احراز امنیت در ارتباطات راه دور Remote Desktop مورد ارزیابی واقع شود.

• فعال‌سازی Encryption بعد از پروسه Authentication
• عدم استفاده از Encryptionهای ضعیف
• استفاده از روش‌های احراز اصالت چند عاملی توسط کلمه عبور، توکن، PKI، …
• استفاده از سیستم‌عامل‌های امن برای سیستم‌های Server (همچون OpenBSD) که اجازه نصب انواع KeyLoggerها را نمی‌دهند.
• در بسیاری از ارتباطات Remote Desktopقابلیت دسترسی به درایوهای کامپیوتر راه دور (Server) توسط Map نمودن درایوها در نسخه Client به‌صورت پیش‌فرض فعال می‌باشد و بایستی در اکثر موارد که نیازی به چنین قابلیتی نیست آن را غیر فعال نمود.
• غیر فعال نمودن Printerهای مجازی همچون انواع PDF Generatorها روی سیستم Server
• غیر فعال نمودن عملگر Pasteاز روی Clipboard
• غیر فعال نمودن ScreenShotبرای کلاینت‌ها برای جلوگیری از دسترسی بسیاری از Malwareها همچون Zeusبه اطلاعات Clipboard و تغییر محتوا یا دسترسی به قسمت‌های حفاظت شده حافظه.
• درنظر گرفتن حداقل سطح دسترسی برای کاربران Remote Desktop تا حدی که کاربر نتواند فعالیت‌های خاص مدیر را انجام دهد. از جمله عدم دسترسی به تنظیمات Sharingیا تعریف کاربران جدید و یا دسترسی مستقیم به درایوهای سیستمی ویندوز (\:C) ویا فولدرهای حاوی مشخصات کاربری (C:\Users) و صد البته عدم توانایی اجرای محیط CMD
• به‌روز نگهداری نسخه سیستم عامل و همچنین به‌روزنگهداری Patchهای سیستم عامل Server
• به‌روزرسانی مداوم آنتی ویروس نصب شده روی سیستم Server
• اطمینان از عدم دسترسی کاربر RDPبه پنل مدیریتی AntiVirus یا Firewall.
• شخصی‌سازی قوانین مربوط به ترافیک های Inboundو Outbound در Firewallنصب شده روی سیستم Server.
• اطمینان از عدم نصب برنامه‌های غیر لازم روی سیستم عامل Server.
• استفاده از کلمات عبور مستحکم و غیر قابل حدس و حتی الامکان Random که به‌صورت مداوم تغییر کنند.
• محافظت از Remote Desktop Server به‌وسیله یک VPN Server حاوی کلیدهای سفارشی‌سازی شده PKI
• اطمینان از عدم هرگونه Routeغیر لازم بین VPNو سایر Interfaceها.
• اطمینان از عدم دسترسی کاربر RDP به Page فایل‌های سیستم عامل جهت جلوگیری از نشت اطلاعات حیاتی سیستم عامل.
• انجام ندادن هرگونه Hibernatingیا Suspend در سیستم عامل Serverجهت جلوگیری از احتمال باقی ماندن اطلاعات کاربران بر روی حافظه.

این ماه مایکروسافت یک وصله ‏‏ی امنیتی، برای یک آسیب‏ پذیری جدی (ارتقاء دسترسی) منتشر نموده است که تمامی نسخه ‏های ویندوز، از 2007 به بعد را تحت تأثیر قرار می‏ دهد.
محققان امنیتی شرکت Preempt دو آسیب‏پذیری zero-day در پروتکل امنیتی NTLM ویندوز کشف کرده ‏اند، هر دوی این آسیب‏ پذیری‏ها به مهاجم اجازه می‏ دهند که یک دامنه جدید ایجاد نموده و آن را به طور کامل کنترل نماید.
NT LAN Manager (NTLM) یک پروتکل احراز هویت قدیمی است که در شبکه‏ های شامل سیستم عامل‏ های ویندوز و همچنین در سیستم ‏های مستقل مورد استفاده قرار می‏گیرد.
اگرچه NTLMتوسط Kerberos در ویندوز 2000جایگزین شده است که امنیت بیشتری را در سیستم ‏های شبکه ‏ای فراهم آورد، اما همچنان توسط مایکروسافت پشتیبانی می‏شود و کماکان به صورت گسترده مورد استفاده قرار می‏گیرد.
در NTLM، به سادگی، هر زمان که یک کاربر می‏خواهد به سرور متصل شود، سرور یک challenge را مطرح می‏کند و کاربر challenge را با پسورد هش خود رمزگذاری می‏کند. مهاجم می‏تواند یک نشست همزمان با سروری که می‏خواهد به آن حمله کند ایجاد نماید و از همان Challenge استفاده کند، و همان هش رمزگذاری شده را به منظور ایجاد یک احراز هویت موفق در NTLMارسال نماید. با استفاده از احراز هویتِ موفقیت‎آمیزِ NTLM، مهاجم می‏تواند یک نشست Server Message Block(SMB) را باز نموده و سیستم هدف را با نرم‏افزارهای مخرب آلوده کند.
اولین آسیب‏ پذیری، Lightweight Directory Access Protocol(LDAP) حفاظت نشده از NTLM را درگیر می‏کند، و دومی Remote Desktop Protocol (RDP) را تحت تأثیر قرار می‏ دهد.
LDAP به اندازه کافی در مقابل حملات NTLM مقاوم نیست، حتی زمانی که LDAP ساخته شده و معیارهای دفاعی برای آن مشخص گردیده است تنها از حملات Man-in-the-middle(MitM)محافظت می‏کند، نه از رد و بدل شدن اعتبارسنجی‏ ها.
این آسیب‏پذیری به مهاجم با دسترسی SYSTEM بر روی سیستم هدف، اجازه می‏دهد که از نشست‏ های NTLMورودی استفاده نموده و عملیات LDAPرا انجام دهد، مانند به روزرسانی object‏های دامنه از طرف کاربر NTLM.
Yaron Zinar از Preempt در رابطه با جزئیات آسیب‎پذیری می‏گوید: "به منظور پی بردن به میزان حساسیت موضوع، باید تمامی پروتکل‏ های ویندوز، که از API احرازِ هویتِ ویندوز (SSPI) استفاده می‏کنند و اجازه می‏ دهند نشست احراز هویت به سمت NTLM سوق یابد را بررسی نمود."
"درنتیجه، هر اتصالی در سیستم‌های مورد استفاده نظیر (SMB, WMI, SQL, HTTP) با کاربری ادمین به مهاجم اجازه دسترسی به تمام قابلیت‌های ویندوز را می‌دهد."
دومین آسیب‎پذیریِ NTLM پروتکل Remote Desktop Protocol Restricted-Admin mode را تحت تأثیر قرار می‏دهد. حالتِ RDP Restricted-Admin به کاربران این امکان را می‏دهد که بدون وارد نمودن پسورد از راه دور به یک کامپیوتر متصل گردند.
به گفته‏‌ی محققانِ Preempt، RDP Restricted-Admin به سیستم‎های احراز هویت اجازه می‏دهد که به سمت NTLM سوق یابند. این بدان معنی است که حملات صورت گرفته با NTLM،مانند اعتبارسنجی و کرک نمودن پسورد، علیه RDP Restricted-Admin نیز می‏تواند اجرا گردد.
زمانی که با آسیب‎پذیری LDAPهمراه باشد، مهاجم می‏تواند هر زمان که یک ادمین با RDP Restricted-Admin متصل می‎شود یک دامنه‏ ی جعلی با حساب کاربری ادمین ایجاد نماید و کنترل کل دامنه را به دست بگیرد.
محققان در ماه آپریل آسیب‎پذیری‏های LDAP و RDP در NTLM را کشف نموده و به صورت مخفیانه به مایکروسافت گزارش نمودند. با این حال، مایکروسافت آسیب‏پذیری NTLM LDAP را در ماه مَی اعلام کرد، و نام CVE-2017-8563 را به آن اختصاص داد، اما باگ RDP را رد نمود، و ادعا کرد که این یک مسئله ‏ی شناخته شده است و باید جهت مصون ماندن از هر گونه حمله‏ ی NTLM شبکه را پیکربندی نمود.
مایکروسافت در مشاوره خود توضیح داد: "در سناریوی یک حمله ‏ی از راه دور، مهاجم می‎تواند با اجرای یک اپلیکیشن خاص جهت ارسال ترافیک مخرب به Domain Controller این آسیب‏ پذیری را اکسپلویت نماید. مهاجمی که موفق به اکسپلویت نمودن این آسیب پذیری شد می‏تواند پروسه‏ ها را در یک بستر بالقوه اجرا کند."

جهت دریافت گزارش کلیک نمایید

اخیرا گسترش باج افزار جدیدی به نام Goldeneye/Petya در نقاط مختلف جهان بازتاب وسیعی داشته است. نحوه گسترش این باج افزار و نیز عملکرد آن بسیار مشابه به باج افزار WannaCry می‌باشد. این باج افزار نیز همانند WannaCry توسط آسیب پذیری SMB سیستم عامل ویندوز، گسترش پیدا می‌کند. در حال حاضر این باج افزار شرکت‌های کامپیوتری، کمپانی‌های تولیدکننده برق و نیز بسیاری از بانک‌ها را در کشورهای روسیه، اوکراین، اسپانیا، فرانسه، انگلیس، و هند، آلوده کرده است.
نکته حائز اهمیت در خصوص این باج افزار، انتشار آن با سوءاستفاده از همان آسیب پذیری پروتکل SMB مورد استفاده توسط باج افزار WannaCry است. راهکارهای پیشگیری و مقابله با آن نیز مشابه راهکارهای ارائه شده برای پیشگیری از آلودگی به WannaCry شامل بروزرسانی سیستم‌های عامل ویندوز و غیرفعالسازی پروتکل SMBv1 و همچنین راهکارهای امنیتی عمومی نظیر تهیه و نگهداری نسخه‌های پشتیبان آفلاین از اطلاعات مهم می‌باشد. درواقع سیستم‌هایی که پیش از این اقدام به بروزرسانی سیستم‌های عامل برای مقابله با باج افزار WannaCry نموده‌اند نیاز به اقدام جدیدی ندارند.
نکته دیگر حائز اهمیت آن است که آخرین بررسی‌های تحلیلی نشان داده است که این باج افزار اساسا یک تخریب‌گر اطلاعات بوده و حتی مهاجمین دسترسی به کلیدهای رمزنگاری و امکان بازگردانی اطلاعات رمز شده را ندارند. علاوه بر این، ایمیل ارتباطی با مهاجمین نیز توسط سرویس دهنده مربوطه مسدود شده است. لذا جدا از پرداخت هرگونه وجهی به مهاجمین خودداری کنید.

لازم به ذکر است تاکنون گزارشی مبنی بر آلودگی کاربران داخل کشور به این بدافزار دریافت نشده است.

در مستند پیوست، اطلاعات بیشتری در خصوص این بدافزار ارائه شده است.

دریافت پیوست

درگذشت دانشمند گرامی جناب آقای دکتر مهدی برنجکوب عضو هیات علمی دانشگاه صنعتی اصفهان و رئیس مرکز تخصصی آپای اصفهان که عمری را صرف تعلیم و تعلم و توسعه دانش فناوری اطلاعات و ارتباطات در کشور نموده است به خانواده محترم ایشان، جامعه دانشگاهیان و متخصصین کشور تسلیت عرض نموده و از خداوند منان علو درجات را برای آن سعید فقید مسئلت می نماییم. مرکز مدیریت امداد و هماهنگی رخدادهای رایانه ای کشور(ماهر ) این ثلمه بزرگ به شبکه متخصصین امنیت رایانه ای کشور را غیر قابل جبران دانسته و از همه دانش آموختگان، مشتاقان و علاقمندان ایشان برای تجلیل شکوهمند و شرکت در مراسم تشیع و سوگواری دعوت می نماید.