بدافزار Mirai که مبتنی بر لینوکس است صدها هزار دستگاه مبتنی بر اینترنت اشیا (IoT ) را جهت اجرای یکی از بزرگ‌ترین حملات توزیع شده DDoS مورد استفاده قرار داد. این بدافزار، دارای یک نسخه ویندوزی نیز هست.
Mirai در پاییز گذشته، پس از آن که وبلاگ برایان کربس (Brian Krebs’ blog) و ارائه دهنده خدمات زیرساخت DYN را مورد هدف قرار داد و دو تا از بزرگ‌ترین حملات DDoS تاریخ را ثبت کرد، محبوب شد.
پس از آن کد منبع بدافزار به بیرون درز پیدا کرد و مدل‌های جدیدی از تروجان، ساخته شد که از جمله قابلیت‌های جدید آن بسته‌بندی مانند کرم بود.
اگر چه تا به حال بر روی دستگاه‌های مبتنی بر اینترنت اشیا لینوکسی متمرکز بوده است، همان طور که، محققان امنیتی دکتر وب هشدار می دهند Mirai به تازگی بر روی سیستم‌های ویندوز تمرکز کرده است.
نوع جدیدی از این بدافزار با عنوان Trojan.Mirai.1 شناسایی شده است که با زبان ++C نوشته شده و به نظر می‌رسد قادر به انجام عملیات‌های مختلف خرابکارانه از جمله گسترش بات‌نت Mirai به دستگاه‌های مبتنی بر لینوکس است.
هنگامی که بر روی دستگاه ویندوز آلوده، راه‌اندازی شود، تروجان مایل به اتصال به سرور فرماندهی و کنترل (C & C ) و پس از آن دانلود یک فایل پیکربندی برای استخراج یک لیست از آدرس‌های IP، از آن است.
در مرحله بعد، بدافزار یک اسکنر جهت جستجوی گره‌های شبکه‌های ذکر شده در فایل پیکربندی، راه‌اندازی می‌کند و جهت لاگین به آنها از یک لیست لاگین‌ها و کلمات عبور ترکیبی موجود در همان فایل استفاده می‌کند.
به گفته محققان امنیتی دکتر وب، نسخه‌های ویندوزی Mirai قادر به اسکن و بررسی کردن چندین پورت TCP به طور همزمان هستند (از جمله 22، 23، 135، 445، 1433، 3306، و 3389).
به محض این که تروجان به یکی از گره‌های هدف حمله (از طریق هر یک از پروتکل های موجود) متصل شد، به اجرای یک سری از دستورات مشخص شده در فایل پیکربندی می‌پردازد. با این حال، باید اتصال از طریق پروتکل RDP ساخته شده باشد در غیر این صورت هیچ یک از دستورالعمل‌ها اجرا نمی‌شود.
چه چیزی بیشتر از این‌که اگر این تهدید از طریق پروتکل شبکه راه دور ، موفق به اتصال به یک دستگاه لینوکس شود، از آن برای دانلود یک فایل باینری به آن، تلاش می‌کند. این فایل به این معنی است که بات‌نت Mirai را دانلود و راه‌اندازی کند.
همچنین نسخه‌های ویندوزی Mirai قادرند با استفاده از تکنولوژی ارتباط بین پردازشی (IPC) ، از ابزار مدیریت ویندوز (WMI) جهت اجرای دستورات بر روی میزبان راه دور، سوءاستفاده کنند.
این بدافزار جهت راه‌اندازی پردازش‌های جدید با استفاده از روش Win32_Process.Create، و ایجاد فایل‌های مختلف (مانند پکیج‌های فایل‌های ویندوز که حاوی یک مجموعه خاصی از دستورالعمل‌ها هستند) طراحی‌شده بود.
چنانچه SQL سرور مایکروسافت بر روی دستگاه آلوده نصب شده باشد، این بدافزار قدرت نفوذ به یک سری از فایل‌ها و همچنین یک کاربر که دارای دسترسی مدیر سیستم است را دارد.
در مرحله بعد، بدافزار با سوءاستفاده از این کاربر و سرویس رویداد SQL سرور به اجرای وظایف مخرب مختلفی از جمله راه‌اندازی فایل‌های اجرایی با دسترسی مدیر، حذف فایل‌ها و یا ایجاد یک میانبر در پوشه سیستم برای راه‌اندازی خودکار (همچنین این بدافزار لاگ‌های مربوطه را در رجیستری ویندوز ایجاد کند) می‌پردازد.
پس از اتصال از راه دور به یک سرور MySQL ، تروجان در آن یک کاربر با نام کاربریphpminds و رمز عبور phpgod ، به منظور دستیابی به اهدافی که محققان دکتر وب ذکر کرده‌اند، ایجاد می‌کند. این کاربر امتیازات و دسترسی‌های بعدی از جمله موارد ذیل را دارد:
درج، انتخاب، به‌روزرسانی، حذف، ایجاد، حذف کل ، بارگیری مجدد ، خاموش کردن، پردازش، فایل، اعطا کردن ، منابع، شاخص ، تغییر ، نشان‌دادن db، super ، ایجاد جدول موقت، قفل جداول، اجرا، repl_slave، repl_client، ایجاد دید ، نشان‌دادن دید، ایجاد کار روتین ، alter_routine، ایجاد کاربر، رویداد، trigger و ایجاد جدول tablespace.

این آسیب‌پذیری به هکرهای راه دور اجازه میدهد تا شرایط رد سرویس (DoS) را روی تعدادی از نسخه‌های ویندوز کلاینت راه‌اندازی کند.
سازمان‌های مختلفی از جمله US-CERT در مورد باگ تخریب حافظه روز صفرم در چندین نسخه از ویندوزهای مایکروسافت هشدار دادند که میتواند به هکرهای راه دور این امکان را بدهد که, یک سیستم آسیب‌پذیر ایجاد نمایند تا این سیستم کرش کرده و یا راه‌اندازی مجدد شود.
کد اثبات مفهوم جهت بهره‌برداری از این آسیب‌پذیری, هم‌اکنون در سایت Github قرار گرفته و در دسترس عموم افرادی که بخواهند از آن استفاده کنند، قرار گرفته است. تاکنون هیچ وصله‌ای جهت این آسیب‌پذیری که تهدیدی جهت کسب‌وکارهای کوچک و کاربران خانگی محسوب می‌شود, وجود ندارد.
واحد Cert دانشگاه کارنگی ملون در یک هشدار (http://www.kb.cert.org/vuls/id/867968) بیان کرد که: "این مشکل به دلیل روش خاصی هست که تعدادی از نسخه‌های ویندوز، به ترافیک Server Message Block (SMB) رسیدگی می‌کنند". هکرها میتوانند با ارسال پیام دستکاری شده خاصی از طرف سرورهای مخرب, شرایط سرریز بافر را روی سیستم‌های آسیب‌پذیر بوجود آورده و باعث شوند که این سیستم‌ها، کراش کنند. آنها اضافه کردند که چندین روش در اختیار هکرها میباشد تا به سیستم مشتری ویندوز به‌منظور اتصال آن به یک سرور SMB مخرب, دسترسی پیدا کنند. بعضی اوقات ممکن است این اتفاق بدون هیچ تعاملی با کاربر صورت گیرد.
پروتکل اشتراک فایل SMB مایکروسافت (https://technet.microsoft.com/en-us/library/hh831795.aspx) به کلاینت‌های ویندوز این اجازه را میدهد که درخواست سرویس بدهند و فایل‌ها را از ویندوز سرور از طریق شبکه، بخوانند و یا بنویسند. این موضوع در طول سال‌ها، منبع مشکلات امنیتی متعددی بوده است.
سخنگوی مایکروسافت شدت این مشکل را کم اهمیت جلوه داده و طی بیانیه‌ای می‌گوید که: "ویندوز فقط یک پلت‌فرمی هست که با همکاری مشتریان همراه میباشد تا گزارش مشکلات امنیتی را بررسی کرده و در اسرع وقت، دستگاهای تحت تاثیر را به‌روزرسانی کند". وی در ادامه میگوید: "سیاست استاندارد ما در مورد مسائل کم خطر این است که با استفاده از به‌روزرسانی حاضر برنامه سوم خود، این خطر را رفع کنیم".
یوهانس یولریچ رئیس Internet Storm Center در موسسه SANS میگوید او به‌طور کامل تست کرده هست که سیستم‌های وصله‌دار ویندوز 10 که مفهوم اثبات کد، استفاده میکنند، سریعا یک صفحه آبی مرگ (blue screen of death) برای آنها ظاهر میشود. وی می‌گوید به نظر می‌رسد تمامی ویندوزهای کلاینت که SMBv3 را حمایت میکنند مانند Windows 2012 and 2016, برای سوءاستفاده، آسیب‌پذیر میباشند.
یولریچ به سایت DarkReading می‌گوید: "این باگ, باگ رد سرویس هست. اگر سیستمی مورد سوءاستفاده قرار گیرد, سیستم راه‌اندازی مجدد می‌شود". این باگ به نظر نمی‌رسد که راهی برای هکرها ایجاد کند که به‌وسیله آن کدی را اجرا نمایند یا شرایط رد سرویس را راه‌اندازی نمایند.
یولریچ میگوید: "بهره‌برداری از آسیب‌پذیری آسان است. هکر میتواند با استفاده از این بهره‌برداری, یک سرور SMBv3 راه‌اندازی نماید سپس قربانی را تحریک کند تا به آن متصل شود". او میگوید: "راحت‌ترین راه برای تحقق این راهکار, قرار دادن لینک URL سروری در صفحه‌وب است".
URL ممکن است مشابه ipc$\192.0.2.1\\ باشد که 192.0.2.1 آدرس IP سرور می‌باشد. تگ تصویر مشابه <img src=”[malicious url]”> هست و باعث این سوءاستفاده می‌شود.
یولریچ میگوید: "آسیب‌پذیری دلیل دیگری است که لازم است اتصالات SMB خروجی از طریق بلاک‌کردن پورت‌های 445 135, و 139 ، مسدود شود". بسیاری از شبکه‌ها، این پورت‌های خروجی را نمیبندند که علاوه بر این حمله, امکان حملات دیگر را نیز فراهم میکنند.
وی اشاره میکند که کاربران کسب وکارهای کوچک و خانگی در مقایسه با سازمان‌ها، بیشتر تحت تاثیر این موضوع قرار می‌گیرند چون فایروال‌های کسب‌وکارهای کوچک و خانگی, معمولا به‌صورت پیش‌فرض این اتصالات را مسدود نمیکنند.
CERT در راهنمای امنیتی خود میگوید که در حال حاضر از "راه‌حلی عملی" جهت رفع این مشکل بی‌اطلاع هست و از سازمان‌ها خواسته است که اتصالات خروجی SMB از شبکه‌های محلی به شبکه‌های گسترده در پورت‌های TCP، 139 و 445 و در پورت‌های UDP، 137 و 138 مسدود کنند.
موضوعات مرتبط:

1. New SMB Relay Attack Steals User Credentials Over Internet
2. Google Warns Of Windows Zero-Day Under Attack
3. Microsoft Fires Back At Google For Windows 0-Day Disclosure

شرکت Cisco یکی از شرکت های بزرگ در زمینه تجهیزات شبکه است. این شرکت دارای محصولات فراوانی در زمینه سوئیچینگ و مسیریابی است. از جمله تجهیزات سوئچینگ شرکت Cisco می توان به سری 7000 و 7700 این شرکت اشاره نمود.
سری 7000 و 7700 شرکت Cisco از آسیب‌پذیری OTV رنج می برند. به کمک این آسیب‌پذیری می توان فایل هسته Intermediate System-to-Intermediate System (ISIS) را تولید و دوباره بارگذاری کرد. برای مشاهده فایل هستهISIS ، مدیران (Admin) می توانند از دستور show core در خط فرمان استفاده کنند. همچنین مدیران با بررسی فایل هسته ISIS و تماس با قسمت پشتیبانی فنی Cisco ، می توانند مشخص کنند که دستگاهشان مورد بهره‌برداری از این آسیب پذیری قرار گرفته است یا خیر.
شرکت Cisco آپدیتی برای پچ کردن این آسیب‌پذیری منتشر کرده است که میتوان برای نحوه استفاده و دانلود پچ از لینک زیر استفاده نمود:

http://www.cisco.com/go/psirt

محققان از شرکت امنیتی Radware با دو نوع بدافزار مربوط به حملات منع سرویس مواجه شده‌اند که به دلایل ناشناخته، دستگاه‌های اینترنت اشیاء (IoT) را درهم می‌شکند. اولین موج از این حملات با مشاهده‌ی بدافزارهای BrickBot نسخه‌ی 1.0 و 2.0 در تاریخ 30 اسفند ماه آغاز شده است. این بدافزارها سامانه‌ی تله عسل شرکت Radware را پینگ می‌کردند.

این بدافزار بر روی دستگاه‌های اینترنت اشیاء به دنبال درگاه‌های باز telnet می‌گردد و تلاش می‌کند مانند بدافزار Mirai بر روی این درگاه، حمله‌ی جستجوی فراگیر (Brute force) انجام داده و به آن دسترسی پیدا کند. در ادامه بدافزار سعی می‌کند بخش ذخیره‌سازی در دستگاه IoT را به کل تخریب کند که این حمله به همین دلیل، منع سرویس دائمی (PDoS) نامیده شده است.

این شرکت امنیتی می‌گوید: «پس از دسترسی موفق به دستگاه IoT، بر روی باتِ آلوده، برخی دستورات لینوکس اجرا شده که در نهایت منجر به تخریب منابع ذخیره‌سازی می‌شود. همچنین در ادامه دستوراتی برای قطع اتصال به اینترنت و حذف تمامی پرونده‌های موجود بر روی دستگاه اجرا می‌شود.»

نسخه‌ی 1.0 بدافزار BrickerBot چند روز پس از راه‌اندازی از دور خارج شده است ولی نسخه‌ی 2.0 هرچند در حال حاضر فعالیتی ندارد ولی عملیات خطرناک‌تری داشته و با استفاده از شبکه‌ی گمنامی TOR تلاش می‌کند تا مبدأ انجام حمله را مخفی کند.

محققان امنیتی معتقدند هنوز سؤالات زیادی در مورد بدافزار BrickerBot وجود دارد که هنوز بی‌جواب باقی مانده است. یکی از مهم‌ترین سؤالات این است که چرا مهاجمان بجای اهداف مالی و کسب سود، علاقه‌مند هستند تا پرونده‌های موجود بر روی دستگاه IoT را حذف کنند؟

محققین امنیتی یکی از مکانیزم‏های امنیتی را مستقل از نوع سیستم عامل یا نرم‏افزارهای در حال اجرا دور زدند. علاوه بر آن، این نقص نمی‌تواند به طور کامل توسط به روز رسانی های نرم افزاری رفع شود! این آسیب‌پذیری در «واحد مدیریت حافظه» (MMU) قرار دارد که یکی از اجزاء اصلی cpu است و برای جلوگیری از دور زدن سیستم «چیدمان تصادفی لایه ی فضای آدرس» (ASLR) به کار می‏رود.
مکانیزم امنیتی ASLRl توسط همه سیستم‌ عامل‏های مدرن پشتیبانی می‏شود. از جمله این آنها می‏توان ویندوز، مک، لینوکس، اندروید، iOS و BSDرا نام برد. مکانیزم امنیتی ASLR جای برنامه‌های در حال اجرا را در حافظه به صورت تصادفی چینش می‏کند که باعث می‏شود اجرای کدهای مخرب در حمله سرریز بافر (Buffer Overflow) یا حملات مشابه برای هکر سخت شود.
این حمله، که ASLR Cache یا AnC نام گرفته، کاملا جدی است چون از یک کد ساده جاوااسکریپت (JavaScript) برای شناسایی آدرس پایه برنامه‏های در حال اجرا در حافظه استفاده می‏کند. بنابراین، فقط مشاهده یک سایت مخرب می‌تواند اجرای این حمله را امکان‏پذیر کند، حمله‏ای که به مهاجم اجازه می‌دهد تا حملات بیشتری را به همان قسمت از حافظه برای سرقت اطلاعات حساس ذخیره شده در حافظه کامپیوتر هدایت کند.
واحد MMU در سیستم‏های شخصی، موبایل و سرورها وجود دارد و کارش آدرس‏دهی به مکان‏هایی از حافظه است که داده ذخیره می‏شود. این واحد به طور مداوم دایرکتوری که جدول صفحه (Page Table) را صدا می‌زند را بررسی می‌کند تا آدرس‌های آن دایرکتوری را پیگیری و دنبال کند. برنامه‏ها معمولاً جدول صفحه را در کش پردازنده ذخیره می‌کنند که این کار تراشه را سریع‌تر و کارآمد تر می‌کند. اما مشکل از آنجایی شروع می‏شود که این مولفه بعضی از اطلاعات کش را با نرم‏افزارهای نامطمئنی مانند مرورگرها به اشتراک می‏گذارد. بنابراین، یک کد کوچک جاوااسکریپت که در حال اجرا روی یک وب سایت مخرب است هم می‌تواند در آن کش داده بنویسد و مهاجم را قادر سازد تا محل اجرای نرم‌افزارها را کشف کند، مانند کتابخانه‌ها و فایل‌های داخل RAM که در حافظه مجازی قرار دارند. مهاجم با دسترسی به این داده‌های مکانی می‌تواند بخش‌هایی از حافظه کامپیوتر را بخواند و بعداً برای اجرای حملات پیچیده‌تر و کامل‌تر استفاده کند.
قابل توجه است که محققین توانستند تنها در 90 ثانیه! با موفقیت حملات جاوااسکریپت AnC را با نسخه های به روز مرورگر Chrome و Firefox بر روی 22 معماری مختلف CPU اجرا کنند. در حمله‏ی آنها، حمله‏ی جاوااسکریپت با یک کد حمله که آسیب‌پذیری CVE-2013-0753 را اکسپلویت می‌کند، ترکیب شده است.
بر اساس گزارش‏های منتشر شده از این محققین، تنهای راهی که شما می‌توانید خودتان را علیه حملات AnC محافظت کنید، فعال کردن پلاگین‏هایی مانند NoScript برای Firefox یا ScriptSafe برای Chroem است تا کد های جاوااسکریپت نامطمئن را روی صفحات وب بلاک کند و اجازه اجرا ندهد

به اطلاع می‌رساند در هفته‌های اخیر، گزارشات متعددی از حمله باج افزارها به سرورهای ویندوزی در کشور واصل شده است. بررسی‌های فنی نشان داده که در این حملات مهاجمین با سواستفاده از دسترسی‌های حفاطت نشده به سرویس Remote Desktop ‌ ویندوز (پروتکل RDP)، وارد شده و با انتقال فایل باج افزار اقدام به رمزگزاری فایل‌های سرور می‌نماید.
در این حملات مهاجم با سواستفاده از نسخه‌های آسیب‌پذیر سرویس Remote Desktop‌ و یا رمز عبور ضعیف وارد سرور می‌گردد.
به منظور جلوگیری از وقوع این حملات لازم است ضمن مسدود نمودن سرویس ‌های غیر ضروری remote desktop بر روی شبکه اینترنت، نسبت به انتخاب رمزهای عبور مناسب و بروز رسانی سیستم‌های عامل اقدام گردد.

تیم توسعه وردپرس اعلام کرده است که در بروزرسانی 4.7.2 سه آسیب پذیری از جمله SQL Injection و XSS را رفع نموده است.
بروزرسانی جدید تنها پس از دو هفته بعد از نسخه 4.7.1 منتشر گردید. دو هفته پیش نسخه 4.7.1 برای رفع 62 bug و هشت ضعف امنیتی منتشر گردید. هم اکنون نسخه 4.7.2 در دسترس است. این یک نسخه امنیتی برای تمامی نسخه های قبلی است و تمامی استفاده کنندگان باید به سرعت بروزرسانی مربوطه را انجام دهند.

::: شرح آسیب پذیری
آسیب­‌پذیری sql injection در کلاس WP_Query موجود است و به منظور دسترسی به متغیر ها، چک ها، و توابع مرتبط با هسته استفاده میگردد. کارشناسی به نام Mohammad jangda این آسیب پذیری را هنگام بررسی عبور داده ها در سیستم وردپرس کشف نموده است. ضعف فوق به طور مستقیم هسته وردپرس را تحت تاثیر قرار نمی­دهد اما ریسک اصلی متوجه پلاگین ها و Theme های سامانه است و به طور ترکیبی می­تواند آن­ها را درگیر نماید.
آسیب پذیری XSS رفع شده در این نسخه، کلاس مدیریت جداول لیست پست های وردپرس را تحت تاثیر قرار می­دهد. این آسیب پذیری نیز توسط Ian Dunn از تیم امنیتی وردپرس کشف و گزارش شده است.
آسیب پذیری دیگری که به تازگی کشف شده است به کاربران سایت اجازه می­دهد تا با استفاده از bookmarklet موجود در مرورگر،­ اقدام به انتشار پست در وردپرس نماید.همچنین قابل ذکر است که به گزارش تیم وردپرس نسخه 4.7 این سیستم مدیریت محتوا بیش از 10 بار از تاریخ 6 دسامبر 2016 تا کنون دانلود شده است.
برای مشاهده توضیحات بیشتر درباره این انتشار می­توانید لینک زیر را مشاهده نمایید:

https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

مرکز ماهر در ادامه توسعه راهکارها و ابزارهای امنیت سنجی رایگان خود، اقدام به راه اندازی سامانه ویروس‌کاو نموده است. این سامانه یک پویشگر بدافزار چند موتوره مجهز به ۱۰ آنتی ویروس به‌روز است.
کاربران می توانند در هنگام مواجه با هرگونه فایل مشکوک اقدام به بارگزاری آن در سامانه نموده و از نتایج پویش آن توسط آنتی ویروس‌های مختلف مطلع گردند. برای استفاده از این ابزار کافی است به آدرس https://scanner.certcc.ir مراجعه کنید.
درصورت ممانعت آنتی ویروس شما برای ارسال یک فایل مشکوک، می توانید فایل مشکوک را بصورت زیپ شده و با رمز 123456 نیز بارگزاری نمایید.
لازم به ذکر است در این سامانه امنیت و محرمانگی فایل‌های بارگزاری شده مورد نظر قرار داشته و آنتی‌ویروس‌ها بصورت کاملا آفلاین می باشند.

بیشتر کاربران یک عادت بد دارند که هنگام ارتقاء سیستم عامل ویندوز، آن را رها می‏کنند. البته این مسأله به این مربوط است که فرایند ارتقاء ویندوز 10 طولانی و خسته‌ کننده است. چرا این مسأله نگران کننده است؟
هنگام ارتقاء ویندوز 10، یک شخص نزدیک به قربانی (یا حتی کسی که قربانی او را نمی‏شناسد) می‌تواند بدون نیاز به نرم‌افزار اضافی و با وجود اینکه BitLocker نصب است رابط خط فرمان را با دسترسی کامل باز کند و کارهای خرابکارانه انجام دهد. این مسأله به مایکروسافت گزارش شده است و این کمپانی در حال رفع این مشکل است.
هنگام ارتقاء ویندوز 10، کلید های Shift + F10 را فشار دهید تا رابط خط فرمان با دسترسی root برایتان باز شود تا بتوانید BitLocker را دور بزنید!
اگر برای امنیت سیستم خود به نرم‌افزار کدگذاری Windows Bitlocker اعتماد کرده‌اید، پس آگاه باشید! چون کسی که به سیستم شما دسترسی فیزیکی دارد می‌تواند به اطلاعات شما دسترسی داشته باشد!
کل کاری که لازم است هکر انجام دهد، فشار دادن همزمان کلید‏های Shift+F10 هنگام ارتقاء ویندوز 10 است. محقق امنیتی Sami Laiho این روش دور زدن Bitlocker را کشف کرده است. وقتی شما در ویندوز 10 در حال نصب یک سیستم عامل جدید هستید هکر می‌تواند با فشار دادن Shift+F10 رابط خط فرمان (Command Line Interface) را با دسترسی‏های سیستمی باز کند. سپس با وجود فعال بودن BitLocker در سیستم قربانی، رابط خط فرمان دسترسی کامل هارد دیسک را به هکر می‌دهد. زیرا در زمان ارتقاء سیستم عامل، Windows PE (Pre-installation Environment) برای نصب ایمیج جدید ویندوز مجبور است BitLocker را غیرفعال کند.
توجه شود که یکی از ویژگی‌های رفع مشکل ویندوز این است که به شما اجازه می‌دهد کلیدهای Shift+F10 را فشار دهید تا رابط خط فرمان برایتان باز شود. متاسفانه این ویژگی با غیرفعال کردن BitLocker، دسترسی به تمام اطلاعات هارد دیسک را در حین ارتقاء ویندوز ممکن می‌سازد .
بنابراین هکر برای سوء‌استفاده نیاز به دسترسی فیزیکی کوتاه مدت به کامپیوتر هدف دارد، پس از آن به راحتی می‌تواند BitLocker را دور زده و دسترسی مدیر (Administrator) پیدا کند. مسئله‏ای که می‌تواند روی ابزارهایی که در حوزه اینترنت اشیاء از ویندوز 10 استفاده می‌کنند تأثیر بگذارد.

چگونه ریسک این خطر را کاهش دهیم؟
به عنوان اقدام‌ متقابل، به کاربران توصیه می‏شود که در حین ارتقاء ویندوز خود آن را رها نکنند. همچنین می‏تواند به کاربران توصیه کرد از ویندوز 10 نسخه LTSB استفاده کنند چون این نسخه از ویندوز 10 به طور خودکار ارتقاء یا بروزرسانی انجام نمی‏دهد.
کاربران ویندوز 10 می‌توانند با استفاده از SCCM (System Center Configuration Manager) دسترسی به رابط خط فرمان در حین ارتقاء ویندوز را مسدود نمایند. برای این کار در پوشه‏ی Setup\Scripts سیستم عامل، یک فایل با نام DisableCMDRequest.tag ایجاد کنند.

به عنوان مدیر یک سیستم مبتنی بر لینوکس باید در نظر داشت که حتی نصب جدیدترین پچ ‏های امنیتی روی توزیع مورد استفاده شما نیز نمی‏تواند مصونیت در برابر آسیب‏ پذیری ‏های موجود را تضمین نماید. لینوکس از مولفه ‏های متعددی تشکیل شده است که هرکدام از آنها می‏توانند مورد حمله قرار گیرند.
اخیرا «کریس ایوانز» محقق امنیتی معروف، نوعی اکسپلویت (کد مخرب) عرضه کرده که بسیار حرفه ‏ای نوشته شده و از روشی غیرمعمول برای سوء‏استفاده از آسیب‏ پذیری حافظه در GStreamer بهره می‏گیرد، اما به هر حال از اهمیت فوق العاده‏ای برخوردار است.
این اکسپلویت می‏تواند دو سیستم حفاظتی رایج در لینوکس را هدف قرار می دهد؛ یکی «تصادفی ‏سازی چیدمان فضای آدرس» یا ASLR و دیگری «محافظت از اجرای داده ‏ها» یا DEP است. همانطور که می‏دانید سیستم ASLR محل بارگذاری کدها درون حافظه را به صورت تصادفی تعیین می‏کند، و همچنین DEP نیز از بارگذاری اکسپلویت روی حافظه جلوگیری می‏نماید. شکل زیر نشان می‏دهد که fedora چطور مجبور می‏شود که از اکسپلویت استفاده بکند.
با این حال اکسپلویت مورد بحث که فقط روی توزیع fedora عمل می‏کند، از کدنویسی خاصی برای تعامل نرم ‏افزاری با مجموعه هدف یعنی چارچوب GStreamer استفاده نکرده و صرفاً با کدهای حرفه ‏ای، این دو سرویس امنیتی را از کار می‏ اندازد. «ایوانز» در این رابطه می‏گوید:
این کار نشان داد تهیه اکسپلویت ‏های بدون اسکریپت هم ممکن است، حتی با وجود اینکه سیستم 64 بیتی ASLR به حفاظت از سیستم بپردازد. با این روش می‏توان عملیات خواندن و نوشتن حافظه را کنترل نموده و حتی مواردی را در وارد حلقه decoder نمود تا به آرامی، اکسپلویت را پیش برده و کنترل کامل را به دست آورد.
گفتنی است ایوانز این اکسپلویت را به شکل فایل FLAC منتشر کرده که روی نسخه fedora 24 کار می‏کند و آسیب‏پذیری GStreamer را اکسپلویت می‏کند و همچنین می‏تواند به مدیا پلیرهای Rhythmbox و Totem نیز حمله کند. البته او می‏گوید نوشتن همین اکسپلویت برای Ubuntu بسیار ساده ‏تر است، همچنین از طریق بازنویسی کامل می‏توان تمامی توزیع های دیگر علاوه بر fedora را نیز هدف قرار داد.
محققانی نظیر ایوانز برای بهبود امنیت لینوکس چنین اکسپلویت‏ هایی را ایجاد می‏کنند. با منتشر کردن چنین اکسپولیت‏ هایی که می‏توانند آسیب‏پذیری‏ های ناشناخته لینوکس را نشان دهند، این امید وجود دارد که عرضه کنندگان لینوکس بجای اینکه برای هر تهدید جدید یک راهکار ارائه دهند بتوانند امنیت لینوکس را به صورت پایه‏ ای بهبود دهند.