شرکت مایکروسافت 63 آسیب‌پذیری که به طور گسترده مورد بهره برداری قرارگرفته‌اند را معرفی کرد. از بین این 63 مورد، 3 مورد آن بحرانی(Critical)، ۵۶ مورد مهم (Important) و ۴ مورد دیگر نیز متوسط (Moderate) رتبه‌بندی شده‌ است. شایان ذکر است که از این بین، 5 مورد آن‌ها آسیب‌پذیری روز صفر اعلام شده است که اطلاعات آن‌ها به شرح زیر ارائه می‌شود:

1. CVE-2023-36025: آسیب‌پذیری دور زدن بررسی‌های امنیتی Windows Defender SmartScreen  ویندوز با شدت 8.8 که در سال ۲۰۲۳ به طور گسترده مورد بهره‌برداری قرار گرفت.
2. CVE-2023-36033: آسیب‌پذیری ارتقاء سطح دسترسی در کتابخانه هسته DWM ویندوز با شدت7.8؛ این آسیب‌پذیری می‌تواند در جهت کسب امتیازهای SYSTEM، توسط مهاجم مورد بهره‌برداری قرار گیرند.
3. CVE-2023-36036: آسیب‌پذیری ارتقاء سطح دسترسی درایور Mini Filter فایل‌های ابری ویندوز با شدت 7.8؛ این آسیب‌پذیری نیز می‌تواند در جهت کسب امتیازهای SYSTEM، توسط مهاجم مورد بهره‌برداری قرار گیرند.
4. CVE-2023-36038: آسیب‌پذیری باشدت 8.2 در ASP.NET Core که مهاجم ازاین طریق می‌تواند منجر به حمله انکار سرویس شود.
5.CVE-2023-36413 : آسیب‌پذیری دور زدن بررسی‌های امنیتی Microsoft Office با شدت 6.5

شایان ذکر است که آسیب‌پذیری با شناسه CVE-2022-44698 و شدت 5.4 در ماه دسامبر توسط ماکروسافت رفع شد، همچنین آسیب‌پذیری باشناسه‌هایCVE-2023-24880  (شدت 5.1) نیز در ماه مارس و CVE-2023-32049  (شدت 8.8 ) در ماه جولای رفع شدند. شرکت مایکروسافت دو آسیب‌پذیری با شناسه‌های CVE-2023-36028 و CVE-2023-36397 را نیز در Protected Extensible Authentication Protocol و Pragmatic General Multicast  رفع کرده است که امکان اجرای کد مخرب از راه دور را برای مهاجم فراهم می‌آورند.
به‌روزرسانی که اخیرأ منتشر شده است شامل یک وصله امنیتی برای آسیب‌پذیری با شناسه CVE-2023-38545  و شدت 9.8  می‌باشد که مربوط به یک نقص امنیتی در curl library است. همچنین یک آسیب‌پذیری افشای اطلاعات با شناسه CVE-2023-36052 و شدت 8.6  در Azure CLI  وجود دارد که مهاجم می‌تواند از طریق دستیابی به فایل‌های log ، رمز عبور و نام کاربری کاربران را بازیابی کند.

منبع خبر:

https://thehackernews.com/2023/11/alert-microsoft-releases-patch-updates.html

یک آسیب‌پذیری با شناسه CVE-2023-40363 و شدت 8.1 در IBM شناسایی شده است که به‌دلیل کنترل نامناسب دسترسی‌ها می‌تواند منجر به تغییر  ورودی‌های ناشناخته شود. به‌دلیل استفاده از تنظیمات نادرست مجوز فایل‌ها، مهاجم احراز هویت شده می‌تواند فایل‌های نصب را تغییر دهد که این مسئله منجر به افزایش سطح دسترسی مهاجم در سیستم قربانی خواهد شد و همچنین بر محرمانگی، یکپارچگی و در دسترس بودن داده‌ها تأثیر می‌گذارد.

محصولات تحت تأثیر
این آسیب‌پذیری محصولات IBM شامل InfoSphere Information Server وInfoSphere Information Server on Cloud نسخه 11.7 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء InfoSphere Information Server و InfoSphere Information Server on Cloud به آخرین نسخه‌های وصله ‌شده اقدام نمایند.

منبع خبر:

[1] https://www.ibm.com/support/pages/node/7070742 

در پی سرقت اطلاعات کاربران، داده‌های ایمیل و توکن‌های احراز هویت آن‌ها توسط مهاجمان، آسیب‌پذیری روز صفر سرویس ایمیل Zimbra، کشف شد. به گفته گروه محققان امنیتی گوگل، بیشتر این حملات پس از ارائه اصلاحات اولیه این نقص برروی سامانه GitHub رخ داد. این نقص امنیتی با شناسه CVE-2023-37580 و شدت 6.1 یک آسیب‌پذیری XSS(reflected cross site scripting) است که خبر آن در ماه جولای ۲۰۲۳ توسط سرویس Zimbra منتشر شد. بهره‌بردرای موفقیت‌آمیز از این نقص می‌تواند منجر به اجرای کد مخرب بر روی مرورگر قربانی شود. 
این امر با فریب قربانی و به سادگی با کلیک کردن برروی یک URL ساختگی انجام می‌شود که درخواست مخرب را به سرور Zimbra ارسال و حمله را بر مرورگر کاربر اجرا می‌کند. محقق گروه امنیتی گوگل که این نقص را کشف و گزارش کرد،  اذعان داشته ‌است: « چند کمپین‌ بهره‌برداری از ماه ژوئن ۲۰۲۳، حداقل دوهفته پیش از ارائه هرتوصیه‌ امنیتی zimbra، کشف شده‌بودند. سه کمپین از چهار کمپین، قبل از انتشار وصله رصد شدند و کمپین چهارم نیز یک ماه پس از انتشار اصلاحات شناسایی شد.»
کمپین اول، ایمیل‌هایی با محتوی URL مخرب را برای کاربران هدف ارسال می‌کرد که هنگامی‌که برروی آن کلیک می‌شد، یک بدافزار سرقت ایمیل را که قبلاً در یک عملیات جاسوسی سایبری به نام EmailThief در فوریه ۲۰۲۳ مشاهده شده بود، ارسال می‌کرد. مجموعه نفوذی کمپین اول، به نام TEMP_HERETIC شناخته شده‌است.

محصولات تحت تأثیر
این نقص امنیتی نسخه‌های قبل از 8.8.15 را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
تیم امنیت گوگل به الگویی اشاره کرد که در آن مهاجمان به طور منظم از آسیب‌پذیری‌های XSS در سرورهای ایمیل بهره‌برداری می‌کنند و ضروری‌است که چنین برنامه‌هایی به طور کامل بررسی و امن‌سازی شوند. کشف حداقل چهار کمپین با بهره‌برداری از آسیب‌پذیری با شناسه CVE-2023-37580 و فعال شدن سه کمپین پس از عمومی شدن این نقص امنیتی، حاکی از اهمیت اعمال وصله امنیتی منتشر شده توسط سازمان‌ها در سرورهای پست الکترونیکی خود می‌باشد 

منبع خبر:

https://thehackernews.com/2023/11/zero-day-flaw-in-zimbra-email-software.html?m=1

در برخی از درایورهای گرافیک Intel چندین آسیب‌پذیری‌ کشف شده است که منجر به افزایش سطح دسترسی مهاجم در سیستم قربانی، انجام حمله انکار سرویس و افشای اطلاعات خواهد شد. در ادامه جزئیات این آسیب‌پذیری‌ها ارائه می‌شود:
•    CVE-2023-29165:
آسیب‌پذیری با شناسه CVE-2023-29165 و شدت 6.7 که به دلیل ناامن بودن مسیر یا مؤلفه درخواست‌ها در درایورهای گرافیکی، امکان اجرای کد با دسترسی بالا را برای مهاجم فراهم می‌آورد.
•    CVE-2023-27305:
آسیب‌پذیری با شناسه CVE-2023-27305 و شدت 6.7 که امکان دسترسی غیرمجاز به فایل‌ها و ارتقاء سطح دسترسی را برای مهاجم فراهم می‌آورد.
•    CVE-2023-25952:
آسیب‌پذیری  با شناسه CVE-2023-25952 و شدت 6.1 که نوشتن خارج از حد مجاز اطلاعات در حافظه با سطح دسترسی بالا را برای مهاجم فراهم می‌کند.
•    CVE-2022-42879:
آسیب‌پذیری با شناسه CVE-2022-42879 و شدت 6.1 که با دسترسی غیرمجاز به حافظه منجر به ایجاد اختلال در امنیت آن می‌شود.
•    CVE-2023-25071:
آسیب‌پذیری با شناسه CVE-2023-25071 و شدت 5.6 که امکان دسترسی غیرمجاز حافظه را برای مهاجم فراهم می‌آورد.
•    CVE-2023-28401:
آسیب‌پذیری با شناسه CVE-2023-28401 و شدت 5.2 که منجر به نوشتن خارج از محدوده در حافظه، دستکاری اطلاعات و ارتقاء سطح دسترسی را برای مهاجم فراهم می‌کند.
•    CVE-2023-28404:
آسیب‌پذیری  با شناسه CVE-2023-28404 و شدت 3.8 که با خواندن خارج از محدوده اطلاعات می‌تواند منجر به دستکاری آن‌ها توسط مهاجم شود.

محصولات تحت تأثیر
آسیب‌پذیری‌های مذکور بر درایورهای  Intel Arc & Iris Xe Graphics - WHQL - Windows نسخه‌های قبل از 31.0.101.4255 تأثیر خواهد گذاشت.

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت درایورهای Intel® Arc™ & Iris® Xe Graphics - WHQL - Windows را به نسخه‌های 31.0.101.4255 یا بالاتر به‌روزرسانی کنند.

منابع خبر:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00864.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27305

دو آسیب‌پذیری در مرورگر Google Chrome شناسایی شده‌اند که مهاجم می‌تواند با اجرای کد از راه دور از آن‌ها بهره‌برداری کند. آسیب‌پذیری اول با شناسه CVE-2023-6112 مربوط به Navigation می‌باشد که مهاجم می‌تواند با استفاده از یک صفحه HTML تقلبی به heap corruption و در نهایت به اجرای کد از راه دور دست یابد. آسیب‌پذیری دوم نیز با شناسه CVE-2023-5997 مربوط به Garbage Collection می‌باشد و امکان استفاده از "Use after free" را از راه دور برای مهاجم فراهم خواهد آورد به نحوی که ممکن است از طریق یک صفحه HTML تقلبی به heap corruption دست یابد. هر دوی این آسیب‌پذیری‌ها با شدت امنیتی بالا ارزیابی شده‌اند. 

 محصولات تحت تأثیر
مرورگر Google Chrom :
•     نسخه 119.0.6045.163 (Android) به قبل
•    نسخه 119.0.6045.159 (Linux) به قبل
•    نسخه 119.0.6045.159 (Mac) به قبل
•    نسخه 119.0.6045.159/.160 (Windows) به قبل

 توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت مرورگر خود را به یکی از نسخه‌های زیر ارتقاء دهند:
•    به‌روزرسانی به نسخه 119.0.6045.163 (Android) یا بالاتر
•    به‌روزرسانی به نسخه 119.0.6045.159 (Linux) یا بالاتر
•    به‌روزرسانی به نسخه 119.0.6045.159 (Mac) یا بالاتر
•    به‌روزرسانی به نسخه 119.0.6045.159/.160 (Windows) یا بالاتر

منابع خبر:

[1]https://www.hkcert.org/security-bulletin/google-chrome-remote-code-execution-vulnerabilities_202311…
[2]https://nvd.nist.gov/vuln/detail/CVE-2023-5997
[3]https://nvd.nist.gov/vuln/detail/CVE-2023-6112

پلاگین وردپرس WP Fastest Cache با بیش از یک میلیون نصب دارای آسیب‌پذیری SQL Injection می‌باشد که به مهاجمان اجازه می‌دهد بدون احراز هویت به محتوای پایگاه داده وب‌سایت دسترسی پیدا کنند. این پلاگین برای caching و افزایش سرعت بارگیری صفحات، بهبود بازدید‌ سایت و بهبود رتبه آن در جستجوی گوگل استفاده می‌شود.
این نقص امنیتی با شناسه CVE-2023-6063 و شدت 8.6 در تابع is_user_admin از کلاس WpFastestCacheCreateCache پلاگین مذکور وجود دارد که با استخراج مقدار$username از کوکی‌ها وضعیت ادمین بودن یک کاربر را چک می‌کند:
 

از آنجایی که ورودی $username تایید اعتبار نشده است، مهاجم می‌تواند مقدار این کوکی را تغییر داده و عبارت SQL اجرا شده توسط پلاگین را دستکاری کند که به دسترسی غیر مجاز به پایگاه داده منجر می‌شود. پایگاه داده وردپرس معمولاً دارای اطلاعات حساسی همچون آدرس IP کاربران، آدرس پست الکترونیکی، کلمات عبور، تنظیمات پلاگین و پوسته و سایر اطلاعات ضروری برای عملکرد وب‌سایت است.
باید توجه داشت که پیچیدگی بهره‌برداری از این آسیب‌پذیری پایین می‌باشد و هکرها به راحتی می‌توانند آن را از سر بگیرند.

محصولات تحت تأثیر
این آسیب‌پذیری تمام نسخه‌های قبل از 1.2.2 این پلاگین را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
این آسیب‌پذیری توسط توسعه دهنده پلاگین WP Fastest Cache در نسخه 1.2.2 برطرف شده است. تمام کاربران پلاگین باید در اسرع وقت به آخرین نسخه به‌روزرسانی نمایند.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/wp-fastest-cache-plugin-bug-exposes-600k-wordpress-s…
[2] https://www.techradar.com/pro/security/this-top-wordpress-plugin-has-a-major-security-flaw-and-ther…
[3]https://www.pluginvulnerabilities.com/2023/11/10/developer-of-wp-fastest-cache-obliquely-discloses-…
[4] https://wpscan.com/blog/unauthenticated-sql-injection-vulnerability-addressed-in-wp-fastest-cache-1…

شرکت VMware از یک آسیب‌پذیری بحرانی وصله نشده در Cloud Director خبر داد که می‌تواند جهت دور زدن فرایند احراز هویت توسط مهاجمان مورد بهره‌برداری قرار گیرد. این آسیب‌پذیری با شناسه CVE-2023-34060 و شدت 9.8 تنها مواردی را تحت تاثیر قرار می‌دهد که از یک نسخه قدیمی به نسخه 10.5 Upgrade شده‌اند.
در نسخه‌های Upgradeشده VMware Cloud Director Appliance 10.5 یک مهاجم با داشتن دسترسی شبکه به دستگاه می‌تواند هنگام احرازهویت در پورت 22 از طریق SSH یا پورت 5480 (appliancemanagement console) محدودیت‌های احراز هویت را دور بزند. این شرکت خدمات مجازی‌سازی عنوان کرد که آسیب‌پذیری مذکور به دلیل استفاده از یک نسخه آسیب‌پذیر sssd در Photon OS (CVE-2023-34060) به وجود آمده است.

توصیه‌های امنیتی
شرکت VMware هنوز این آسیب‌پذیری را برطرف نکرده است اما یک اسکریپت شل در لینک زیر به عنوان یک راهکار امنیتی ارائه داده است:

https://kb.vmware.com/s/article/95534

پیاده‌سازی این راهکار موقت، downtime یا تاثیرات جانبی بر عملکرد Cloud Director نخواهد داشت.

منبع خبر:

[1] https://thehackernews.com/2023/11/urgent-vmware-warns-of-unpatched.html
[2] https://www.cisa.gov/news-events/alerts/2023/11/14/vmware-releases-security-update-cloud-director-a…
[3] https://www.bleepingcomputer.com/news/security/vmware-discloses-critical-vcd-appliance-auth-bypass-…
[4] https://www.securityweek.com/critical-authentication-bypass-flaw-in-vmware-cloud-director-appliance/
[5] https://www.vmware.com/security/advisories/VMSA-2023-0026.html
 

شرکت اینتل یک آسیب‌پذیری با شدت 8.8 در CPUهای مورداستفاده در کامپیوترهای رومیزی، سرور، موبایل و دستگاه‌های embedded را بطرف نمود که شامل آخرین ریزمعماری‌های Alder Lake، Raptor Lake و Sapphire Rapids می‌شود. این آسیب‌پذیری که شناسه CVE-2023-23583 را به خود اختصاص داده به عنوان یک نقص Redundant Prefix Issue معرفی شده است که امکان افزایش سطح دسترسی، دسترسی به اطلاعات حساس و ایجاد حالت منع دسترسی را فراهم می‌کند. اینتل مواردی را شناسایی کرده است که دستورالعملی (REP MOVSB) که توسط یک پیشوند اضافی REX انکد شده است منجر به بروز رفتار غیر قابل پیش‌بینی، کرش یا هنگ کردن سیستم شود و یا در برخی سناریوهای محدود ممکن است امکان افزایش سطح دسترسی از CPL3 به CPL0 را فراهم آورد. به گفته اینتل انتظار بروز این حالت توسط یک نرم‌افزار غیر مخرب کم می‌باشد. انتظار نمی‌رود که پیشوندهای اضافی REX در کدهای تولید شده توسط کامپایلرها نیز وجود داشته باشند. بهره‌برداری از این نقص نیازمند اجرای کد دلخواه می‌باشد. این آسیب‌پذیری به طور همزمان توسط تیم‌های تحقیقاتی مختلف در داخل گوگل کشف شده و نام Reptar به آن اختصاص داده شده است.

توصیه‌های امنیتی
سیستم‌های دارای پردازنده‌های Alder Lake، Raptor Lake و Sapphire Rapids تحت تاثیر این آسیب‌پذیری قرار دارند و در حال حاضر به‌روزرسانی‌های ریزبرنامه را قبل از نوامبر 2023 دریافت کرده‌اند که عملکرد آن‌ها را تحت تاثیر قرار نمی‌دهد و مشکل خاصی ایجاد نمی‌کند. اینتل همچنین به‌روزرسانی‌های ریزبرنامه را برای سایر CPUها منتشر کرده است و کاربران باید BIOS، سیستم‌عامل و درایورهای خود را به‌روزرسانی نمایند. فهرست کامل سیستم‌های تحت تاثیر این آسیب‌پذیری و اقدامات کاهشی در وب‌سایت اینتل در دسترس قرار دارد.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/new-reptar-cpu-flaw-impacts-intel-desktop-and-server…
[2] https://arstechnica.com/security/2023/11/intel-fixes-high-severity-cpu-bug-that-causes-very-strange…
[3] https://www.redpacketsecurity.com/new-reptar-cpu-flaw-impacts-intel-desktop-and-server-systems/
[4] https://www.theregister.com/2023/11/14/intel_outofband_patch/
[6] https://cloud.google.com/blog/products/identity-security/google-researchers-discover-reptar-a-new-c…
[7] https://nvd.nist.gov/vuln/detail/CVE-2023-23583
[8] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23583
[9] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html
[10]https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/adv…

یک آسیب‌پذیری با شناسه CVE-2023-20592 کشف شده است که مهاجم از طریق آن می‌تواند حمله CacheWarp که مبتنی بر نرم‌افزار و از نوع fault injection می‌باشد را انجام داده و از این طریق ماشین‌های مجازی محافظت شده توسط AMD SEV را با هدف قرار دادن memory write ها جهت ارتقاء سطح دسترسی، مورد هدف قرار داده و از راه دور کد مورد نظرش را اجرا کند. این حمله جدید از نقص‌های موجود در تکنولوژی‌های Secure Encrypted Virtualization-Encrypted State (SEV-ES) و Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) بهره‌برداری می‌کند که برای محافظت از hypervisorهای مخرب و کاهش سطح حمله ماشین‌های مجازی طراحی شده‌اند و با رمزنگاری داده ماشین مجازی این کار را انجام می‌دهند. 
CacheWarp یک حمله جدید مبتنی بر نرم‌افزار بر روی AMD SEV-ES و همچنین SEV-SNP می‌باشد. این حمله از امکان بازگردانی cache lineهای تغییر یافته ماشین مجازی مهمان به حالت قبلی (stale) بهره‌برداری می‌کند. بر اساس مطالعات صورت گرفته، یک حمله بر روی RSA در کتابخانه Intel IPP crypto انجام شده که تمام کلیدهای خصوصی بازیابی شده است. همچنین ورود به سرور OpenSSH بدون احراز هویت و افزایش سطح دسترسی به روت با استفاده از باینری sudo انجام شده است.
در حملات موفق، مهاجم می‌تواند به عنوان مثال متغیر استفاده شده برای احراز هویت را به یک نسخه قبلی برگرداند و اطلاعات احراز هویت قبلی را سرقت کند. همچنین بهره‌برداری از CacheWarp به مهاجم اجازه می‌دهد آدرس‌های return را روی stack دستکاری کند.

محصولات تحت تاثیر
آسیب‌پذیری CacheWarp تنها سیستم‌های AMD با پردازنده‌های زیر را که از SEV پشتیبانی می‌کنند تحت تاثیر خود قرار می‌دهد:

•    1st Gen AMD EPYC Processors (SEV and SEV-ES)
•    2nd Gen AMD EPYC Processors (SEV and SEV-ES)
•    3rd Gen AMD EPYC Processors (SEV, SEV-ES, SEV-SNP)

طبق اطلاعات منتشر شده توسط AMD این نقص، پردازنده‌های نسل چهارم Genoa EPYC با ریزمعماری Zen 4 را تحت تاثیر قرار نمی‌دهد.

توصیه‌های امنیتی
به گفته شرکت AMD هیچگونه اقدام کاهشی برای نسل‌های اول یا دوم پردازنده‌های EPYC وجود ندارد زیرا ویژگی‌های SEV و SEV-ES عملکرد محافظت برای حافظه مهمان ماشین مجازی را ندارند در حالیکه ویژگی SEV-SNP نیز در آن‌ها در دسترس نیست. اما این شرکت برای مشتریانی که از پردازنده‌های نسل سوم EPYC شرکت AMD استفاده می‌کنند که ویژگی Encrypted Virtualization-Secure Nested Paging (SEV-SNP)  در آن‌ها فعال است، یک وصله امنیتی برای firmware منتشر کرده است.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/new-cachewarp-amd-cpu-attack-lets-hackers-gain-root-…
[2] https://www.securityweek.com/protected-virtual-machines-exposed-to-new-cachewarp-amd-cpu-attack/
[3] https://www.tomshardware.com/news/amd-cachewarp-vulnerability-afflicts-epyc-server-cpus
[4] https://techxplore.com/news/2023-11-cpu-vulnerability-virtual-machine-environments.html
[5] https://thehackernews.com/2023/11/cachewarp-attack-new-vulnerability-in.html
[6] https://www.theregister.com/2023/11/14/amd_trusted_execution/
[7] https://meterpreter.org/cve-2023-20592-new-vulnerability-affects-amd-cpus/
[8] https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3005.html

اخیرا هکرها با استفاده از notificationهای جعلی 2FA  در Microsoft Authenticator  قصد ورود به حساب‌های کاربری مایکروسافت را داشته‌اند. به همین دلیل Microsoft  Authenticator  به تازگی از ویژگی امنیتی جدید رونمایی کرده که این نوع notification های جعلی را مسدود خواهد کرد. درواقع مایکروسافت یک ویژگی محافظ جدید در برنامه Authenticator معرفی کرده است که برای مسدود کردن اعلان‌هایی که در مرحله ورود به حساب کاربری مشکوک به نظر می‌رسند، به کار گرفته می‌شود. Microsoft Authenticator برنامه‌ای است که احراز هویت چند مرحله‌ای، تکمیل خودکار رمز عبور و ورود به حساب‌های مایکروسافت بدون رمز را فراهم می‌کند. هنگامی که کاربر سعی می‌کند با احراز هویت چند عاملی (MFA) وارد حساب کاربری شود، برنامه Authenticator یک اعلان به دستگاه کاربر ارسال می‌کند تا دسترسی را تأیید یا رد کند.

 Authenticator notification

از طرف دیگر، برنامه یک کد دسترسی موقت برای کاربران ارسال می‌کند تا به صورت دستی وارد حساب خود شوند. هکرها با انجام تعداد زیادی تلاش برای ورود به حساب مورد نظر، اغلب در زمان‌های نامناسب، از ویژگی push notification بهره‌برداری می‌کنند. اگر کاربر درخواستی را تأیید کند، مهاجم به حساب کاربری دسترسی پیدا می‌کند و ممکن است تنظیمات حفاظت از ورود به سیستم را تغییر دهد تا کاربر مجاز را قفل کند. برای امنیت بیشتر، مایکروسافت «تطبیق اعداد» را در ماه مه معرفی کرد، مکانیزمی که در آن کاربر باید شماره نمایش داده شده در صفحه ورود به سیستم را در برنامه Authenticator خود وارد کند تا ورود به سیستم را تأیید کند. برای مبارزه با این فعالیت مخرب، مایکروسافت ویژگی‌های جدیدی را اضافه کرد که جزئیات تلاش‌های ورود به سیستم را بررسی می‌کند.در عوض، کاربران پیامی دریافت می‌کنند که از آن‌ها می‌خواهد برنامه Authenticator را باز کرده و کدی را وارد کنند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/microsoft-authenticator-now-blocks-suspicious-mfa-al…