نرم‌افزار Microsoft Access دارای یک ویژگی به نام "لینک دادن به جداول SQL Server از راه دور" می‌باشد. این ویژگی می‌تواند توسط مهاجمان جهت افشای خودکار توکن‌های NTLM ویندوز به یک سرور تحت کنترل مهاجم سوء‌استفاده شود که این امر از طریق هر پورت TCP مانند پورت 80 قابل انجام است. حمله می‌تواند صرفاً با باز کردن یک فایل با پسوند accdb یا mdb توسط قربانی انجام شود. در واقع هرگونه فایل رایج‌تر آفیس مانند یک فایل rtf نیز در این روش قابل بهره‌برداری است. این تکنیک به مهاجم اجازه می‌دهد اکثر قوانین فایروال در جلوگیری از سرقت اطلاعات NTLM را دور بزند.
NTLM یک پروتکل منسوخ شده تصدیق هویت است که در سال 1993 توسط مایکروسافت منتشر شد که از نوع challenge-response می‌باشد و در آن سرور یک NTLM hash مخفی را که از روی کلمه عبور کاربر مشتق شده است نگه می‌دارد و هر زمان که کاربر بخواهد وارد سیستم شود، سرور یک چالش تصادفی ایجاد کرده و کاربر از کلمه عبور برای محاسبه پاسخ صحیح استفاده می‌کند. رایج‌ترین حملات NTLM به شرح ذیل می‌باشند:
•    حمله بروت فورس از ضعف موجود در تابع هش NTLM استفاده می‌کند تا کلمه عبور اصلی را از هش NTLM ذخیره شده روی سرور بازیابی کند.
•    حمله pass-the-hash از این موضوع که هش NTLM برای دادن پاسخ صحیح به چالش‌ها کافی است بهره‌برداری می‌کند و اینکه از هش به جای خود پسورد استفاده می‌شود را بی فایده می‌سازد.
•    حمله relay نوعی حمله Man in the Middle است در آن مهاجم یک تراکنش handshake را از پیش گرفته و خود را به جای کلاینت و سرور جا می‌زند و پیام‌های آن‌ها را برای یکدیگر ارسال می‌کند تا جایی که تصدیق هویت انجام شود و پس از آن مهاجم ارتباط کلاینت اصلی را قطع کرده و بقیه ارتباط را خودش ادامه می‌دهد.
خوشبختانه می‌توان با بلاک کردن ترافیک outbound در پورت‌های استفاده شده توسط پروتکل NTLM یعنی 445 و 139 حملات فوق را بسیار سخت نمود.
قبل از اینکه توضیح داده شود که چگونه هکرها از این ویژگی بهره‌بردرای می‌کنند، باید توضیح داد که این ویژگی در حالت عادی چگونه کار می‌کند. کاربران به کمک ویژگی linked tables می‌توانند به یک پایگاه داده خارجی مانند Microsoft SQL server متصل شوند. برای فعال‌سازی این ویژگی کاربر می‌تواند مطابق شکل زیر بر روی دکمه ODBC Database در زیر تب External Data کلیک کند. در اینجا از آفیس 2010 استفاده شده است، اما در تمام نسخه‌های آفیس مشابه است.
 

مایکروسافت اکسس یک پیشنهاد می‌دهد که جدول یک بار دانلود شود و نتیجه به عنوان یک جدول محلی استفاده شود. برای استفاده از ویژگی linking و sync شدن با یک پایگاه داده از راه دور، کاربر معمولاً گزینه دوم را به صورت زیر انتخاب می‌کند:
 

سپس کاربر گزینه SQL Server را به عنوان منبع ODBC انتخاب می‌کند:
 

در مرحله بعدی کاربر باید یک روش برای تصدیق هویت با سرور راه دور انتخاب کند که در شکل زیر قابل مشاهده است:

یک کاربر عادی معمولاً از روش تصدیق هویت پشتیبانی شده توسط سرور استفاده می‌کند اما فرض کنید کاربر از ابزارهای تایید هویت (credentials) ویندوز خودش جهت تصدیق هویت استفاده کند. همچنین کاربر معمولاً قسمت پورت را وارد نمی‌کند و از مقدار پیشفرض 1433 استفاده می‌کند؛ اما فرض کنید کاربر یک پورت غیر رایج یعنی 80 را برای این کار وارد کند. در اینجا چیزی مانع نمی‌شود که از پورت 80 برای اتصال به سرور SQL server استفاده کنیم.

با فرض اینکه تصدیق هویت با سرور SQL راه دور موفقیت آمیز باشد و جدول مورد نظر وجود داشته باشد، یک ردیف جدید در لیست جداول در دسترس قرار می‌گیرد که نشان‌دهنده جدول لینک شده است. وقتی که کاربر روی آن کلیک می‌کند، یک اتصال با پایگاه داده راه دور برقرار می‌شود و مایکروسافت اکسس تلاش می‌کند با سرور پایگاه داده تصدیق هویت انجام دهد.
مهاجم می‌تواند سروری را راه‌اندازی کند که کاملاً تحت کنترل وی می‌باشد، سپس در پورت 80، آدرس IP خود را در بالای فیلد server alias قرار دهد. وی می‌تواند فایل دیتابیس شامل linked table را برای قربانی ارسال کند. اگر قربانی فایل را باز کرده و روی جدول کلیک کند، قربانی با سرور مهاجم ارتباط برقرار کرده و سعی می‌کند تصدیق هویت انجام دهد. سرور مهاجم می‌تواند در این لحظه حمله خود را آغاز کند، یعنی یک فرآیند تصدیق هویت را با یک سرور NTLM در داخل سازمان قربانی شروع و یک چالش دریافت کند، سپس آن چالش را به عنوان بخشی از فرآیند تصدیق هویت بین کلاینت قربانی و سرور مهاجم برای قربانی ارسال کند، یک پاسخ معتبر را دریافت کرده و سپس آن پاسخ را برای تصدیق هویت موفق بین سرور مهاجم و سرور سازمان استفاده نماید. به عبارت دیگر تصدیق هویت با استفاده از NTLMSSP در پوشش TDS انجام می‌شود.
در سناریوی فوق راضی کردن قربانی به باز کردن یک فایل اکسس کار ساده‌ای است اما کلیک کردن بر روی پایگاه داده نیز همینطور می‌باشد؟ در اینجا باید گفت که مایکروسافت اکسس از ماکروها پشتیبانی می‌کند و مهاجم می‌تواند یک ماکرو بنویسد که به طور خودکار جدول پایگاه داده لینک شده را باز کند. این کار با تعیین نام ماکرو به AutoExec قابل انجام است که در شکل زیر قابل مشاهده است.

 
 
اما با توجه به آن که مایکروسافت در سال گذشته یک ویژگی امنیتی جدید برای این سناریو معرفی کرد آیا این کار بی فایده است؟ باید پاسخ داد خیر؛ زیرا این ویژگی شامل ماکروهای مایکروسافت اکسس نمی‌شود. این‌ها با VBA کاملاً متفاوت هستند و دارای قابلیت‌های ضعیف‌تری می‌باشند. حتی ویژگی نه چندان موثر “protected view” از سال 2010 که یک نوار زرد رنگ را بالای سند نمایش می‌دهد و حاکی از ناامن بودن سند می‌باشد و از کاربر می‌خواهد ماکروها را فعال کند در اینجا موثر نیست. این pop up وقتی که ماکروهای ساده به طور خودکار اجرا می‌شوند نمایش داده نمی‌شود. مایکروسافت اکسس به عنوان یک سرور OLE linking در ویندوز ثبت شده است. به عنوان مثال یک نفر ممکن است یک فایل عکس را در یک سند Word قرار دهد و وقتی سند باز شد، MS-Paint به آن تصویر رسیدگی می‌کند و اطلاعات را برای نمایش عکس به Word می‌فرستد.
به همین صورت می‌توان یک فایل accdb را داخل یک فایل ورد به صورت یک OLE object قرار داد که به طور خودکار دانلود شود (حتی روی پورت 80 پروتکل TCP) و سپس توسط مایکروسافت اکسس پردازش شود. مانند رشته موجود در تصویر زیر:

توصیه‌ امنیتی
•    استفاده از یک سیستم جلوگیری از نفوذ که دارای “Microsoft Windows NTLM Information Disclosure” می‌باشد.
•    استفاده از آنتی‌ویروس که فایل‌های accdb دارای object های منجر به نشت NTLM را به عنوان ویروس یا تروجان شناسایی می‌کند.
•    غیر فعال کردن ماکروها در مایکروسافت اکسس و یا اگر در سازمان شما از ماکروها استفاده نمی‌شود می‌توانید آن‌ها را از روی سیستم‌ها حذف کنید.
•    باز نکردن فایل‌های پیوست از منابع غیر قابل اعتماد.
در تست‌های انجام شده با کمک Office 2021 (Current Channel, version 2306, build 16529.20182) مشخص گردید که مایکروسافت این مشکل امنیتی را مورد توجه قرار داده است و هشدار زیر به برای کاربر نمایش می‌دهد:
 

حتی در صورت مشاهده پیام خطای فوق نباید بر روی OK یا دکمه X برای بستن پیام کلیک کنید! در صورت مشاهده پیغام خطای فوق باید MSACCESS.EXE را از Windows Task Manager ببندید تا از ادامه بهره‌برداری جلوگیری کنید!

منبع خبر:

https://research.checkpoint.com/2023/abusing-microsoft-access-linked-table-feature-to-perform-ntlm-…

مایکروسافت یک آسیب‌پذیری امنیتی بحرانی را رفع کرده است که می‌تواند به مهاجمان اجازه دهد اعتبارنامه‌ها موجود در logهای GitHub Actions یا Azure DevOps که با استفاده از Azure CLI (مخفف رابط خط فرمان Azure) ایجاد شده‌اند را سرقت کنند. این آسیب‌پذیری با شناسه CVE-2023-36052 توسط پژوهشگر امنیتی شرکت Palo Alto گزارش شد، او کشف کرد که بهره‌برداری موفق از این آسیب‌پذیری به مهاجمان احراز هویت نشده امکان دسترسی از راه دور به محتواهای متن ساده را خواهد داد. مایکروسافت توضیح می‌دهد: "مهاجمی که موفق به بهره‌برداری از این آسیب‌پذیری شود، می‌تواند از فایل‌های log ای که توسط دستورات متأثر از CLI ایجاد شده و توسط Azure DevOps و/یا GitHub Actions منتشر شده‌اند، رمزهای عبور و نام‌کاربری (plaintext) را بازیابی کند."

توصیه‌های امنیتی
مشتریانی که از دستورات متأثر از CLI استفاده می‌کنند، باید نسخه Azure CLI خود را به نسخه 2.53.1 یا بالاتر ارتقاء دهند تا در برابر خطرات این آسیب‌پذیری محافظت شوند. مایکروسافت اعلام کرده است که مشتریانی که اخیراً از دستورات Azure CLI استفاده کرده‌اند از طریق پورتال Azure آگاه شده‌اند. در یک پست وبلاگ از طرف MSRC که امروز منتشر شده است، Redmond به تمام مشتریان توصیه کرده است که به آخرین نسخه Azure CLI (نسخه 2.54) به‌روزرسانی کنند. همچنین توصیه شده است که جهت جلوگیری از افشای اتفاقی اطلاعات مهم در logهای CI/CD، اقدامات زیر را انجام دهند:
1. به‌روزرسانی Azure CLI به آخرین نسخه
2. جلوگیری از افشای خروجی Azure CLI در logها و/یا مکان‌های عمومی قابل دسترس:
   - اگر نیاز به توسعه اسکریپتی است که به مقدار خروجی نیاز دارد، خروجی مورد نیاز برای اسکریپت را فیلتر کنید (راهنمایی‌های Azure CLI در مورد فرمت‌های خروجی را بررسی کنید و راهنمایی‌های توصیه‌شده برای مخفی کردن یک متغیر محیطی را پیاده‌سازی کنید).
3. تغییر مکرر کلیدها:
   - به مشتریان توصیه می‌شود که به طور مرتب کلیدها را تغییر دهند.
4. بررسی بهترین روش‌های امنیتی GitHub برای ایمن‌سازی در GitHub Actions:
   - بهترین روش‌های امنیتی GitHub برای تقویت امنیت در GitHub Actions را بررسی کنید.
5. اطمینان از اینکه مخازن GitHub به حالت خصوصی تنظیم شده‌اند مگر اینکه به صورت عمومی نیاز باشد
6. بررسی راهنمایی برای امنیت Azure Pipelines
مایکروسافت یک پیکربندی پیش‌فرض جدید برای Azure CLI اجرا کرده است تا اقدامات امنیتی را تقویت کرده و مانع افشای تصادفی اطلاعات حساس شود. علاوه بر این، شرکت توانسته است قابلیت پنهان‌کردن اطلاعات اعتبارنامه را در GitHub Actions و Azure Pipelines گسترش دهد تا تعداد الگوهای کلید قابل تشخیص در داخل logهای ساخت (build logs) را افزایش دهد و آن‌ها را مبهم کند.

منابع خبر:

[1] https://learn.microsoft.com/en-us/azure/security/fundamentals/secrets-best-practices 
[2] https://docs.github.com/en/github-ae@latest/actions/security-guides/security-hardening-for-github-a…;
[3] https://learn.microsoft.com/en-us/azure/devops/pipelines/security/overview?view=azure-devops 
[4] https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-critical-azure-cli-flaw-that-leaked…;
[5]https://docs.github.com/en/actions/using-workflows/workflow-commands-for-github-actions#example-mas…

شرکت سایبری Malwarebytes  به تازگی اعلام کرده است که یک کمپین تهاجمی جدید، با کپی کردن اخبار وب‌سایت اصلی «اخبار ویندوز » در یک پورتال با نام «Windows Report»، به دنبال سرقت اطلاعات از طریق ابزار CPU-Z ویندوز می‌‌‌باشد. براساس اطلاعیه صادر شده، سایت اخبار ویندوز با تهدید امنیتی خاصی مواجه نشده است، اما مهاجمان محتوای آن را کپی کردند تا کاربران را فریب دهند و نرم‌افزارهای مخرب دانلود کنند. این نوع وب‌سایت‌‌‌ها اغلب توسط افراد حرفه‌ای و مدیران سیستم‌ها جهت خواندن آخرین بررسی‌های رایانه‌‌‌ای، یادگیری برخی نکات و دانلود ابزارهای نرم‌افزاری مورد بازدید قرار می‌گیرد. براساس تحقیقات، کمپین مهاجم از تبلیغات گوگل برای تبلیغ نسخه آلوده CPU-Z، یک ابزار محبوب ویندوز برای عیب‌یابی، استفاده نموده است تا کاربران را ترغیب به دانلود یک محتوای مخرب بنماید. این محتوا شامل یک نصب‌‌‌کننده MSIX با امضای دیجیتال با یک اسکریپت مخرب PowerShell و یک لودر به نام FakeBat است. برای فرار از شناسایی، مهاجمان از روش‌‌‌های پنهان‌‌‌سازی استفاده کرده‌اند.
شرکت Malwarebytes با اشاره به اینکه قبلاً تبلیغ مخرب دیگری را با استفاده از الگویی مشابه شناسایی کرده است، اعلام نموده که هر کسی که روی تبلیغ کلیک کند و قربانی مورد انتظار نباشد، یک وبلاگ استاندارد با تعدادی مقاله را مشاهده خواهد کرد. اما اگر قربانی واقعی روی پیوند کلیک کند، به دامنه دیگری هدایت می‌‌‌شود که با تقلید از وب سایت Windows Report و نام دامنه تقریباً یکسان، اما نشانی اینترنتی متفاوتی ایجاد شده است. طبق گفته Malwarebytes، چندین دامنه دیگر نیز در همان آدرس IP میزبانی شده و در کمپین‌‌‌های تبلیغات بد استفاده می‌‌‌شود. 

محصولات تحت تاثیر
براساس اعلام Malwarebytes مهاجمان گزینه ایجاد یک سایت فریبنده شبیه اخبار ویندوز را انتخاب کرده-اند، زیرا بسیاری از نرم‌افزارهای کاربردی اغلب از این پورتال‌‌‌ها به جای صفحه وب‌‌‌سایت‌‌‌های رسمی دانلود می‌شوند. کمپین حاضر با سوءاستفاده از اعتماد کاربران حرفه‌‌‌ای ویندوز در مورد اخبار منتشر شده، اقدام به انتشار بدافزارهای مختلف ویندوزی نموده است. گفته می‌شود که این حادثه بخشی از یک کمپین تبلیغاتی بزرگ‌تر است که سایر ابزارهای کاربردی مانند Notepad++، Citrix و VNC Viewer را نیز هدف قرار می‌دهد.
کمپین‌های مشابه قبلاً قربانیان را با ابزارهایی که محتوای وب‌سایت‌های نرم‌افزاری مانند Webex، AnyDesk یا KeePass را تکرار می‌کردند، فریب داده‌‌‌اند. تبلیغات مخرب همچنین می توانند در وب سایت-های شناخته شده و قابل اعتماد ظاهر شوند که قبلاً نمونه‌‌‌هایی از آن‌ها در سایت‌‌‌های نشریات نیویورک تایمز و آتلانتیک مشاهده شده است.

توصیه‌های امنیتی
براساس اعلام شرکت Malwarebytes، دامنه‌های تبلیغاتی نادرست مسدود شده و در خصوص حذف آن‌ها اطلاعات لازم به گوگل داده شده است. اما تکرار حوادث مشابه زنگ خطری برای مدیران شبکه و کاربران ویندوزی است تا از دانلود فایل‌‌‌ها از منابعی بجز وب سایت‌‌‌های اصلی شرکت‌‌‌ها و یا سایت‌‌‌های معتبر اینترنتی، اجتناب نمایند. فعال بودن فایروال و به‌روز بودن آنتی‌ویروس سیستم‌‌‌ها از جمله راه‌‌‌کارهای قابل توصیه برای ارتقاء سطح امنیت کاربران می‌‌‌باشد.

منابع خبر:

[1]https://cybernews.com/security/malvertising-campaign-targets-windows-geeks/?utm_source=signal&utm_m…
[2]https://www.malwarebytes.com/blog/threat-intelligence/2023/11/malvertiser-copies-pc-news-site-to-de…

شبکه موقعیت مکانی "Find My" اپل می‌تواند توسط عوامل مخرب برای انتقال مخفیانه اطلاعات حساس ضبط شده توسط کی‌لاگرهای نصب شده در صفحه کلید مورد بهره‌برداری قرار گیرد. برنامه Find My برای کمک به‌کاربران در یافتن دستگاه‌های گمشده شامل iPhone، iPad، Mac، Apple Watchها، AirPodها و Apple Tags طراحی شده است. این سرویس جهت یافتن دستگاه‌هایی که گم‌شده یا دزدیده شده‌اند، حتی اگر آفلاین باشند، به داده‌های GPS و بلوتوث که از میلیون‌ها دستگاه اپل در سرتاسر جهان تهیه شده است، متکی است. دستگاه‌های گم‌شده سیگنال‌های بلوتوث را در یک حلقه ثابت که توسط دستگاه‌های اپل در نزدیکی شناسایی شده است، ارسال و سپس به‌طور ناشناس موقعیت خود را از طریق شبکه Find My به مالک منتقل می‌کنند. تحلیلگران حتی پیاده‌سازی خود را در GitHub به نام «Send My» منتشر کرده‌اند که دیگران می‌توانند از آن جهت آپلود داده‌های دلخواه در شبکه Find My اپل و بازیابی آن از هر دستگاه دارای اینترنت در هر کجای دنیا استفاده کنند. همانطور که برای اولین‌بار در Heise گزارش شد، محققان یک دستگاه سخت‌افزاری اثبات مفهوم (PoC) را برای نمایش بهتر خطر برای عموم ایجاد کردند. آنها یک کی‌لاگر را با یک فرستنده بلوتوث ESP32 در یک صفحه‌کلید USB ادغام کردند تا نشان‌دهند که امکان انتقال رمز‌های عبور و سایر داده‌های حساس تایپ شده روی صفحه کلید از طریق شبکه Find My و متعاقبا از طریق بلوتوث وجود دارد.

انتقال بلوتوث بسیار مخفی‌تر از کی‌لاگرهای WLAN یا دستگاه‌های Raspberry Pi است که می‌توان آن‌ها را به‌راحتی در محیط‌های محافظت‌شده مشاهده کرد. کی‌لاگر نیازی به استفاده از AirTag یا یک تراشه رسمی پشتیبانی شده ندارد، زیرا دستگاه‌های اپل برای پاسخ به هر پیام بلوتوث تنظیم شده‌اند. اگر آن پیام به‌درستی قالب‌بندی شده باشد، دستگاه اپل دریافت‌کننده یک گزارش موقعیت مکانی ایجاد کرده و آن را در شبکه Find My آپلود می‌کند.
 

فرستنده باید تعداد زیادی کلید‌های رمزگذاری عمومی متفاوت ایجاد کند که چندین AirTag را شبیه‌سازی کرده و با اختصاص بیت‌های خاص در موقعیت‌های از پیش تعیین شده در کلید‌ها، داده‌های دلخواه را در کلید‌ها رمزگذاری کند.

‌به این ترتیب، گزارش‌های چندگانه بازیابی شده از فضای ابری را می‌توان در انتهای دریافت کننده به هم متصل و رمزگشایی کرد تا داده‌های دلخواه، و در این مورد خاص، موارد ضبط شده کی‌لاگر را بازیابی کند. 

منابع خبر:

[1 ]https://www.heise.de/news/Keylogger-keyboard-leaks-passwords-via-Apple-s-Find-My-location-network-9…
[2] https://www.bleepingcomputer.com/news/apple/apple-find-my-network-can-be-abused-to-steal-keylogged-…
 

یک آسیب‌پذیری با شناسه CVE-2023-36563  در WordPad کشف شده است که در صورت دسترسی مهاجم به سیستم کاربر، قادر خواهد بود با اجرای یک برنامه از پیش طراحی شده، هش NTLM که رمز عبور رمزنگاری شده کاربران ویندوز است را دریافت کند و کنترل سیستم را به دست بگیرد. همچنین مهاجم می‌تواند سیستم کاربر محلی را از طریق باز کردن یک فایل مخرب، آلوده کند. درواقع برای بهره‌مندی از این آسیب‌پذیری، مهاجم ابتدا باید به سیستم وارد شود. سپس می‌تواند یک برنامه طراحی شده را اجرا و از این آسیب‌پذیری بهره‌برداری کند، همچنین کنترل سیستم تحت تأثیر را نیز در دست گیرد.

توصیه‌های امنیتی
شرکت مایکروسافت یک توصیه امنیتی برای کاهش اثرات احتمالی این آسیب‌پذیری منتشر کرد. این آسیب‌پذیری مرتبط با Microsoft WordPad بوده و قابلیت بهره‌برداری برای سرقت هش‌های NTLM هنگام باز کردن یک سند در WordPad را دارد. جهت کاهش اثرات احتمالی این آسیب‌پذیری، کاربران می‌توانند اقدامات زیر را انجام دهند:
•    اضافه کردن یک کلید در مسیر زیر:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\OLELinkConversionFromOLESTREAMToIStorage 

با نام Disabled و تنظیم مقدار آن به 0x00000001.
•    افزودن برنامه‌های مورد نظر به لیست استثناء OLE برای تبدیل به لینک.
•    اطمینان از اعمال به‌روزرسانی‌های امنیتی ارائه شده توسط مایکروسافت.

منابع خبر:
https://appcheck-ng.com/cve-2023-36563/
https://www.dillonfrankesecurity.com/posts/cve-2023-36563-wordpad-analysis/
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2023-patch-tuesday-fixes-3-zero-d…
 

یک آسیب‌پذیری با شناسه CVE-2023-41570 در MikroTik RouterOS کشف شده است که منجر به عدم کنترل مناسب دسترسی در Rest API خواهد شد. MikroTik اخیرا یک سرور REST را به عنوان یک API جدید برای مدیریت روتر اضافه کرده است که یک جایگزین مناسب برای API اختصاصی هنگام خودکارسازی RouterOS می‌باشد. RouterOS  (در Mikrotik) یک سیستم‌عامل مبتنی بر لینوکس closed-source برای اجزای شبکه، به ویژه سوئیچ‌ها، روترها و فایروال‌ها است که در میکروتیک (مانند RouterBOARD) استفاده می‌شود و یا می‌توان آن را دانلود و بر روی سایر دستگاه‌ها و ماشین‌های مجازی نصب کرد. رابط‌های مدیریت RouterOS شامل SSH، MAC-Telnet، Winbox (یک ابزار اختصاصی برای ویندوز)، Webfig (یک رابط کاربری وب) و یک API اختصاصی (ISP ها دارای TR-069 هستند) می‌باشد. RouterOS از نسخه v7.1beta4، یک سرور REST نیز دارد. سرور REST به عنوان یک منبع فرعی(sub-resource) از Webfig در  /restراه‌اندازی می‌شود.
RouterOS  از پایگاه‌های اطلاعاتی احراز هویت و مجوز دسترسی کاربر محلی و از راه دور (از طریق RADIUS) پشتیبانی می‌کند. کاربران شامل گروه‌هایی می‌شوند که هر یک دارای مجموعه مجوزهای خاص خود هستند. به طور پیش‌فرض، فقط پایگاه داده محلی استفاده می‌شود و شامل سه گروه است: گروه یک: سطح دسترسی کامل و نامحدود به روتر، گروه دو: با دسترسی تقریبا کامل به جز دسترسی انتقال فایل (به/از خود روتر) و سیاست‌های کاربر(فقط نوشتن) و گروه سه: با دسترسی فقط خواندنی (به‌همراه امتیاز راه اندازی مجدد)؛ همچنین، به طور پیش فرض rest-api  یک مجوز خاص است که به همه گروه‌ها اعطا می‌شود. کاربران ممکن است محدود به ورود به سیستم از آدرس‌های IP یا شبکه‌های خاص باشند.
REST APIs توسط HTTP Basic authentication محافظت می‌شوند. جهت بهره‌برداری از این آسیب‌پذیری باید نام کاربری و رمز عبور معتبر داشت. نام کاربری باید rest-api داشته باشد (که به طور پیش فرض به همه گروه‌ها اختصاص داده می‌شود). در واقع در حالی که سایر رابط‌ها (SSH، Webfig و غیره) بررسی می‌کنند که آیا کاربر مجاز به ورود از طریق آن آدرس IP خاص است یا خیر، این مورد برای سرور REST صادق نیست. کاربران می‌توانند از هر آدرس IP به سرور REST دسترسی داشته باشند، حتی اگر در پایگاه داده کاربران مجاز نباشند.
جهت بهره‌برداری از این آسیب‌پذیری مهاجم باید نام کاربری و رمز عبور معتبر که دارای مجوز rest-api است، داشته باشد (اجازه ورود از طریق آدرس IP مهاجم را ندارد). همچنین فایروال باید از آدرس IP مهاجم اجازه دسترسی به رابط کاربری وب را بدهد. Webfig (واسط کاربری وب) باید فعال باشد: سرور REST بخشی از Webfig است. بطور پیش‌فرض همه گروه‌ها مجوز rest-api را دارند (هر کاربری مجاز است از REST API استفاده کند) و Webfig فعال است. هیچ راهی برای غیرفعال کردن سرور REST وجود ندارد، زیرا در Webfig یکپارچه شده است. معمولاً سرویس‌هایی مانند SSH یا APIهای اختصاصی در منوی «IP» -> «Services» با ورودی مستقل خود قرار دارند. حداقل باید یک پرچم (flag) در Webfig service www وجود داشته باشد تا سرور REST را بتوان به‌صورت انتخابی فعال کرد (خاموش پیش فرض). هنگامی که Webfig  فعال است، نقطه پایانی REST نیز در دسترس است و هر کاربر می‌تواند بدون در نظر گرفتن فیلتر IP پیکربندی شده در پایگاه‌داده کاربر، به آن دسترسی داشته‌ باشد.
گروه‌های کاربری با دسترسی فقط خواندن، دارای مجوزهای خطرناکی مانند sniff (جهت رهگیری ترافیک)، راه‌اندازی مجدد و خواندن اطلاعات حساس، مانند رمزهای عبور Wi-Fi یا کلیدهای IPSec pre-shared  می‌باشند. 

محصولات تحت تأثیر
این آسیب‌پذیری MikroTik RouterOS نسخه 7.1 تا 7.11 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Mikrotik RouterOS به نسخه 7.12 اقدام نمایند. 

منبع خبر:

https://www.enricobassetti.it/2023/11/cve-2023-41570-access-control-vulnerability-in-mikrotik-rest-…;

Guest Entries یک کتابخانه در PHP است که به کاربران این امکان را می‌دهد تا ورودی‌ها را در front-end یک سایت ایجاد، به‌روزرسانی و حذف کنند. یک آسیب‌پذیری در Guest Entries با شناسه CVE-2023-47621 و شدت 8.8 شناسایی شد که به‌دلیل عدم بررسی ویژگی آپلود فایل (file uploads feature)، از بارگذاری فایل‌های PHP جلوگیری نکرده و امکان اجرای کد از راه دور را بر روی سرور برای مهاجم احرازهویت شده فراهم می‌آورد. عدم بررسی ورودی نامعتبر و ناشناخته و جلوگیری از انتشار آن، منجر به آسیب‌پذیری آپلود نامحدود فایل می‌شود و به مهاجم اجازه می دهد تا فایل‌های مخرب را آپلود کند و یا انتقال دهد که می‌توانند به طور خودکار در محصول پردازش شوند. این آسیب‌پذیری محرمانه بودن، یکپارچگی و در دسترس بودن داده‌ها را تحت تأثیر قرار می‌دهد.

محصولات تحت تأثیر
آسیب‌پذیری مذکور، بسته doublethreedigital/guest-entries (Composer) و duncanmcclean/guest-entries (Composer) نسخه قبل از 3.1.2 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Guest Entries به نسخه 3.1.2 اقدام نمایند. 

منبع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2023-47621 

SAP آسیب‌پذیری با شناسه CVE-2023-31403 و شدت 9.6 در محصول SAP Business One (در فرایند نصب (installation) محصول) منتشر کرد. این  آسیب‌پذیری که در 14 نوامبر 2023 منتشر شد، به‌دلیل عدم انجام احراز هویت و عدم بررسی مناسب مجوز برای پوشه‌ به اشتراک گذاشته شده SMB امکان خواندن و نوشتن در این پوشه را برای مهاجم فراهم می‌آورد؛ همچنین فایل‌های موجود در پوشه می‌توانند توسط فرآیند نصب اجرا شوند یا مورد بهره‌برداری قرار گیرند که این امر منجر به تحت تأثیر قرار گرفتن محرمانگی، یکپارچگی و در دسترس بودن داده‌ها می‌شود. این آسیب‌پذیری متأثر از یک تابع ناشناخته از مؤلفه SMB Shared Folder Handler است که دسترسی به یک منبع را از طرف کاربر غیرمجاز محدود نکرده یا به اشتباه آن را محدود می‌کند. SAP Business One یک راه حل ERP واحد و مقرون به صرفه برای مدیریت یک کسب و کار، شامل: حسابداری و امور مالی، خرید، موجودی، فروش، ارتباط با مشتری، گزارش و تجزیه و تحلیل است.

محصولات تحت تأثیر
این آسیب‌پذیری SAP Business One نسخه 10.0 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء SAP Business One به نسخه‌های وصله ‌شده اقدام نمایند. 

منبع خبر:

https://www.sap.com/documents/2022/02/fa865ea4-167e-0010-bca6-c68f7e60039b.html

اهداف تهدیدآمیز از آسیب پذیری روز- صفر در نرم‌افزار مدیریت خدمات SysAid برای دستیابی به سرورهای شرکتی جهت دزدیدن اطلاعات و نصب برنامه‌های آلوده Clop استفاده می‌کنند. SysAid یک راهکار مدیریت خدمات فناوری اطلاعات (ITSM) جامع است که مجموعه‌ای از ابزارها را برای مدیریت خدمات مختلف IT درون یک سازمان فراهم می‌کند. برنامه‌های آلوده Clop به خاطر بهره‌برداری از آسیب‌پذیری‌های روز-صفر در نرم‌افزارهای پرکاربرد شناخته شده‌اند. مثال‌های اخیر شامل MOVEit Transfer، GoAnywhere MFT و Accellion FTA هستند.
این آسیب‌پذیری که در حال حاضر با شناسه CVE-2023-47246 شناخته می‌شود، در تاریخ 2 نوامبر کشف شد، پس از آنکه هکرها از آن بهره‌مند شدند تا به سرورهای SysAid درون محلی نفوذ پیدا کنند. تیم اطلاعات تهدیدی مایکروسافت مسئله امنیتی را که در محیط واقعی بهره‌مند شده بود اکتشاف کرد وبه SysAid  اطلاع داده است. مایکروسافت تعیین کرد که این آسیب‌پذیری برای نصب Clop ransomware توسط یک عامل تهدیدی به نام  Lace Tempest یا Fin11 و TA505 به کار گرفته شده بود.
 جزئیات حمله
شرکت SysAid یک گزارش را منتشر کرد که CVE-2023-47246 را به عنوان یک آسیب‌پذیری راه‌های دسترسی ناشناخته که به اجرای کد غیرمجاز منجر می‌شود، اعلام کرد. 
تهدیدکننده از آسیب‌پذیری روز- صفر استفاده کرد تا یک فایل WAR (Web Application Resource) حاوی یک وب‌شل را به داخل روت سرویس وب SysAid Tomcat آپلود کند.
این اقدام به تهدیدکننده‌ها امکان اجرای اسکریپت‌های PowerShell اضافی و بارگذاری بدافزار GraceWire را فراهم کرد که به یک پردازه معتبر مانند spoolsv.exe ، msiexec.exe ،  svchost.exe تزریق شده بود. با توجه به گزارش که بارگذاری بدافزار ('user.exe') فرآیندهای در حال اجرا را بررسی می‌کند تا اطمینان حاصل شود که محصولات امنیتی Sophos در سیستم دچار نقص نیستند.

شکل 1 بارگذار بدافزار (SysAid)

پس از استخراج داده‌ها، عامل تهدید سعی کرد با استفاده از اسکریپت PowerShell دیگری که گزارش‌های فعالیت را حذف می‌کرد، ردپای آنها را پاک کند. مایکروسافت همچنین متوجه شد که Lace Tempest اسکریپت‌های دیگری را به کار می‌گیرد که شنونده Cobalt Strike را روی میزبان‌های در معرض خطر قرار می‌دهد.

شکل 2 اسکریپت PS برای پاک کردن رد حمله (SysAid)

به‌روز‌رسانی امنیتی در دسترس است، پس از اطلاع از این آسیب‌پذیری، SysAid به سرعت برای توسعه وصله‌ای برای CVE-2023-47246 کار کرد که در به‌روزرسانی نرم‌افزاری موجود است. به همه کاربران SysAid اکیداً توصیه می شود که به نسخه 23.3.36 ارتقا  را انجام دهند.

مدیران سیستم همچنین باید سرورها را برای نشانه‌های نفوذ را با دنبال کردن مراحل زیر چک کنند:

1. بررسی SysAid Tomcat webroot برای یافتن فایل‌های غیرمعمول، به ویژه فایل‌های WAR، ZIP یا JSP با timestampهای ناهنجار.
2. جستجوی فایل‌های WebShell غیرمجاز در SysAid Tomcat service و بازبینی فایل‌های JSP برای محتوای مخرب.
3. بررسی لاگ‌ها برای فرآیندهای فرزند غیرمنتظره از Wrapper.exe که ممکن است نشانگر استفاده از WebShell باشد.
4. چک لاگ‌های PowerShell برای اجراهای اسکریپت که با الگوهای حمله تطابق دارد.
5. نظارت بر فرآیندهای کلیدی مانند spoolsv.exe، msiexec.exe، svchost.exe برای یافتن نشانه‌های درج کد غیرمجاز.
6. استفاده از IOCهای ارائه‌شده برای شناسایی نشانه‌های بهره‌برداری از آسیب‌پذیری.
7. جستجو برای شواهد دستورات خاص حمله که نشانگر تخلف سیستم هستند.
8. اجرای اسکن‌های امنیتی برای شناسایی نشانگان مخرب مرتبط با آسیب‌پذیری.
9. جستجو برای اتصالات به IPهای C2 فهرست‌شده.
10. بررسی نشانه‌های پاک‌سازی توسط حملات برای مخفی‌کردن حضور خود.

گزارش SysAid شاخص‌های تخریبی ارائه داده است که ممکن است به شناسایی یا پیشگیری از نفوذ کمک کند. این شاخص‌ها شامل نام‌ها و هش‌ها، آدرس‌های IP، مسیرهای فایل مورد استفاده در حمله، و دستوراتی که تهدید آکتور برای دانلود مخرب یا حذف اثر دسترسی اولیه استفاده کرده است.

منابع خبر

نقص‌های سرریز بافر در ماژول‌های امنیتی Trusted Platform Module (TPM) توسط گروه Trusted Computing Group (TCG) در مشخصات کتابخانه مرجع TPM 2.0 کشف شده‌اند. این نقص‌ها دو آسیب پذیری سرریز بافر هستند که افراد مخرب می‌توانند از آنها بهره‌مند شده و به داده‌های حساس به صورت فقط خواندنی دسترسی پیدا کنند یا داده‌های معمولاً محافظت‌شده که تنها برای TPM در دسترس است را بازنویسی کنند. فرد خراب‌کاری که به رابط فرمان TPM 2.0 دسترسی پیدا کرده است، می‌تواند از این آسیب‌پذیری بهره‌مند شده و با ارسال دستورات به صورت ویژه‌ای طراحی شده به ماژول، زیان‌هایی را ایجاد کند.
گروه Trusted Computing Group (TCG) یک اطلاعیه امنیتی منتشر کرده است تا  به کاربران برای اعمال به‌روزرسانی‌های امنیتی جهت رفع این آسیب‌پذیری‌ها کمک کند.

آسیب‌پذیری  CVE-2023-1017
این آسیب‌پذیری باشناسه CVE-2023-1017 و شدت آن 7.8 اعلام شده است. این آسیب‌پذیری نوشتن خارج از محدوده  (Out-Of-Bounds Write) در کتابخانه ماژول TPM2.0 وجود دارد که می‌تواند به یک فرد مهاجم اجازه دهد تا داده 2 بایتی را فراتر از انتهای دستور TPM2.0 در رویه CryptParameterDecryption بنویسد.
استفاده موفق از این آسیب‌پذیری می‌تواند منجر به انکار سرویس یا اجرای کد دلخواه شود.
آسیب‌پذیری  CVE-2023-1018
این آسیب‌پذیری باشناسه CVE-2023-1018 و شدت آن 5.5 اعلام شده است. این آسیب‌پذیری خواندن خارج از محدوده (Out-Of-Bounds Read) در کتابخانه ماژول TPM2.0 وجود دارد که می‌تواند به یک فرد مهاجم اجازه دهد تا داده 2 بایتی را فراتر از انتهای دستور TPM2.0 در رویه CryptParameterDecryption بخواند.
استفاده موفق از این آسیب‌پذیری می‌تواند به یک فرد خطرناک اجازه دهد تا داده‌های حساس را بخواند یا به آنها دسترسی پیدا کند.
محصولات تحت تاثیر
برخی از محصولات تحت تأثیر این آسیب‌پذیری‌ها عبارتند از:

•    NetBSD

کاربران این محصولات و فروشندگان باید برای جلوگیری از سوء استفاده از این آسیب‌پذیری‌ها، آن‌ها را به آخرین نسخه‌ها ارتقا دهند.

منبع خبر