برنامه مدیر رمزعبور  مشهور KeePass در برابر استخراج رمزعبور اصلی از حافظه برنامه آسیب‌پذیر بوده و به مهاجمانی که دستگاه را به خطر می‌اندازند این امکان را می‌دهد تا رمزعبور را حتی با پایگاه‌داده قفل شده بازیابی کنند. این مشکل توسط یک محقق امنیتی معروف به "vdohney" کشف شد که ابزاری را منتشر نمود که با استفاده از اثبات مفهوم  به مهاجمان اجازه می‌دهد تا رمزعبور اصلی KeePass را از حافظه استخراج کنند. برنامه مدیریت رمزعبور، به کاربران اجازه می‌دهند برای هر حساب آنلاین رمزهای عبور منحصر به فردی ایجاد کنند و اعتبارنامه‌ها را در یک پایگاه‌داده با قابلیت جستجوی آسان ذخیره کنند، بنابراین لازم نیست هر کدام از رمزها را به خاطر بسپارید. با این حال، کاربران برای ایمن سازی مناسب می‌بایست رمزعبور اصلی را که برای باز کردن قفل و دسترسی به اطلاعات کاربری ذخیره شده استفاده می‌شود، به خاطر بسپارند. برای مطالعه بیشتر اینجا کلیک نمایید.
 

Apple وصله های امنیتی اضطراری برای مقابله با 3 آسیب پذیری روز صفر جدید در iOS، macOS، tvOS، watchOS، iPadOS و مرورگر وب Safari 16.5 منتشرکرد. 
سه آسیب پذیری امنیتی دراپل CVE-2023-32409 ، CVE-2023-28204 و CVE-2023-32373 می باشند. آسیب پذیری CVE-2023-32409، یک آسیب پذیری WebKit است که می تواند توسط مهاجم برای خارج شدن از جعبه ایمنی محتوای وب بهره برداری شود که با محدودیت های بهبودیافته مورد بررسی قرار گرفت. آسیب پذیری CVE-2023-28204، یک آسیب پذیری خواندن خارج از محدوده در WebKit است که می تواند برای افشای اطلاعات حساس هنگام پردازش محتوای وب بهره برداری شود که با اعتبارسنجی ورودی مورد بررسی قرار گرفت. آسیب پذیری CVE-2023-32373، بخش ناشناخته ای از WebKit را تحت تاثیر قرار می دهد. دستکاری با یک ورودی ناشناخته، به استفاده از این آسیب پذیری رایگان منجر می شود. ارجاع به حافظه پس از آزاد شدن می تواند باعث از کار افتادن برنامه، استفاده از مقادیر غیرمنتظره یا اجرای کد شود و محرمانگی، یکپارچگی و دسترس پذیری را تحت تاثیر قرار دهد. برای اجرای این آسیب پذیری، قربانی باید نوعی تعامل با کاربر داشته باشد. آسیب پذیری می تواند به اجرای کد مخرب در هنگام بررسی محتوای وب منجر شود که با بهبود مدیریت حافظه برطرف شد. جزئیات مربوط به حملاتی که در آن، آخرین روزهای صفر WebKit مورد سوءاستفاده قرار می گیرند فاش نشده است، زیرا اپل نسبت به اشتراک گذاری جزئیات حملات سخت گیر است.
این آسیب پذیری ها در همه مدل های iPhone 6s،iPhone 7،iPhone SE ، iPad Air2، iPad Mini، iPod Touch، iPhone 8، iPad Pro، iPad Air 3rd، iPad 5th، iPad mini 5th، macOS Big Sur، Apple Watch series4، Apple TV 4K، Apple TV HD تاثیرگذار بوده اند.

به کاربران توصیه می شود که macOS را به نسخه 13.4، 12.6 یا 11.7 و  iOS/iPad OS را به نسخه 16.5 یا 15.7.6 و مرورگر Safari را به نسخه 16.5 و tvOS را به نسخه 16.5 و watchOS را به نسخه 9.5 ارتقا دهند.
همچنین به کاربران توصیه می¬شود که در صورت وجود، از مسیر Setting -> General-> SoftWare Updates->Enable Automatic Updates به روزرسانی خودکار را فعال نمایند.

منابع خبر

دامنه‌های جدید تازه ظهور ZIP و MOV باعث بحث و جدل بین کارشناسان امنیت سایبری شده است. پژوهشگران امنیت سایبری و مدیران فناوری اطلاعات نگرانی‌هایی را درباره امکان استفاده از این دامنه‌ها توسط عوامل تهدید برای حملات فیشینگ و انتقال بدافزار بیان کرده‌اند. به تازگی، گوگل هشت دامنه سطح بالا جدید را معرفی کرده است که می‌توان برای میزبانی وبسایت‌ها و آدرس‌های ایمیل آنها خریداری کرد. دامنه‌های جدید عبارتند از.dad، .esq، .prof، .phd، .nexus، .foo و برای موضوع مقاله ما، دامنه‌های TLD .zip و .mov است. با اینکه دامنه‌های TLD ZIP و MOV از سال 2014 در دسترس بودند، اما تا این ماه تنها برای عمومیت در دسترس شدند و هر کسی می‌تواند یک دامنه مانند Domain.zip  را برای یک وبسایت خریداری کند. با این حال، این دامنه‌ها ممکن است به عنوان دامنه خطرناک درک شوند زیرا این TLDها نیز افزونه‌هایی از فایل‌هایی هستند که به طور معمول در ارسال‌های انجمن‌ها، پیام‌ها و بحث‌های آنلاین به اشتراک می‌گذارند، که حالا توسط برخی از پلتفرم‌ها و برنامه‌های آنلاین به صورت خودکار به آدرس‌های URL تبدیل می‌شوند.  دو نوع فایل رایج ، فایل‌های فشرده ZIP و ویدئوهای MPEG 4 هستند که نام آنها با) .zip فایل فشرده) یا) .mov فایل ویدئو) ختم می‌شود. بنابراین، بسیار معمول است که افراد دستورالعمل‌هایی را که حاوی نام‌های فایل با پسوندهای .zip و .mov هستند، منتشر کنند. اما با تبدیل شدن آنها به TLDها، برخی از پلتفرم‌های پیام‌رسان و وبسایت‌های شبکه اجتماعی نام‌های فایل با پسوندهای .zip و .mov را به صورت خودکار به آدرس‌های URL تبدیل می‌کنند. به عنوان مثال، در توییتر، اگر به شخصی دستورالعمل ارسال کنید تا یک فایل zip را باز کند و به یک فایل MOV دسترسی پیدا کند، نام‌های بی‌خطر فایل به URL تبدیل می‌شوند، همانطور که در زیر نشان داده شده است.
 

شکل 1 توییتر به طور خودکار نام فایل های .zip و .mov را پیوند می‌دهد

وقتی افراد URLها را در دستورالعمل‌ها مشاهده می‌کنند، به طور معمول فکر می‌کنند که از طریق آن URL می‌توانند فایل مرتبط را دانلود کنند و ممکن است بر روی لینک کلیک کنند. با این حال، اگر یک فرد خطرناک دامنه‌ای با پسوند .zip با همان نامی که به آن پیوند داده شده است را در اختیار داشته باشد، ممکن است فردی به اشتباه به آن سایت سر بزند و در یک عملیات کلاهبرداری فیشینگ شرکت کند یا نرم‌افزار مخرب را دانلود کند و فکر کند که این URL ایمن است زیرا از یک منبع قابل اعتماد آمده است.

اگرچه احتمالاً کمتر است که فعالان تهدید هزاران دامنه را ثبت کنند تا چند قربانی را به دام بیندازند، اما تنها کافی است یک کارمند شرکت به اشتباه نرم‌افزار مخرب را نصب کند تا تمام شبکه تحت تأثیر قرار بگیرد. سوء استفاده از این دامنه‌ها صرفاً نظری نیست و شرکت اطلاعات سایبری Silent Push Labs در حال حاضر کشف کرده است که چیزی که به نظر یک صفحه فیشینگ در microsoft-office[.]zip به منظور دزدیدن اطلاعات ورود به حساب Microsoft می‌آید وجود دارد.

شکل 2 دامنه ZIP مورد استفاده برای فیشینگ حساب مایکروسافت

محققان امنیت سایبری همچنین به شروع بازی با دامنه‌ها پرداخته‌اند. بابی راوش در تحقیق خود درباره توسعه پیوندهای فیشینگ قانع‌کننده با استفاده از کاراکترهای یونیکد و جداکننده userinfo (@) در URLها، نتایج جالبی را منتشر کرده است. تحقیقات راوش نشان می‌دهد که چگونه افراد خطرناک می‌توانند URLهای فیشینگ را ایجاد کنند که به نظر می‌رسند URLهای قابل دانلود فایل معتبر در GitHub هستند، اما در واقع هنگام کلیک بر روی آنها، به یک وبسایت با آدرس v1.27.1[.]zip  هدایت می‌شوید، همانطور که در زیر توضیح داده شده است.

https://github.com/kubernetes/kubernetes/archive/refs/tags/@v1.27.1.zip

توسعه‌های اخیر باعث بروز یک بحث بین توسعه‌دهندگان، محققان امنیت و مدیران IT شده است، که برخی از آن‌ها احساس می‌کنند نگرانی‌ها اساسی ندارد و دیگران معتقدند که پسوندهای TLD مربوط به فایل‌های ZIP و MOV به یک محیط آنلاین قبلاً پرخطر، خطر اضافی ایجاد می‌کنند. این نظرات متفاوت می‌توانند ناشی از ارزیابی‌های مختلف از خطرات ممکن در زمینه امنیت سایبری و تأثیر این تغییرات باشند. برخی ممکن است بر این باور باشند که با رعایت شیوه‌های معمول امنیتی، خطرات جدیدی که با اضافه شدن پسوندهای TLD به وجود آمده است، مدیریت شده و کنترل شود. در عین حال، دیگران ممکن است بیشتر به سمت احتیاط و کاهش خطر بیشتر روی‌گردان شوند و توجه بیشتری به این مسئله بپردازند. خطر اشتباه بین نام‌های دامنه و نام‌های فایل جدید نیست. به عنوان مثال، محصولات Command شرکت 3M  از نام دامنه  command.com استفاده می‌کنند، که همچنین یک برنامه مهم در سیستم‌عامل MS DOS و نسخه‌های اولیه ویندوز است. برنامه‌ها راهکارهایی برای کاهش این خطرات دارند (مانند (Google Safe Browsing) و این راهکارها برای پسوندهای TLD مانند .zip هم کاربرد خواهند داشت. همزمان، فضاهای نام‌گذاری جدید فرصت‌های گسترده‌تری برای نام‌گذاری مانند community.zip و url.zip ایجاد می‌کنند. گوگل به جدیت در مقابله با فیشینگ و بدافزار می‌پردازد و گوگل رجیستری دارای مکانیزم‌های موجود برای تعلیق یا حذف دامنه‌های مخرب در تمامی پسوندهای TLD خود، از جمله .zip است. گوگل به پایش استفاده از .zip و سایر پسوندهای TLD متعهد می‌ماند و در صورت ظهور تهدیدات جدید، تدابیر مناسبی را برای حفاظت از کاربران اتخاذ خواهد کرد.
با واقعیت اینکه نیازی به انجام هیچ کار اضافی نسبت به آنچه که از قبل برای محافظت از خود انجام می‌دهید ندارید.
همانطور که همه باید می‌دانند، همیشه ایمن نیست که بر روی لینک‌هایی که افراد ارسال می‌کنند کلیک کنید یا فایل‌ها را از سایت‌هایی که اعتماد ندارید دانلود کنید. مانند هر لینک دیگری، اگر یک لینک با پسوند .zip یا .mov را در یک پیام مشاهده می‌کنید، قبل از کلیک کردن بر روی آن تحقیق کنید. اگر هنوز مطمئن نیستید که لینک ایمن است، بر روی آن کلیک نکنید.
با رعایت این مراحل ساده، تأثیر پسوندهای جدید TLD بسیار کم خواهد بود و خطر شما را به طور قابل توجهی افزایش نمی‌دهد. با این حال، ممکن است مواجهه با این لینک‌ها با گذشت زمان بیشتر شود زیرا بیشتر برنامه‌ها خودکاراً نام‌های فایل‌های ZIP و MOV را به لینک تبدیل می‌کنند، که یک مورد دیگری است که باید در هنگام استفاده از اینترنت مراقب آن باشید.
 مراجع

در نسخه‌های 9.3.1 و 9.4.0 از برنامه تلگرام، یک آسیب‌پذیری وجود دارد که به حملات کنندگان امکان دسترسی به فایل‌ها، میکروفون و یا ضبط ویدیو را از طریق پرچم DYLD_INSERT_LIBRARIES می‌دهد. پرچم DYLD_INSERT_LIBRARIES یک متغیر محیطی در سیستم عامل macOS است که امکان بارگذاری پویای یک کتابخانه پویا (Dylib) مشخص را در یک فرایند فراهم می‌کند. در این مورد، با بهره‌گیری از آسیب‌پذیری، حمله‌کننده می‌تواند از این پرچم استفاده کرده و یک کتابخانه پویا مخرب را در فرآیند تلگرام درج کند، که این عمل امکان دسترسی غیرمجاز به منابع محدود شده مانند فایل‌ها، میکروفون و ضبط ویدیو را فراهم می‌کند. محقق امنیتی گوگل، Dan Revah، آسیب‌پذیری با شناسه CVE-2023-26818 در نسخه macOS تلگرام کشف و گزارش کرده است که امکان دور زدن TCC را می‌دهد. (Transparency, Consent, and Control) TCC مکانیزمی است که دسترسی به برخی مناطق خاص که بعنوان محافظت از حریم خصوصی (privacy-protected) مشخص شده است را مدیریت میکند. در مقاله ای که منتشر شده است با تزریق Dynamic Library) Dylib) امکان دسترسی به دوربین دستگاه بدون نیاز به اجازه کاربر را می‌گیرد و به مدت 3 ثانیه ویدیو ضبط و دخیره می‌کند. نکته‌ای که وجود دارد بدین شرح است که در macOS حتی کاربر RooT هم دسترسی به میکروفن و ضبط تصویر و … را ندارد، مگر اینکه برنامه در طول دسترسی اولیه به برنامه، رضایت مستقیم کاربر را دریافت کرده باشد. (یا بصورت دستی اعمال شود).
مفاهیم پایه: 
برای درک آسیب پذیری و نحوه بهره برداری ، ابتدا مفاهیمی شرح داده شده است.
شفافیت، رضایت و کنترل (TCC):
مکانیزمی در سیستم عامل macOS است که مدیریت دسترسی به بخش‌های خاصی که به عنوان "حفاظت از حریم خصوصی" تعریف شده‌اند را بر عهده دارد. دسترسی به این بخش‌ها توسط جمع آوری رضایت کاربران یا تشخیص نیت کاربر از طریق یک عمل خاص فعال می‌شود.
سطوح دسترسی: 
سطوح دسترسی (Entitlements) مجوزهایی هستند که به یک باینری خاص اعطا می‌شوند تا به امتیازات خاصی دسترسی پیدا کند. به عنوان مثال، برای اجازه دسترسی به میکروفون، باید برنامه با سطوح دسترسی مربوطه امضا شده باشد و در هنگام دسترسی اولیه به میکروفون، از کاربر مجوز دریافت کند.
اجرای امن: (Hardened Runtime) 
 اجرای امن به گفته توسعه‌دهندگان اپل، از تمامی انواع حملاتی مانند درج کد، هجوم به کتابخانه‌های پویا DLL و دستکاری فضای حافظه، جلوگیری می‌کند و جزئی از System Integrity Protection (SIP) است. این به این معناست که مکانیزم اجرای امن (Hardened Runtime)  امنیت را به برنامه‌هایی که به عنوان "محافظت شده" تعریف شده‌اند، اضافه می‌کند. در iOS، برای بارگذاری یک برنامه در App Store، باید با سطوح دسترسی Hardenedجرای امن امضا شود. اما به نظر می‌رسد که این الزام در macOS وجود ندارد.

مراجع

2-    https://nvd.nist.gov/vuln/detail/CVE-2023-26818

محققان شرکت Neodyme سه آسیب‌پذیری متمایز RCE در بازی Counter-Strike: Global Offensive کشف کردند. هر آسیب‌پذیری از طریق یک سرور پایتون مخرب در هنگام اتصال کلاینت به بازی بهره‌برداری می‌شود. با انتشار یک پچ در تاریخ ۲۸ آوریل ۲۰۲۱، تعدادی از آسیب‌پذیری‌های بحرانی در Counter-Strike: Global Offensive برطرف شده است، اما بازی همچنان با ۲۱ میلیون بازیکن ماهانه، عمدتا به دلیل گستردگی حالت‌های بازی موجود در سرورهای جامعه محبوب است.
در دسترس بودن گسترده مود‌های مختلف بازی، سرور‌های اجتماعی و پشتیبانی مودینگ در Counter-Strike: Global Offensive، همراه با تجزیه‌کننده‌های مختلف که داده‌های بالقوه مخرب را مستقیماً از سرور بازی مدیریت می‌کنند، منجر به سطح حمله قابل توجهی می‌شود. پشته شبکه شبیه به TCP در موتور منبع (Source Engine)، که بر پایه UDP است، پیچیدگی‌ها و آسیب‌پذیری‌های ذاتی را داراست که در حملات گذشته بهره‌برداری شده‌اند. اگرچه جوامع تقلب مانند UnknownCheats برای علاقه مندان بازی مزاحمت آور هستند، اما برای پژوهشگران امنیت منابع قابل ارزشی فراهم می‌کنند. این منابع شامل مطالب مفصل مربوط به مهندسی معکوس و ابزارهای تقلب است که در درک پروتکل‌های شبکه به کمک می‌کند. نمادهای اشکال‌زدایی که نام‌های قابل تشخیصی از توابع و ساختارهای کلاس را فراهم می‌کنند، ابزاری مفید برای مهندسی معکوس هستند و به‌طور ناخواسته ممکن است در باینری‌های نهایی یک بازی قرار بگیرند وقتی برنامه‌نویسان فراموش می‌کنند آنها را حذف کنند.

نسخه آوریل ۲۰۱۷ از CS: GO برای macOS به‌طور ناخواسته شامل نمادهای اشکال‌زدایی کامل بود که می‌توانستند از طریق ابزارهایی مانند SteamDB و مخازن قدیمی به‌صورت خودکار شناسایی شوند. با این حال، به نظر می‌رسد که Valve توانایی دریافت نسخه‌های قدیمی‌تر را از طریق SteamCMD غیرفعال کرده است.

تهدیداتی که توسط پژوهشگران امنیت سایبری کشف شده‌اند به شرح زیر است:
آسیب‌پذیری 1: اجرای دستورات دسترسی خاص از طریق سرور
 آسیب‌پذیری 2: دانلود دلخواه فایل به دلیل حذف پسوند فایل
 آسیب‌پذیری 3: نوشتن خودکار یک فایل متنی دلخواه در دایرکتوری بازی
 آسیب‌پذیری 4: استفاده از بررسی‌های امضای غیرفعال شده
تمام چهار باگ در قالب یک زنجیره باگ مورد استفاده قرار می‌گیرند تا وظایف غیرمجاز زیر را انجام دهند:
اجرای دستورات دسترسی خاص در سمت کلاینت 
دانلود یک DLL مخرب به دایرکتوری بازی
جایگزینی فایل gameinfo.txt انجام می‌شود تا DLL مخرب در هنگام راه‌اندازی بازی بارگذاری شود
تخریب client.dll تا حالت ناامن فعال شود
علاوه بر این، پژوهشگران امنیتی (فلیپه و آلن) تأیید کرده‌اند که نمی‌توانند زمانی که برای این پروژه‌ی شکار باگ صرف کرده‌اند را مشخص کنند. با این حال، مقدار قابل توجهی از زمان برای ایجاد یک نمونه پیچیده از) RCE اجرای کد از راه دور) مورد نیاز برنامه پاداش باگ Valve اختصاص داده شد. با اعمال فشار قابل توجه و تهدید به افشای کامل، باگ‌های شناسایی شده در نهایت ترمیم شدند.

مرجع

https://cybersecuritynews.com/counter-strike-zero-day-flaw/
 

بازار بدافزارهای سرقت اطلاعات به‌طور مداوم در حال تحول است. چندین عملیات بدافزار به عنوان سرویس (MaaS)، در حال رقابت با یکدیگر هستند. سازندگان این بدافزارها، آنها را در اختیار مجرمان سایبری قرار می‌دهند. آنها با تبلیغ قابلیت گریز بهتر و افزایش توانایی سرقت داده‌ها، سعی در جلب نظر مجرمان سایبری دارند. بدافزارهای سرقت اطلاعات، بدافزارهای تخصصی هستند که برای سرقت رمزهای عبور حساب، کوکی‌ها، جزئیات کارت اعتباری و داده‌های کیف پول رمزنگاری از دستگاه‌های آلوده استفاده می‌شوند. این اطلاعات در بایگانی‌هایی به نام «log»جمع‌آوری می‌شوند. سپس این logها به عاملان تهدید ارسال می‌شوند. داده‌های دزدیده‌شده برای حملات دیگر استفاده می‌شوند یا در بازارها باقیمت‌های بین 1 تا 150 دلار (بسته به قربانی) فروخته می‌شوند.
شرکت اطلاعاتی امنیت سایبری KELA گزارشی را گردآوری کرده است که در آن افزایش انواع عملیات بدافزار به‌عنوان سرویس ارائه‌شده است که در سه ‌ماهه اول سال 2023 رشد قابل‌توجهی داشته و خطرات مرتبط را برای سازمان‌ها و افراد افزایش می‌دهد. در این گزارش، KELA بر روی دزدهای اطلاعاتی جدید مانند LummaC2, WhiteSnake، Titan و دیگرانی که اخیراً از جرائم سایبری زیرزمینی بیرون آمده‌اند و تا به حال در بین عاملان تهدید محبوبیت پیداکرده‌اند، تمرکز می‌کند.
اگرچه گونه‌های قدیمی‌تر مانند Raccon، RedLine و Vidar همچنان حضور چشمگیری دارند و خانواده‌های جدیدتری مانند Mars، Aurora و Meta همچنان در حال رشد هستند، خانواده‌های بدافزارهای جدید نیز در سال جاری تلاش می‌کنند نامی برای خود دست‌وپا کنند. KELA چهار عملیات سرقت اطلاعات زیر را که طی سال گذشته راه‌اندازی شده است، بررسی می‌کند.
 Titan: اولین بار در نوامبر 2022 در انجمن هکرهای روسی‌زبان ظاهر شد و به‌عنوان یک دزد اطلاعات مبتنی بر Go که داده‌های ذخیره شده در 20 مرورگر وب را هدف قرار می‌دهد، تبلیغ شد. کانال تلگرام آن بیش از 600 مشترک دارد. در 1 مارس 2023، نویسندگان آن نسخه 1.5 را منتشر کردند و در 14 آوریل، پیش‌نمایشی از نسخه آینده نشان دادند.
LummaC2: بیش از 70 مرورگر، کیف پول ارزهای دیجیتال و برنامه‌های افزودنی احراز هویت دو مرحله‌ای را هدف قرار می‌دهد. در ژانویه 2023، این پروژه در تلگرام راه‌اندازی مجدد شد که در حال حاضر بیش از هزار مشترک دارد و از فوریه 2023 برای خرید از طریق فروشگاه RussianMarket ارائه ‌شده است.
Stealc: برای اولین بار توسط SEKOIA در فوریه 2023 تجزیه‌ وتحلیل شد. به قیمت 200 دلار در ماه فروخته می‌شود و محبوبیت آن دائماً در حال افزایش است. قبلاً دیده ‌شده بود که از طریق ویدیوهای YouTube توزیع‌شده است که نرم‌افزارهای کرک شده را تبلیغ می‌کنند.
WhiteSnake: این گونه بدافزار برای اولین بار در فروم‌های هکرها در فوریه 2023 به‌عنوان دزد کیف پول دیجیتال، ایمیل، تلگرام و استیم تبلیغ شد. می‌تواند هر دو سیستم ویندوز و لینوکس را هدف قرار دهد که در این زمینه نادر است. شکل زیر سهم بدافزارهای مختلف از فروشگاه RussianMarket را نشان می‌دهد.

KELA معتقد است که بازار بدافزار به‌عنوان یک سرویس، محبوبیت خود را در سال جاری حفظ خواهد کرد، بنابراین استفاده از دزدهای اطلاعات همچنان قابل‌ توجه خواهد بود.
منابع:

https://ke-la.com/emerging-infostealers-2023-report/ 

برنامه discord کاربران را از یک افشای داده‌ای مطلع کرد. این افشای اطلاعات، پس از نفوذ به حساب کاربری یک عامل پشتیبانی شخص ثالث رخ‌داده است. این نقص امنیتی باعث افشای صف تیکت پشتیبانی شد که شامل آدرس‌های ایمیل کاربران، پیام‌های ردوبدل شده با پشتیبانی Discord و هرگونه پیوست ارسال‌شده به‌عنوان بخشی از تیکت ها بود. این شرکت می‌گوید که بلافاصله با غیرفعال کردن آن به‌محض کشف حادثه، به حساب پشتیبانی مورد رخنه رسیدگی کرده و به کاربران تحت تاثیر ایمیل ارسال شده است. در این ایمیل آمده است: «با توجه به ماهیت حادثه، ممکن است آدرس ایمیل شما، محتویات پیام‌های خدمات مشتری و هر پیوستی که بین شما و دیسکورد ارسال‌شده است، در معرض دید شخص ثالثی قرارگرفته باشد.
به‌محض اینکه دیسکورد از مشکل مطلع شد، حساب در معرض خطر را غیرفعال کرد و بررسی‌های بدافزار را در دستگاه آسیب‌دیده تکمیل کرد. همچنین با شریک خدمات مشتری برای اجرای اقدامات مؤثر برای جلوگیری از حوادث مشابه در آینده همکاری کردیم». اگر تحت تأثیر نقض داده‌ها در Discord قرارگرفته‌اید، مراقب هرگونه فعالیت مشکوک مانند تلاش برای کلاه‌برداری یا حملات فیشینگ باشید. این ایمیل می‌افزاید: «درحالی‌که ما معتقدیم خطر محدود است، توصیه می‌شود که مراقب هرگونه پیام یا فعالیت مشکوک مانند کلاه‌برداری یا تلاش‌های فیشینگ باشید».
Discord یک پلتفرم پیام‌رسانی فوری و رسانه اجتماعی پرکاربرد با 150 میلیون کاربر فعال ماهانه است. علاوه بر این، این شرکت در وب‌سایت خود ادعا می‌کند که این پلتفرم دارای 19 میلیون سرور فعال در هفته است.
منبع:

مایکروسافت به‌روز‌رسانی‌ وصله‌هایی را برای ماه می ۲۰۲۳ برای رفع ۳۸ نقص امنیتی، از جمله یک باگ روز صفر که به گفته‌ی ماکروسافت فعالانه در محیط مورد سو‌استفاده قرار میگیرد، عرضه کرده است. سازمان امنیتی افشای آسیب‌پذیری Trend Micro's Zero Day Initiative (ZDI) گفت که این حجم از آسیب‌پذیری  کمترین میزان از آگوست 2021 تا الان است، اگرچه اشاره کرد که "انتظار می رود این تعداد در ماه های آینده افزایش یابد." از نظر شدت آسیب‌پذیری‌ها ۶ آسیب‌پذیری از این ۳۸ آسیب‌پذیری، بحرانی هستند و ۸ آسیب‌پذیری از این ۳۸ تا احتمال بهره‌برداری بیشتری دارند که مایکروسافت آن‌ها را “Exploitation More Likely” برچسب‌گذاری کرده است. در صدر فهرست این آسیب‌پذیری‌ها، آسیب‌پذیری با شناسه CVE-2023-29336 (امتیازCVSS: 7.8 ) قرار دارد که یک نقص افزایش امتیاز در Win32k است که تحت بهره‌برداری فعال قرار گرفته است. هنوز مشخص نیست که این حملات چقدر گسترده است.
مایکروسافت بیان کرد که “هر مهاجمی که بتواند از این آسیب‌پذیری با موفقیت بهره‌برداری بکند میتواند به امتیاز سیستمی (SYSTEM privileges) دست یابد ” این توسعه باعث شد که امنیت سایبری ایالات متحده آمریکا و آژانس امنیت زیر ساخت (CISA) این آسیب‌پذیری را به لیست آسیب‌پذیری های مورد بهره‌برداری(Known Exploited Vulnerabilities) اضافه کرده‌اند. همچنین دو نقص قابل توجه دیگر وجود دارد که یکی از این آسیب‌پذیری‌ها که به ویندوز OLE تاثیر می‌گذارد، نقص حیاتی در اجرای کد از راه دور است که با شناسه CVE-2023-29325 با امتیاز ۸.۱ شناخته می‌شود که توسط ارسال یک ایمیل مخصوص برای قربانی، می‌توان به آن حمله کرد. مایکروسافت برای کاهش خطر بهره‌برداری به کاربران توصیه می‌کند که پیام‌های ایمیل را در قالب متن ساده(plain text) بخوانند تا در برابر این آسیب‌پذیری در امان بمانند.
دومین آسیب‌پذیری شناخته شده با شناسه CVE-2023-24932 با امتیاز ۶.۷، یک میانبر ویژگی بوت امن (Secure Boot)است که برای محافظت و دفاع از خود توسط BlackLotus UEFI bootkit مسلح شده است. که BlackLotus UEFI bootkit ازآسیب‌پذیری با شناسه  CVE-2022-21894 (با نام Baton Drop) استفاده کرده است که مشکل این آسیب‌پذیری در ژانویه ۲۰۲۲ حل شده بود.
مایکروسافت برای رفع خطر گفت “این آسیب‌پذیری به مهاجم اجازه می‌دهد تا زمانی که Secure Boot فعال است، self-signed کد را در سطح Unified Extensible Firmware Interface (UEFI) اجرا کند ”. این کار در درجه اول توسط عامل تهدید به عنوان مکانیزم پایدار‌سازی و فرار دفاعی استفاده می‌شود. بهره‌برداری موفق بر این متکی است که مهاجم امکان دسترسی فیزیکی یا امتیازات مدیریت محلی در دستگاه مورد نیاز داشته باشد.
شایان ذکر است که راه‌‌حل ارسال شده توسط مایکروسافت برای این مشکل،  به صورت پیش‌فرض غیر‌فعال است و مشتریان باید به صورت دستی ابطال ها را بعد از بروز‌رسانی همه رسانه‌های قابل بوت، اعمال کنند. مایکروسافت هشدار داد، هنگامی که یکی از روش های حل این مشکل در یک دستگاه فعال بشود یعنی ابطال ها اعمال بشود، تا زمانی که از بوت امن استفاده می‌کنید نمی توانید آن دستگاه را برگردانید . حتی بازسازی دیسک نمی‌تواند لغو ها را حذف کند اگر قبلاً اعمال شده باشند. مایکروسافت گفته‌است که برای جلوگیری از خطرات اختلال ناخواسته، در حال اتخاذ یک رویکرد مرحله‌ای است تا به طور کامل مسیر حمله را مسدود کند که انتظار می‌رود این رویکرد تا ۳ ماه اول ۲۰۲۴ ادامه داشته باشد.
شرکت امنیتی سیستم‌افزار Binarly در اوایل ماه مارس اشاره کرد: طرح‌های راه‌اندازی امن مبتنی بر UEFI برای پیکربندی صحیح و/یا کاهش معنی‌دار سطوح حمله آن‌ها بسیار پیچیده هستند.
همانطور که پیداست، حملات بوت لودر به این زودی ها ناپدید نمی‌شوند.
 
 منابع

１-    https://www.zerodayinitiative.com/blog/2023/5/8/the-may-2023-security-update-review
２-    https://thehackernews.com/2023/05/microsofts-may-patch-tuesday-fixes-38.html 
３-    https://msrc.microsoft.com/update-guide/releaseNote/2023-May 

به تازگی شرکت سیسکو بروز رسانی امنیتی را به منظور رفع 9 نقص در سوئیچ های مربوط به کسب و کار های کوچک منتشر کرده است ، بهره برداری از این نقص ها منجر به اجرا کد دلخواه مهاجم بدون احراز هویت می گردد و در شرایطی منجر به انکار سرویس می گردد . 
مهاجمان می توانند با استفاده از ارسال درخواست های مخرب به سمت واسط وب دستگاه ها بدون نیاز به دخالت کاربر کد دلخواه خود را اجرا کنند. طبق اطلاعیه سیسکو بهره برداری از هرکدام شناسه های آسیب پذیری بالا به شناسه های دیگر مربوط نیست و به صورت مستقل امکان بهره برداری از هر کدام از نقص ها وجود خواهد داشت .
چهار مورد از 9 مورد آسیب پذیری کشف شده در دستگاه ها با توجه به شدت خطر 9.8 در دسته بندی بحرانی تقسیم بندی می شوند .

• Cve-2023-20159: آسیب پذیری سرریز stack مربوط به بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود .
• Cve-2023-20160:آسیب پذیری سرریز بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20161:آسیب پذیری سرریز stack  مربوط به بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20189: آسیب پذیری سرریز stack  مربوط به بافر با شدت خطر 9.8 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20024: آسیب پذیری سرریز heap  مربوط به بافر با شدت خطر 8.6 که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20156: آسیب پذیری سرریز heap  مربوط به بافر با شدت خطر 8.6که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20157: آسیب پذیری سرریز heap  مربوط به بافر با شدت خطر 8.6که منجر به اجرا کد دلخواه بدون احراز هویت می شود.
• Cve-2023-20158:آسیب پذیری از نوع انکار سرویس با شدت خطر 8.6
• Cve-2023-20162:آسیب پذیری از نوع انکار سرویس با شدت خطر 7.5

محصولات آسیب پذیر عبارت اند از :

• 250 series smart switches
• 350 series managed switches
• 350x series stackable managed switches
• 550x series stackable managed switches
• Bussiness 250 series smart switches
• Bussiness 350 series managed switches
• Small bussiness 200 series smart switches
• Small bussiness 300 series managed switches
• Small business 500 series stackable managed switches

در مورد نسخه مدل های 

• 250 series smart switches
• 350 series managed switches
• 350x series stackable managed switches
• 550x series stackable managed switches

می بایست نرم افزار دستگاه را به نسخه 2.5.9.16 و در مورد نسخه مدل های

• Bussiness 250 series smart switches
• Bussiness 350 series managed switches

به نسخه نرم افزار 3.3.0.16  بروز رسانی انجام گردد و در مورد سایر مدل ها تا به این لحظه بروز رسانی امنیتی منتشر نشده است و طبق بیانیه سیسکو وصله امنیتی برای آن ها منتشر نخواهد شد .

منابع

https://thehackernews.com/2023/05/critical-flaws-in-cisco-small-business.html

یک باند سایبری با انگیزه مالی که توسط Mandiant با نام «UNC3944» ردیابی شده است، از حملات فیشینگ و تعویض سیم‌کارت برای ربودن حساب‌های مدیریت Microsoft Azure و دسترسی به ماشین‌های مجازی بهره می‌گیرد. از این‌رو، مهاجمان از  Azure Serial Consoleبرای نصب نرم‌افزار مدیریت از راه دور، به منظور پایداری و نیز از افزونه‌های Azure به منظور نظارت مخفیانه، سوءاستفاده می‌کنند Mandiant .گزارش داد که UNC3944 حداقل از ماه می 2022 فعال بوده است و اهداف کمپین آن‌ها، سرقت داده‌ها از سازمان‌های قربانی با استفاده از سرویس رایانش ابری مایکروسافت است. UNC3944 قبلا به ایجاد جعبه ابزار STONESTOP (بارکننده ) و POORTRY (درایور حالت هسته ) برای خاتمه دادن به نرم‌افزار امنیتی منسوب شده‌بود. عوامل تهدید از حساب‌های به سرقت رفته توسعه‌دهنده سخت‌افزار مایکروسافت، برای امضای درایورهای هسته خود استفاده کردند.

یک تاکتیک متداول UNC3944، دسترسی اولیه به حساب سرپرست Azure است که با استفاده از اعتبارنامه‌های سرقت شده به دست آمده در فیشینگ پیام‌کوتاه ، صورت می‌گیرد. در مرحله بعد‌، مهاجمان در هنگام تماس با عاملان میز راهنما ، نقش سرپرست را جعل می‌کنند تا عامل‌ها را فریب دهند که کد تنظیم مجدد چند عاملی را از طریق پیام کوتاه به شماره تلفن هدف ارسال نمایند. با این حال، مهاجمان قبلاً شماره سرپرست را تعویض سیمکارت نموده و شماره را در دستگاه خود بارگیری نموده بودند، بنابراین آن‌ها بدون اینکه قربانی متوجه نفوذ شود، توکن 2FA را دریافت کردند.Mandiant هنوز مشخص نکرده است که چگونه مهاجمان، مرحله تعویض سیم کارت عملیات خود را انجام می‌دهند. با این حال، موارد قبلی نشان داده است که دانستن شماره تلفن هدف و توطئه‌چینی با کارمندان مخابرات، برای تسهیل درگاه‌های شماره غیرقانونی کافی است.
به محض این‌که مهاجمان جایگاه خود را در محیط Azure یک سازمان هدف مستقر کردند، از امتیازات سرپرستی خود برای جمع‌آوری اطلاعات، دستکاری حساب‌های Azure موجود در صورت نیاز یا ایجاد موارد جدید استفاده می‌کنند.

نمودار دسترسی اولیه

در مرحله بعدی حمله، UNC3944 از افزونه‌های Azure برای انجام نظارت و جمع‌آوری اطلاعات، مخفی نمودن عملیات مخرب خود به عنوان کارهای روزانه به ظاهر بی‌ضرر و ترکیب شده با فعالیت عادی، استفاده می‌نماید. افزونه‌های Azure ویژگی‌ها و سرویس‌های «افزودنی» هستند که می‌توانند در ماشین مجازی Azure ادغام شوند تا به گسترش قابلیت‌ها، خودکارسازی وظایف و غیره کمک کنند. از آن‌جایی که این افزونه‌ها در داخل ماشین مجازی اجرا می‌شوند و معمولاً برای اهداف قانونی استفاده می‌شوند، هم مخفی هستند و هم کمتر مورد شک واقع می‌شوند. در این مورد، عامل تهدید، از افزونه‌های تشخیصی تعبیه‌شده Azure مانند "CollectGuestLogs" سوءاستفاده نمود که برای جمع‌آوری فایل‌های ثبت وقایع از نقطه پایانی نقض‌شده بکار گرفته می‌شد. علاوه بر این، Mandiant شواهدی از تلاش عامل تهدید برای سوءاستفاده از افزونه‌های اضافی زیر پیدا کرده است:

افزونه­‌هایی که عامل تهدید سعی در سوء استفاده از آن­‌ها را داشت

در مرحله بعد، UNC3944 از Azure Serial Console برای دسترسی کنسول اجرایی به ماشین‌های مجازی و اجرای دستورات در خط فرمان بر روی پورت سریال استفاده می‌کند. گزارش Mandiant توضیح می‌دهد که: «این روش حمله از این جهت منحصر به فرد بود که از بسیاری از روش‌های تشخیص سنتی استفاده شده در Azure اجتناب می‌نمود و دسترسی اجرایی کامل به ماشین مجازی را برای مهاجم فراهم می‌کرد. Mandiant متوجه شد که "whoami" اولین دستوری است که مزاحمان برای شناسایی کاربر وارد شده فعلی و جمع‌آوری اطلاعات کافی برای بهره‌برداری‌های بعدی اجرا می‌کنند.

استفاده از کنسول سریال Azure برای دسترسی به ماشین مجازی

در مرحله بعد، عوامل تهدید از PowerShell برای افزایش پایداری خود در ماشین مجازی و نصب چندین ابزار مدیریت از راه دور تجاری در دسترس استفاده می‌کنند که در گزارش نامی از آن‌ها ذکر نشده است. در گزارش Mandiant آمده است: «برای حفظ پایداری در ماشین مجازی، مهاجم اغلب چندین ابزار مدیریت از راه دور تجاری در دسترس را از طریق PowerShell به کار می‌برد.» "مزیت استفاده از این ابزارها این است که آن‌ها برنامه‌های کاربردی امضا شده قانونی هستند و دسترسی از راه دور مهاجم را بدون ایجاد هشدار در بسیاری از پلتفرم‌های تشخیص نقطه پایانی فراهم می‌کنند." گام بعدی برای UNC3944 ایجاد یک تونل SSH معکوس به سرور C2 خود، برای حفظ دسترسی مخفیانه و مداوم از طریق یک کانال امن و دور زدن محدودیت‌های شبکه و کنترل‌های امنیتی است. مهاجم، تونل معکوس را با ارسال پورت، پیکربندی می‌کند و اتصال مستقیم به ماشین مجازیAzure را از طریق دسکتاپ از راه دور تسهیل می‌کند. به عنوان مثال، هر اتصال ورودی به پورت 12345 ماشین از راه دور، به پورت میزبان محلی 3389 (درگاه خدمات پروتکل دسکتاپ از راه دور) ارسال می‌شود. در نهایت، مهاجمان از اعتبار یک حساب کاربری در معرض خطر برای ورود به ماشین مجازی Azure در معرض خطر از طریق پوسته معکوس  استفاده می‌کنند و تنها پس از آن، با سرقت داده‌ها در طول مسیر، اقدام به گسترش کنترل خود در محیط نقض شده می‌کنند. حمله ارائه شده توسط Mandiant نشان دهنده درک عمیق UNC3944 از محیط Azure و چگونگی استفاده از ابزارهای داخلی برای فرار از تشخیص است. وقتی این دانش فنی با مهارت‌های مهندسی اجتماعی سطح بالایی که به مهاجمان در انجام تعویض سیم‌کارت کمک می‌کند ترکیب شود، خطر بزرگ‌تر می‌شود. در عین حال، عدم درک فناوری‌های ابری از سوی سازمان‌هایی که اقدامات امنیتی کافی مانند احراز هویت چند عاملی مبتنی بر پیامک را به کار نمی‌گیرند، فرصت‌ها را برای این عوامل تهدید پیچیده ایجاد می‌کند.

منبع خبر

https://www.bleepingcomputer.com/news/security/hackers-use-azure-serial-console-for-stealthy-access…