در برخی از درایورهای گرافیک Intel چندین آسیب‌پذیری‌ کشف شده است که منجر به افزایش سطح دسترسی مهاجم در سیستم قربانی، انجام حمله انکار سرویس و افشای اطلاعات خواهد شد. در ادامه جزئیات این آسیب‌پذیری‌ها ارائه می‌شود:
•    CVE-2023-29165:
آسیب‌پذیری با شناسه CVE-2023-29165 و شدت 6.7 که به دلیل ناامن بودن مسیر یا مؤلفه درخواست‌ها در درایورهای گرافیکی، امکان اجرای کد با دسترسی بالا را برای مهاجم فراهم می‌آورد.
•    CVE-2023-27305:
آسیب‌پذیری با شناسه CVE-2023-27305 و شدت 6.7 که امکان دسترسی غیرمجاز به فایل‌ها و ارتقاء سطح دسترسی را برای مهاجم فراهم می‌آورد.
•    CVE-2023-25952:
آسیب‌پذیری  با شناسه CVE-2023-25952 و شدت 6.1 که نوشتن خارج از حد مجاز اطلاعات در حافظه با سطح دسترسی بالا را برای مهاجم فراهم می‌کند.
•    CVE-2022-42879:
آسیب‌پذیری با شناسه CVE-2022-42879 و شدت 6.1 که با دسترسی غیرمجاز به حافظه منجر به ایجاد اختلال در امنیت آن می‌شود.
•    CVE-2023-25071:
آسیب‌پذیری با شناسه CVE-2023-25071 و شدت 5.6 که امکان دسترسی غیرمجاز حافظه را برای مهاجم فراهم می‌آورد.
•    CVE-2023-28401:
آسیب‌پذیری با شناسه CVE-2023-28401 و شدت 5.2 که منجر به نوشتن خارج از محدوده در حافظه، دستکاری اطلاعات و ارتقاء سطح دسترسی را برای مهاجم فراهم می‌کند.
•    CVE-2023-28404:
آسیب‌پذیری  با شناسه CVE-2023-28404 و شدت 3.8 که با خواندن خارج از محدوده اطلاعات می‌تواند منجر به دستکاری آن‌ها توسط مهاجم شود.

محصولات تحت تأثیر
آسیب‌پذیری‌های مذکور بر درایورهای  Intel Arc & Iris Xe Graphics - WHQL - Windows نسخه‌های قبل از 31.0.101.4255 تأثیر خواهد گذاشت.

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت درایورهای Intel® Arc™ & Iris® Xe Graphics - WHQL - Windows را به نسخه‌های 31.0.101.4255 یا بالاتر به‌روزرسانی کنند.

منابع خبر:

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00864.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27305

دو آسیب‌پذیری در مرورگر Google Chrome شناسایی شده‌اند که مهاجم می‌تواند با اجرای کد از راه دور از آن‌ها بهره‌برداری کند. آسیب‌پذیری اول با شناسه CVE-2023-6112 مربوط به Navigation می‌باشد که مهاجم می‌تواند با استفاده از یک صفحه HTML تقلبی به heap corruption و در نهایت به اجرای کد از راه دور دست یابد. آسیب‌پذیری دوم نیز با شناسه CVE-2023-5997 مربوط به Garbage Collection می‌باشد و امکان استفاده از "Use after free" را از راه دور برای مهاجم فراهم خواهد آورد به نحوی که ممکن است از طریق یک صفحه HTML تقلبی به heap corruption دست یابد. هر دوی این آسیب‌پذیری‌ها با شدت امنیتی بالا ارزیابی شده‌اند. 

 محصولات تحت تأثیر
مرورگر Google Chrom :
•     نسخه 119.0.6045.163 (Android) به قبل
•    نسخه 119.0.6045.159 (Linux) به قبل
•    نسخه 119.0.6045.159 (Mac) به قبل
•    نسخه 119.0.6045.159/.160 (Windows) به قبل

 توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت مرورگر خود را به یکی از نسخه‌های زیر ارتقاء دهند:
•    به‌روزرسانی به نسخه 119.0.6045.163 (Android) یا بالاتر
•    به‌روزرسانی به نسخه 119.0.6045.159 (Linux) یا بالاتر
•    به‌روزرسانی به نسخه 119.0.6045.159 (Mac) یا بالاتر
•    به‌روزرسانی به نسخه 119.0.6045.159/.160 (Windows) یا بالاتر

منابع خبر:

[1]https://www.hkcert.org/security-bulletin/google-chrome-remote-code-execution-vulnerabilities_202311…
[2]https://nvd.nist.gov/vuln/detail/CVE-2023-5997
[3]https://nvd.nist.gov/vuln/detail/CVE-2023-6112

پلاگین وردپرس WP Fastest Cache با بیش از یک میلیون نصب دارای آسیب‌پذیری SQL Injection می‌باشد که به مهاجمان اجازه می‌دهد بدون احراز هویت به محتوای پایگاه داده وب‌سایت دسترسی پیدا کنند. این پلاگین برای caching و افزایش سرعت بارگیری صفحات، بهبود بازدید‌ سایت و بهبود رتبه آن در جستجوی گوگل استفاده می‌شود.
این نقص امنیتی با شناسه CVE-2023-6063 و شدت 8.6 در تابع is_user_admin از کلاس WpFastestCacheCreateCache پلاگین مذکور وجود دارد که با استخراج مقدار$username از کوکی‌ها وضعیت ادمین بودن یک کاربر را چک می‌کند:
 

از آنجایی که ورودی $username تایید اعتبار نشده است، مهاجم می‌تواند مقدار این کوکی را تغییر داده و عبارت SQL اجرا شده توسط پلاگین را دستکاری کند که به دسترسی غیر مجاز به پایگاه داده منجر می‌شود. پایگاه داده وردپرس معمولاً دارای اطلاعات حساسی همچون آدرس IP کاربران، آدرس پست الکترونیکی، کلمات عبور، تنظیمات پلاگین و پوسته و سایر اطلاعات ضروری برای عملکرد وب‌سایت است.
باید توجه داشت که پیچیدگی بهره‌برداری از این آسیب‌پذیری پایین می‌باشد و هکرها به راحتی می‌توانند آن را از سر بگیرند.

محصولات تحت تأثیر
این آسیب‌پذیری تمام نسخه‌های قبل از 1.2.2 این پلاگین را تحت تاثیر قرار می‌دهد.

توصیه‌های امنیتی
این آسیب‌پذیری توسط توسعه دهنده پلاگین WP Fastest Cache در نسخه 1.2.2 برطرف شده است. تمام کاربران پلاگین باید در اسرع وقت به آخرین نسخه به‌روزرسانی نمایند.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/wp-fastest-cache-plugin-bug-exposes-600k-wordpress-s…
[2] https://www.techradar.com/pro/security/this-top-wordpress-plugin-has-a-major-security-flaw-and-ther…
[3]https://www.pluginvulnerabilities.com/2023/11/10/developer-of-wp-fastest-cache-obliquely-discloses-…
[4] https://wpscan.com/blog/unauthenticated-sql-injection-vulnerability-addressed-in-wp-fastest-cache-1…

شرکت VMware از یک آسیب‌پذیری بحرانی وصله نشده در Cloud Director خبر داد که می‌تواند جهت دور زدن فرایند احراز هویت توسط مهاجمان مورد بهره‌برداری قرار گیرد. این آسیب‌پذیری با شناسه CVE-2023-34060 و شدت 9.8 تنها مواردی را تحت تاثیر قرار می‌دهد که از یک نسخه قدیمی به نسخه 10.5 Upgrade شده‌اند.
در نسخه‌های Upgradeشده VMware Cloud Director Appliance 10.5 یک مهاجم با داشتن دسترسی شبکه به دستگاه می‌تواند هنگام احرازهویت در پورت 22 از طریق SSH یا پورت 5480 (appliancemanagement console) محدودیت‌های احراز هویت را دور بزند. این شرکت خدمات مجازی‌سازی عنوان کرد که آسیب‌پذیری مذکور به دلیل استفاده از یک نسخه آسیب‌پذیر sssd در Photon OS (CVE-2023-34060) به وجود آمده است.

توصیه‌های امنیتی
شرکت VMware هنوز این آسیب‌پذیری را برطرف نکرده است اما یک اسکریپت شل در لینک زیر به عنوان یک راهکار امنیتی ارائه داده است:

https://kb.vmware.com/s/article/95534

پیاده‌سازی این راهکار موقت، downtime یا تاثیرات جانبی بر عملکرد Cloud Director نخواهد داشت.

منبع خبر:

[1] https://thehackernews.com/2023/11/urgent-vmware-warns-of-unpatched.html
[2] https://www.cisa.gov/news-events/alerts/2023/11/14/vmware-releases-security-update-cloud-director-a…
[3] https://www.bleepingcomputer.com/news/security/vmware-discloses-critical-vcd-appliance-auth-bypass-…
[4] https://www.securityweek.com/critical-authentication-bypass-flaw-in-vmware-cloud-director-appliance/
[5] https://www.vmware.com/security/advisories/VMSA-2023-0026.html
 

شرکت اینتل یک آسیب‌پذیری با شدت 8.8 در CPUهای مورداستفاده در کامپیوترهای رومیزی، سرور، موبایل و دستگاه‌های embedded را بطرف نمود که شامل آخرین ریزمعماری‌های Alder Lake، Raptor Lake و Sapphire Rapids می‌شود. این آسیب‌پذیری که شناسه CVE-2023-23583 را به خود اختصاص داده به عنوان یک نقص Redundant Prefix Issue معرفی شده است که امکان افزایش سطح دسترسی، دسترسی به اطلاعات حساس و ایجاد حالت منع دسترسی را فراهم می‌کند. اینتل مواردی را شناسایی کرده است که دستورالعملی (REP MOVSB) که توسط یک پیشوند اضافی REX انکد شده است منجر به بروز رفتار غیر قابل پیش‌بینی، کرش یا هنگ کردن سیستم شود و یا در برخی سناریوهای محدود ممکن است امکان افزایش سطح دسترسی از CPL3 به CPL0 را فراهم آورد. به گفته اینتل انتظار بروز این حالت توسط یک نرم‌افزار غیر مخرب کم می‌باشد. انتظار نمی‌رود که پیشوندهای اضافی REX در کدهای تولید شده توسط کامپایلرها نیز وجود داشته باشند. بهره‌برداری از این نقص نیازمند اجرای کد دلخواه می‌باشد. این آسیب‌پذیری به طور همزمان توسط تیم‌های تحقیقاتی مختلف در داخل گوگل کشف شده و نام Reptar به آن اختصاص داده شده است.

توصیه‌های امنیتی
سیستم‌های دارای پردازنده‌های Alder Lake، Raptor Lake و Sapphire Rapids تحت تاثیر این آسیب‌پذیری قرار دارند و در حال حاضر به‌روزرسانی‌های ریزبرنامه را قبل از نوامبر 2023 دریافت کرده‌اند که عملکرد آن‌ها را تحت تاثیر قرار نمی‌دهد و مشکل خاصی ایجاد نمی‌کند. اینتل همچنین به‌روزرسانی‌های ریزبرنامه را برای سایر CPUها منتشر کرده است و کاربران باید BIOS، سیستم‌عامل و درایورهای خود را به‌روزرسانی نمایند. فهرست کامل سیستم‌های تحت تاثیر این آسیب‌پذیری و اقدامات کاهشی در وب‌سایت اینتل در دسترس قرار دارد.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/new-reptar-cpu-flaw-impacts-intel-desktop-and-server…
[2] https://arstechnica.com/security/2023/11/intel-fixes-high-severity-cpu-bug-that-causes-very-strange…
[3] https://www.redpacketsecurity.com/new-reptar-cpu-flaw-impacts-intel-desktop-and-server-systems/
[4] https://www.theregister.com/2023/11/14/intel_outofband_patch/
[6] https://cloud.google.com/blog/products/identity-security/google-researchers-discover-reptar-a-new-c…
[7] https://nvd.nist.gov/vuln/detail/CVE-2023-23583
[8] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-23583
[9] https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00950.html
[10]https://www.intel.com/content/www/us/en/developer/articles/technical/software-security-guidance/adv…

یک آسیب‌پذیری با شناسه CVE-2023-20592 کشف شده است که مهاجم از طریق آن می‌تواند حمله CacheWarp که مبتنی بر نرم‌افزار و از نوع fault injection می‌باشد را انجام داده و از این طریق ماشین‌های مجازی محافظت شده توسط AMD SEV را با هدف قرار دادن memory write ها جهت ارتقاء سطح دسترسی، مورد هدف قرار داده و از راه دور کد مورد نظرش را اجرا کند. این حمله جدید از نقص‌های موجود در تکنولوژی‌های Secure Encrypted Virtualization-Encrypted State (SEV-ES) و Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) بهره‌برداری می‌کند که برای محافظت از hypervisorهای مخرب و کاهش سطح حمله ماشین‌های مجازی طراحی شده‌اند و با رمزنگاری داده ماشین مجازی این کار را انجام می‌دهند. 
CacheWarp یک حمله جدید مبتنی بر نرم‌افزار بر روی AMD SEV-ES و همچنین SEV-SNP می‌باشد. این حمله از امکان بازگردانی cache lineهای تغییر یافته ماشین مجازی مهمان به حالت قبلی (stale) بهره‌برداری می‌کند. بر اساس مطالعات صورت گرفته، یک حمله بر روی RSA در کتابخانه Intel IPP crypto انجام شده که تمام کلیدهای خصوصی بازیابی شده است. همچنین ورود به سرور OpenSSH بدون احراز هویت و افزایش سطح دسترسی به روت با استفاده از باینری sudo انجام شده است.
در حملات موفق، مهاجم می‌تواند به عنوان مثال متغیر استفاده شده برای احراز هویت را به یک نسخه قبلی برگرداند و اطلاعات احراز هویت قبلی را سرقت کند. همچنین بهره‌برداری از CacheWarp به مهاجم اجازه می‌دهد آدرس‌های return را روی stack دستکاری کند.

محصولات تحت تاثیر
آسیب‌پذیری CacheWarp تنها سیستم‌های AMD با پردازنده‌های زیر را که از SEV پشتیبانی می‌کنند تحت تاثیر خود قرار می‌دهد:

•    1st Gen AMD EPYC Processors (SEV and SEV-ES)
•    2nd Gen AMD EPYC Processors (SEV and SEV-ES)
•    3rd Gen AMD EPYC Processors (SEV, SEV-ES, SEV-SNP)

طبق اطلاعات منتشر شده توسط AMD این نقص، پردازنده‌های نسل چهارم Genoa EPYC با ریزمعماری Zen 4 را تحت تاثیر قرار نمی‌دهد.

توصیه‌های امنیتی
به گفته شرکت AMD هیچگونه اقدام کاهشی برای نسل‌های اول یا دوم پردازنده‌های EPYC وجود ندارد زیرا ویژگی‌های SEV و SEV-ES عملکرد محافظت برای حافظه مهمان ماشین مجازی را ندارند در حالیکه ویژگی SEV-SNP نیز در آن‌ها در دسترس نیست. اما این شرکت برای مشتریانی که از پردازنده‌های نسل سوم EPYC شرکت AMD استفاده می‌کنند که ویژگی Encrypted Virtualization-Secure Nested Paging (SEV-SNP)  در آن‌ها فعال است، یک وصله امنیتی برای firmware منتشر کرده است.

منابع خبر:

[1] https://www.bleepingcomputer.com/news/security/new-cachewarp-amd-cpu-attack-lets-hackers-gain-root-…
[2] https://www.securityweek.com/protected-virtual-machines-exposed-to-new-cachewarp-amd-cpu-attack/
[3] https://www.tomshardware.com/news/amd-cachewarp-vulnerability-afflicts-epyc-server-cpus
[4] https://techxplore.com/news/2023-11-cpu-vulnerability-virtual-machine-environments.html
[5] https://thehackernews.com/2023/11/cachewarp-attack-new-vulnerability-in.html
[6] https://www.theregister.com/2023/11/14/amd_trusted_execution/
[7] https://meterpreter.org/cve-2023-20592-new-vulnerability-affects-amd-cpus/
[8] https://www.amd.com/en/resources/product-security/bulletin/amd-sb-3005.html

اخیرا هکرها با استفاده از notificationهای جعلی 2FA  در Microsoft Authenticator  قصد ورود به حساب‌های کاربری مایکروسافت را داشته‌اند. به همین دلیل Microsoft  Authenticator  به تازگی از ویژگی امنیتی جدید رونمایی کرده که این نوع notification های جعلی را مسدود خواهد کرد. درواقع مایکروسافت یک ویژگی محافظ جدید در برنامه Authenticator معرفی کرده است که برای مسدود کردن اعلان‌هایی که در مرحله ورود به حساب کاربری مشکوک به نظر می‌رسند، به کار گرفته می‌شود. Microsoft Authenticator برنامه‌ای است که احراز هویت چند مرحله‌ای، تکمیل خودکار رمز عبور و ورود به حساب‌های مایکروسافت بدون رمز را فراهم می‌کند. هنگامی که کاربر سعی می‌کند با احراز هویت چند عاملی (MFA) وارد حساب کاربری شود، برنامه Authenticator یک اعلان به دستگاه کاربر ارسال می‌کند تا دسترسی را تأیید یا رد کند.

 Authenticator notification

از طرف دیگر، برنامه یک کد دسترسی موقت برای کاربران ارسال می‌کند تا به صورت دستی وارد حساب خود شوند. هکرها با انجام تعداد زیادی تلاش برای ورود به حساب مورد نظر، اغلب در زمان‌های نامناسب، از ویژگی push notification بهره‌برداری می‌کنند. اگر کاربر درخواستی را تأیید کند، مهاجم به حساب کاربری دسترسی پیدا می‌کند و ممکن است تنظیمات حفاظت از ورود به سیستم را تغییر دهد تا کاربر مجاز را قفل کند. برای امنیت بیشتر، مایکروسافت «تطبیق اعداد» را در ماه مه معرفی کرد، مکانیزمی که در آن کاربر باید شماره نمایش داده شده در صفحه ورود به سیستم را در برنامه Authenticator خود وارد کند تا ورود به سیستم را تأیید کند. برای مبارزه با این فعالیت مخرب، مایکروسافت ویژگی‌های جدیدی را اضافه کرد که جزئیات تلاش‌های ورود به سیستم را بررسی می‌کند.در عوض، کاربران پیامی دریافت می‌کنند که از آن‌ها می‌خواهد برنامه Authenticator را باز کرده و کدی را وارد کنند.

منبع خبر:

https://www.bleepingcomputer.com/news/security/microsoft-authenticator-now-blocks-suspicious-mfa-al…

نرم‌افزار Microsoft Access دارای یک ویژگی به نام "لینک دادن به جداول SQL Server از راه دور" می‌باشد. این ویژگی می‌تواند توسط مهاجمان جهت افشای خودکار توکن‌های NTLM ویندوز به یک سرور تحت کنترل مهاجم سوء‌استفاده شود که این امر از طریق هر پورت TCP مانند پورت 80 قابل انجام است. حمله می‌تواند صرفاً با باز کردن یک فایل با پسوند accdb یا mdb توسط قربانی انجام شود. در واقع هرگونه فایل رایج‌تر آفیس مانند یک فایل rtf نیز در این روش قابل بهره‌برداری است. این تکنیک به مهاجم اجازه می‌دهد اکثر قوانین فایروال در جلوگیری از سرقت اطلاعات NTLM را دور بزند.
NTLM یک پروتکل منسوخ شده تصدیق هویت است که در سال 1993 توسط مایکروسافت منتشر شد که از نوع challenge-response می‌باشد و در آن سرور یک NTLM hash مخفی را که از روی کلمه عبور کاربر مشتق شده است نگه می‌دارد و هر زمان که کاربر بخواهد وارد سیستم شود، سرور یک چالش تصادفی ایجاد کرده و کاربر از کلمه عبور برای محاسبه پاسخ صحیح استفاده می‌کند. رایج‌ترین حملات NTLM به شرح ذیل می‌باشند:
•    حمله بروت فورس از ضعف موجود در تابع هش NTLM استفاده می‌کند تا کلمه عبور اصلی را از هش NTLM ذخیره شده روی سرور بازیابی کند.
•    حمله pass-the-hash از این موضوع که هش NTLM برای دادن پاسخ صحیح به چالش‌ها کافی است بهره‌برداری می‌کند و اینکه از هش به جای خود پسورد استفاده می‌شود را بی فایده می‌سازد.
•    حمله relay نوعی حمله Man in the Middle است در آن مهاجم یک تراکنش handshake را از پیش گرفته و خود را به جای کلاینت و سرور جا می‌زند و پیام‌های آن‌ها را برای یکدیگر ارسال می‌کند تا جایی که تصدیق هویت انجام شود و پس از آن مهاجم ارتباط کلاینت اصلی را قطع کرده و بقیه ارتباط را خودش ادامه می‌دهد.
خوشبختانه می‌توان با بلاک کردن ترافیک outbound در پورت‌های استفاده شده توسط پروتکل NTLM یعنی 445 و 139 حملات فوق را بسیار سخت نمود.
قبل از اینکه توضیح داده شود که چگونه هکرها از این ویژگی بهره‌بردرای می‌کنند، باید توضیح داد که این ویژگی در حالت عادی چگونه کار می‌کند. کاربران به کمک ویژگی linked tables می‌توانند به یک پایگاه داده خارجی مانند Microsoft SQL server متصل شوند. برای فعال‌سازی این ویژگی کاربر می‌تواند مطابق شکل زیر بر روی دکمه ODBC Database در زیر تب External Data کلیک کند. در اینجا از آفیس 2010 استفاده شده است، اما در تمام نسخه‌های آفیس مشابه است.
 

مایکروسافت اکسس یک پیشنهاد می‌دهد که جدول یک بار دانلود شود و نتیجه به عنوان یک جدول محلی استفاده شود. برای استفاده از ویژگی linking و sync شدن با یک پایگاه داده از راه دور، کاربر معمولاً گزینه دوم را به صورت زیر انتخاب می‌کند:
 

سپس کاربر گزینه SQL Server را به عنوان منبع ODBC انتخاب می‌کند:
 

در مرحله بعدی کاربر باید یک روش برای تصدیق هویت با سرور راه دور انتخاب کند که در شکل زیر قابل مشاهده است:

یک کاربر عادی معمولاً از روش تصدیق هویت پشتیبانی شده توسط سرور استفاده می‌کند اما فرض کنید کاربر از ابزارهای تایید هویت (credentials) ویندوز خودش جهت تصدیق هویت استفاده کند. همچنین کاربر معمولاً قسمت پورت را وارد نمی‌کند و از مقدار پیشفرض 1433 استفاده می‌کند؛ اما فرض کنید کاربر یک پورت غیر رایج یعنی 80 را برای این کار وارد کند. در اینجا چیزی مانع نمی‌شود که از پورت 80 برای اتصال به سرور SQL server استفاده کنیم.

با فرض اینکه تصدیق هویت با سرور SQL راه دور موفقیت آمیز باشد و جدول مورد نظر وجود داشته باشد، یک ردیف جدید در لیست جداول در دسترس قرار می‌گیرد که نشان‌دهنده جدول لینک شده است. وقتی که کاربر روی آن کلیک می‌کند، یک اتصال با پایگاه داده راه دور برقرار می‌شود و مایکروسافت اکسس تلاش می‌کند با سرور پایگاه داده تصدیق هویت انجام دهد.
مهاجم می‌تواند سروری را راه‌اندازی کند که کاملاً تحت کنترل وی می‌باشد، سپس در پورت 80، آدرس IP خود را در بالای فیلد server alias قرار دهد. وی می‌تواند فایل دیتابیس شامل linked table را برای قربانی ارسال کند. اگر قربانی فایل را باز کرده و روی جدول کلیک کند، قربانی با سرور مهاجم ارتباط برقرار کرده و سعی می‌کند تصدیق هویت انجام دهد. سرور مهاجم می‌تواند در این لحظه حمله خود را آغاز کند، یعنی یک فرآیند تصدیق هویت را با یک سرور NTLM در داخل سازمان قربانی شروع و یک چالش دریافت کند، سپس آن چالش را به عنوان بخشی از فرآیند تصدیق هویت بین کلاینت قربانی و سرور مهاجم برای قربانی ارسال کند، یک پاسخ معتبر را دریافت کرده و سپس آن پاسخ را برای تصدیق هویت موفق بین سرور مهاجم و سرور سازمان استفاده نماید. به عبارت دیگر تصدیق هویت با استفاده از NTLMSSP در پوشش TDS انجام می‌شود.
در سناریوی فوق راضی کردن قربانی به باز کردن یک فایل اکسس کار ساده‌ای است اما کلیک کردن بر روی پایگاه داده نیز همینطور می‌باشد؟ در اینجا باید گفت که مایکروسافت اکسس از ماکروها پشتیبانی می‌کند و مهاجم می‌تواند یک ماکرو بنویسد که به طور خودکار جدول پایگاه داده لینک شده را باز کند. این کار با تعیین نام ماکرو به AutoExec قابل انجام است که در شکل زیر قابل مشاهده است.

 
 
اما با توجه به آن که مایکروسافت در سال گذشته یک ویژگی امنیتی جدید برای این سناریو معرفی کرد آیا این کار بی فایده است؟ باید پاسخ داد خیر؛ زیرا این ویژگی شامل ماکروهای مایکروسافت اکسس نمی‌شود. این‌ها با VBA کاملاً متفاوت هستند و دارای قابلیت‌های ضعیف‌تری می‌باشند. حتی ویژگی نه چندان موثر “protected view” از سال 2010 که یک نوار زرد رنگ را بالای سند نمایش می‌دهد و حاکی از ناامن بودن سند می‌باشد و از کاربر می‌خواهد ماکروها را فعال کند در اینجا موثر نیست. این pop up وقتی که ماکروهای ساده به طور خودکار اجرا می‌شوند نمایش داده نمی‌شود. مایکروسافت اکسس به عنوان یک سرور OLE linking در ویندوز ثبت شده است. به عنوان مثال یک نفر ممکن است یک فایل عکس را در یک سند Word قرار دهد و وقتی سند باز شد، MS-Paint به آن تصویر رسیدگی می‌کند و اطلاعات را برای نمایش عکس به Word می‌فرستد.
به همین صورت می‌توان یک فایل accdb را داخل یک فایل ورد به صورت یک OLE object قرار داد که به طور خودکار دانلود شود (حتی روی پورت 80 پروتکل TCP) و سپس توسط مایکروسافت اکسس پردازش شود. مانند رشته موجود در تصویر زیر:

توصیه‌ امنیتی
•    استفاده از یک سیستم جلوگیری از نفوذ که دارای “Microsoft Windows NTLM Information Disclosure” می‌باشد.
•    استفاده از آنتی‌ویروس که فایل‌های accdb دارای object های منجر به نشت NTLM را به عنوان ویروس یا تروجان شناسایی می‌کند.
•    غیر فعال کردن ماکروها در مایکروسافت اکسس و یا اگر در سازمان شما از ماکروها استفاده نمی‌شود می‌توانید آن‌ها را از روی سیستم‌ها حذف کنید.
•    باز نکردن فایل‌های پیوست از منابع غیر قابل اعتماد.
در تست‌های انجام شده با کمک Office 2021 (Current Channel, version 2306, build 16529.20182) مشخص گردید که مایکروسافت این مشکل امنیتی را مورد توجه قرار داده است و هشدار زیر به برای کاربر نمایش می‌دهد:
 

حتی در صورت مشاهده پیام خطای فوق نباید بر روی OK یا دکمه X برای بستن پیام کلیک کنید! در صورت مشاهده پیغام خطای فوق باید MSACCESS.EXE را از Windows Task Manager ببندید تا از ادامه بهره‌برداری جلوگیری کنید!

منبع خبر:

https://research.checkpoint.com/2023/abusing-microsoft-access-linked-table-feature-to-perform-ntlm-…

مایکروسافت یک آسیب‌پذیری امنیتی بحرانی را رفع کرده است که می‌تواند به مهاجمان اجازه دهد اعتبارنامه‌ها موجود در logهای GitHub Actions یا Azure DevOps که با استفاده از Azure CLI (مخفف رابط خط فرمان Azure) ایجاد شده‌اند را سرقت کنند. این آسیب‌پذیری با شناسه CVE-2023-36052 توسط پژوهشگر امنیتی شرکت Palo Alto گزارش شد، او کشف کرد که بهره‌برداری موفق از این آسیب‌پذیری به مهاجمان احراز هویت نشده امکان دسترسی از راه دور به محتواهای متن ساده را خواهد داد. مایکروسافت توضیح می‌دهد: "مهاجمی که موفق به بهره‌برداری از این آسیب‌پذیری شود، می‌تواند از فایل‌های log ای که توسط دستورات متأثر از CLI ایجاد شده و توسط Azure DevOps و/یا GitHub Actions منتشر شده‌اند، رمزهای عبور و نام‌کاربری (plaintext) را بازیابی کند."

توصیه‌های امنیتی
مشتریانی که از دستورات متأثر از CLI استفاده می‌کنند، باید نسخه Azure CLI خود را به نسخه 2.53.1 یا بالاتر ارتقاء دهند تا در برابر خطرات این آسیب‌پذیری محافظت شوند. مایکروسافت اعلام کرده است که مشتریانی که اخیراً از دستورات Azure CLI استفاده کرده‌اند از طریق پورتال Azure آگاه شده‌اند. در یک پست وبلاگ از طرف MSRC که امروز منتشر شده است، Redmond به تمام مشتریان توصیه کرده است که به آخرین نسخه Azure CLI (نسخه 2.54) به‌روزرسانی کنند. همچنین توصیه شده است که جهت جلوگیری از افشای اتفاقی اطلاعات مهم در logهای CI/CD، اقدامات زیر را انجام دهند:
1. به‌روزرسانی Azure CLI به آخرین نسخه
2. جلوگیری از افشای خروجی Azure CLI در logها و/یا مکان‌های عمومی قابل دسترس:
   - اگر نیاز به توسعه اسکریپتی است که به مقدار خروجی نیاز دارد، خروجی مورد نیاز برای اسکریپت را فیلتر کنید (راهنمایی‌های Azure CLI در مورد فرمت‌های خروجی را بررسی کنید و راهنمایی‌های توصیه‌شده برای مخفی کردن یک متغیر محیطی را پیاده‌سازی کنید).
3. تغییر مکرر کلیدها:
   - به مشتریان توصیه می‌شود که به طور مرتب کلیدها را تغییر دهند.
4. بررسی بهترین روش‌های امنیتی GitHub برای ایمن‌سازی در GitHub Actions:
   - بهترین روش‌های امنیتی GitHub برای تقویت امنیت در GitHub Actions را بررسی کنید.
5. اطمینان از اینکه مخازن GitHub به حالت خصوصی تنظیم شده‌اند مگر اینکه به صورت عمومی نیاز باشد
6. بررسی راهنمایی برای امنیت Azure Pipelines
مایکروسافت یک پیکربندی پیش‌فرض جدید برای Azure CLI اجرا کرده است تا اقدامات امنیتی را تقویت کرده و مانع افشای تصادفی اطلاعات حساس شود. علاوه بر این، شرکت توانسته است قابلیت پنهان‌کردن اطلاعات اعتبارنامه را در GitHub Actions و Azure Pipelines گسترش دهد تا تعداد الگوهای کلید قابل تشخیص در داخل logهای ساخت (build logs) را افزایش دهد و آن‌ها را مبهم کند.

منابع خبر:

[1] https://learn.microsoft.com/en-us/azure/security/fundamentals/secrets-best-practices 
[2] https://docs.github.com/en/github-ae@latest/actions/security-guides/security-hardening-for-github-a…;
[3] https://learn.microsoft.com/en-us/azure/devops/pipelines/security/overview?view=azure-devops 
[4] https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-critical-azure-cli-flaw-that-leaked…;
[5]https://docs.github.com/en/actions/using-workflows/workflow-commands-for-github-actions#example-mas…

شرکت سایبری Malwarebytes  به تازگی اعلام کرده است که یک کمپین تهاجمی جدید، با کپی کردن اخبار وب‌سایت اصلی «اخبار ویندوز » در یک پورتال با نام «Windows Report»، به دنبال سرقت اطلاعات از طریق ابزار CPU-Z ویندوز می‌‌‌باشد. براساس اطلاعیه صادر شده، سایت اخبار ویندوز با تهدید امنیتی خاصی مواجه نشده است، اما مهاجمان محتوای آن را کپی کردند تا کاربران را فریب دهند و نرم‌افزارهای مخرب دانلود کنند. این نوع وب‌سایت‌‌‌ها اغلب توسط افراد حرفه‌ای و مدیران سیستم‌ها جهت خواندن آخرین بررسی‌های رایانه‌‌‌ای، یادگیری برخی نکات و دانلود ابزارهای نرم‌افزاری مورد بازدید قرار می‌گیرد. براساس تحقیقات، کمپین مهاجم از تبلیغات گوگل برای تبلیغ نسخه آلوده CPU-Z، یک ابزار محبوب ویندوز برای عیب‌یابی، استفاده نموده است تا کاربران را ترغیب به دانلود یک محتوای مخرب بنماید. این محتوا شامل یک نصب‌‌‌کننده MSIX با امضای دیجیتال با یک اسکریپت مخرب PowerShell و یک لودر به نام FakeBat است. برای فرار از شناسایی، مهاجمان از روش‌‌‌های پنهان‌‌‌سازی استفاده کرده‌اند.
شرکت Malwarebytes با اشاره به اینکه قبلاً تبلیغ مخرب دیگری را با استفاده از الگویی مشابه شناسایی کرده است، اعلام نموده که هر کسی که روی تبلیغ کلیک کند و قربانی مورد انتظار نباشد، یک وبلاگ استاندارد با تعدادی مقاله را مشاهده خواهد کرد. اما اگر قربانی واقعی روی پیوند کلیک کند، به دامنه دیگری هدایت می‌‌‌شود که با تقلید از وب سایت Windows Report و نام دامنه تقریباً یکسان، اما نشانی اینترنتی متفاوتی ایجاد شده است. طبق گفته Malwarebytes، چندین دامنه دیگر نیز در همان آدرس IP میزبانی شده و در کمپین‌‌‌های تبلیغات بد استفاده می‌‌‌شود. 

محصولات تحت تاثیر
براساس اعلام Malwarebytes مهاجمان گزینه ایجاد یک سایت فریبنده شبیه اخبار ویندوز را انتخاب کرده-اند، زیرا بسیاری از نرم‌افزارهای کاربردی اغلب از این پورتال‌‌‌ها به جای صفحه وب‌‌‌سایت‌‌‌های رسمی دانلود می‌شوند. کمپین حاضر با سوءاستفاده از اعتماد کاربران حرفه‌‌‌ای ویندوز در مورد اخبار منتشر شده، اقدام به انتشار بدافزارهای مختلف ویندوزی نموده است. گفته می‌شود که این حادثه بخشی از یک کمپین تبلیغاتی بزرگ‌تر است که سایر ابزارهای کاربردی مانند Notepad++، Citrix و VNC Viewer را نیز هدف قرار می‌دهد.
کمپین‌های مشابه قبلاً قربانیان را با ابزارهایی که محتوای وب‌سایت‌های نرم‌افزاری مانند Webex، AnyDesk یا KeePass را تکرار می‌کردند، فریب داده‌‌‌اند. تبلیغات مخرب همچنین می توانند در وب سایت-های شناخته شده و قابل اعتماد ظاهر شوند که قبلاً نمونه‌‌‌هایی از آن‌ها در سایت‌‌‌های نشریات نیویورک تایمز و آتلانتیک مشاهده شده است.

توصیه‌های امنیتی
براساس اعلام شرکت Malwarebytes، دامنه‌های تبلیغاتی نادرست مسدود شده و در خصوص حذف آن‌ها اطلاعات لازم به گوگل داده شده است. اما تکرار حوادث مشابه زنگ خطری برای مدیران شبکه و کاربران ویندوزی است تا از دانلود فایل‌‌‌ها از منابعی بجز وب سایت‌‌‌های اصلی شرکت‌‌‌ها و یا سایت‌‌‌های معتبر اینترنتی، اجتناب نمایند. فعال بودن فایروال و به‌روز بودن آنتی‌ویروس سیستم‌‌‌ها از جمله راه‌‌‌کارهای قابل توصیه برای ارتقاء سطح امنیت کاربران می‌‌‌باشد.

منابع خبر:

[1]https://cybernews.com/security/malvertising-campaign-targets-windows-geeks/?utm_source=signal&utm_m…
[2]https://www.malwarebytes.com/blog/threat-intelligence/2023/11/malvertiser-copies-pc-news-site-to-de…