‫ اخبار

#‫مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. به‌روزرسانی‌ امنیتی در ماه Julyسال 2019 برای محصولات در درجه حساسیت بحرانی به صورت زیر بوده است:

• ChakraCore
• Microsoft Edge
• Internet Explorer
• Windows

وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل نوشته شده است. کاربر می‌بایست با استفاده از فرمان winverدر CMDنسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.

شرکت #‫اینتل در یک به‌روزرسانی امنیتی، یک آسیب‌پذیری در محصولاتش را رفع کرد.

طبق این گزارش یک آسیب‌پذیری خطرناک در Intel Processor Diagnostic کشف شده است که این آسیب‌پذیری امکان ارتقای سطح دسترسی را از طریق نرم‌افزار می‌دهد و دارای شناسه CVE-2019-11133می‌باشد. این آسیب‌پذیری بر روی نسخه‌های قبل از 4.1.2.24این ابزار وجود دارد و با توجه به کنترل دسترسی نامناسب در این محصول، به مهاجم اجازه اجرای حملات منع سرویس و سرقت اطلاعات حساس را می‌دهد.

به کاربرانی که ابزار Intel Processor Diagnosticرا بر روی سیستم عامل خود کشف نموده‌اند توصیه می‌شود که این ابزار را به نسخه‌های 4.1.2.24یا بالاتر به‌روزرسانی نمایند.

شرکت #‫گوگل وصله‌هایی برای سیستم‌عامل اندروید منتشر کرد تا به‌طور کلی، 33 آسیب‌پذیری که شامل 9 آسیب‌پذیری بحرانی است، رفع کند.

این آسیب‌پذیری‌ها بر روی اجزای مختلف اندروید ازجمله سیستم‌عامل اندروید، چارچوب، کتابخانه، چارچوب رسانه‌ای و همچنین مؤلفه‌های کوالکام تأثیر می‌گذارند.

سه مورد از آسیب‌پذیری‌های بحرانی این ماه، در چارچوب رسانه‌ی اندروید قرار دارند که به یک مهاجم اجازه می‌دهند تا از راه دور و با استفاده از یک فایل خاص طراحی‌شده، کد دلخواه را در چارچوب یک فرایند خاص، اجرا کند.

از میان شش آسیب‌پذیری بحرانی دیگر، یکی از آن‌ها بر روی سیستم اندروید تأثیرمی‌گذارد.

دو آسیب‌پذیری بحرانی دیگر در مؤلفه‌های "DSP-Services" و "Kernel" و سه مورد در مؤلفه‌ی متن بسته‌‌ی کوالکام وجود دارند.

یک خطای دارای شدت بالا نیز در کتابخانه‌ی اندروید وجود دارد که می‌تواند به مهاجم، اجازه‌ی اجرای کد از راه دور دهد.

علاوه‌براین، یک خطای شدید در چارچوب اندروید وجود دارد که می‌تواند به یک برنامه‌ی مخرب نصب‌شده، اجازه‌ی دورزدن الزامات تعامل کاربر را بدهد تا بتواند به مجوز‌های اضافی دسترسی پیدا کند.

برای دریافت کلیک نمایید

#‫Adobeبه‌روزرسانی‌های امنیتی ماه جولای سال 2019 خود را جهت رفع آسیب‌پذیری‌های نرم‌افزارهای Bridge CC، Experience Managerو Dreamweaverمنتشر ساخته است.

هیچ یک از آسیب‌پذیری هایی که در این ماه توسط Adobeبرطرف شده‌اند، از نظر شدت، بحرانی نیست.

عمده‌ی آسیب‌پذیری‌های رفع‌شده در این به‌روزرسانی نسبتاً کوچک، به Adobe Experience Managerمربوط می‌شوند. این به‌روزرسانی، برای یک آسیب‌پذیری اسکریپت‌نویسی متقابل منعکس (Reflected Cross-Site Scripting)با شناسه‌ی ردیابی CVE-2019-7955و از نظر شدت «متوسط»، یک آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (Stores Cross-Site Scripting)با شناسه‌ی ردیابی CVE-2019-7954و از نظر شدت «مهم» و یک آسیب‌پذیری درخواست جعلی متقابل (Cross-Site Forgery Request) با شناسه‌ی ردیابی CVE-2019-7953و از نظر شدت «مهم» را که سوءاستفاده از همه‌ی آن‌ها می‌تواند منجر به افشای اطلاعات حساس شود، وصله منتشر کرده است.

این آسیب‌پذیری‌ها، نسخه‌های 6.0، 6.1، 6.2، 6.3از نرم‌افزار Adobe Experience Managerدر تمامی بسترها را تحت‌تأثیر قرار می‌دهند.

همچنین Adobeبرای یک آسیب‌پذیری با شدت «متوسط» موجود در Direct Download Installerنرم‌افزار Adobe DreamWeaver، وصله منتشر کرده است. این آسیب‌پذیری با شناسه‌ی CVE-2019-7956، یک نقص امنیتی افزایش امتیاز است که به بارگذاری ناامن کتابخانه مربوط می‌شود و می‌تواند برای انجام عملیات ربودن DLLمورد استفاده قرار گیرد. این آسیب‌پذیری تمامی نسخه‌های منتشرشده در سال 2018 و 2019 در بستر ویندوز را تحت‌تأثیر قرار می‌دهد.

علاوه‌براین، یک نقص امنیتی مهم خواندن خارج از محدوده (read out of bounds)با شناسه‌ی CVE-2019-7963در نرم‌افزار Adobe Bridge CCنیز در به‌روزرسانی امنیتی ماه جولای سال 2019 Adobeوصله شده است. این آسیب‌پذیری با شناسه‌ی ردیابی CVE-2019-7963، نسخه‌های 9.0.2و پیش از آن را در هر دو بستر ویندوز و macOSتحت‌تأثیر قرار می‌دهد و سوءاستفاده از آن می‌تواند منجر به افشای اطلاعات شود.

به کاربران توصیه می‌شود به منظور حفظ خود در برابر سوءاستفاده‌های بالقوه از این آسیب‌پذیری‌ها، مجوز به‌روزرسانی خودکار نرم‌افزارهای خود را فعال نمایند و آن‌ها را به آخرین نسخه‌ی موجود به‌روزرسانی کنند.

به تازگی #‫باج‌_افزار جدیدی به نام #‫SodinoKibi (همچنین معروف به Sodin یا REvil) کشف شده است که از آسیب‌پذیری روزصفرم ویندوز با شناسه‌ی CVE-2018-8453 به‌منظور افرایش امتیاز سوءاستفاده می‌کند تا در میزبان‌های آلوده به امتیاز مدیریتی دست یابد.
این آسیب‌‌پذیری که توسط محققان آزمایشگاه کسپرسکی کشف شده است، در به‌روزرسانی‌های امنیتی ماه اکتبر سال 2018 مایکروسافت وصله شده است. این آسیب‌پذیری پیش از وصله‌شدن، در ماه اوت سال 2018، توسط یک گروه هک دولتی به نام FruityArmor که هدف اصلی آن کاربران خاورمیانه بود، مورد سوءاستفاده قرار گرفته بود. حال محققان کسپرسکی همان آسیب‌پذیری را در باج‌افزار sodin کشف کرده‌اند که به گفته‌ی آنها، به ندرت چنین آسیب‌پذیری در باج‌افزار استفاده می‌شود.
در حال حاضر این باج‌افزار در سراسر جهان در حال گسترش است و عمده‌ی آلودگی‌های آن در منطقه آسیا و اقیانوس آرام مشاهده شده است، به ویژه در تایوان (17.56%)، هنگ‌کنگ و کره‌جنوبی (8.78%). کشورهای دیگری که Sodinokibi در آن‌ها شناسایی شده‌ است عبارتند از ژاپن (8.05%)، ایتالیا (5.12%)، اسپانیا (4.88%)، ویتنام (2.93%)، ایالات‌متحده امریکا (2.44%) و مالزی (2.2%).
با آمدن باج‌افزار Sodin، باج‌افزار GandCrab تمامی فعالیت‌های اداری خود را در ماه گذشته متوقف ساخته است. GandCrab فعال‌ترین باج‌افزار تاکنون بوده است (نه تنها در سال جاری، بلکه در سال گذشته). برخی از اعضای جامعه‌ی امنیت اطلاعات، Sodin را وارث GandCrab و عده‌ای آن را مکمل GandCrab می‌دانند که به احتمال زیاد توسط همان گروه از توسعه‌دهندگان ایجاد شده است.
محققان یک تجزیه و تحلیل فنی از فرایند افزایش امتیاز که به این تهدید اجازه می‌دهد به امتیاز سیستمی دست یابد را منتشر ساخته‌اند. Sodin به‌منظور افزایش امتیاز از یک آسیب‌پذیری روزصفرم در win32k.sys سوءاستفاده می‌کند. بدنه‌ی هر نمونه Sodin شامل یک قطعه‌ پیکربندی رمزنگاری‌‌شده است که تنظیمات و داده‌‌های استفاده‌شده توسط بدافزار را ذخیره می‌سازد. پس از راه‌اندازی، Sodin قطعه‌ی پیکربندی را بررسی می‌کند که آیا گزینه‌ای که سوءاستفاده را به کار می‌گیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازنده‌ای که اجرا می‌کند را بررسی می‌کند و سپس یکی از دو shellcode گنجانده‌شده در بدنه‌ی این تروجان را بسته به معماری پردازنده، اجرا می‌کند. این shellcode تلاش می‌کند یک سری خاص از توابع WinAPI با آرگومان‌های ساختگی مخرب را به‌منظور راه‌اندازی آسیب‌پذیری فراخوانی کند. بدین ترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست می‌یابد. در اینجا هدف این است که راه‌حل‌های امنیتی نتوانند به راحتی این بدافزار را شناسایی کنند.
Sodin یک طرح ترکیبی را برای رمزگذاری داده‌ها پیاده‌سازی می‌کند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایل‌ها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده می‌کند.
کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار کد سخت (hardcoded) شده است رمزگذاری و نتیجه در رجیستری ذخیره می‌شود.
پس از رمزگذاری فایل‌ها، sodinokibi یک افزونه‌ی تصادفی که برای هر رایانه‌ای که آلوده کرده است متفاوت است را ضمیمه می‌کند.
کد مخرب Sodin فایل‌های با پوسته‌های صفحه‌کلید مخصوص کشورهای خاصی از جمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهد کرد.
پیکربندی Sodin شامل فیلدهای کلید عمومی، شماره ID برای کمپین و توزیع‌کننده و برای بازنویسی داده‌‌ها، نام مسیرها و فایل‌ها، لیست افزونه‌هایی که رمزگشایی نشده‌اند، نام فرایندهایی که باید به آن‌ها خاتمه دهد، آدرس‌های کارگزار C2، قالب نوشته‌ی باج و یک فیلد برای استفاده از سوءاستفاده‌ به‌منظور دستیابی به امتیاز بالاتر در ماشین است.
آنچه مهاجمان Sodin را پیچیده‌تر می‌سازد، استفاده‌ی آن‌ها از تکنیک Heaven’s Gate است. Heaven’s Gate تکنیکی است که به یک فرایند 32 بیتی تروجان اجازه می‌دهد تکه کدهای 64 بیتی را اجرا کند. بسیاری از debuggerها از چنین معماری پشتیبانی نمی‌کنند؛ در نتیجه استفاده از این تکنیک، تجزیه و تحلیل بدافزار را برای محققان دشوار می‌سازد. همچنین تکنیک قدیمی Heaven’s Gate ممکن است به‌منظور دورزدن راه‌حل‌های امنیتی مانند دیواره‌های آتش و برنامه‌های آنتی‌ویروس نیز مورد استفاده قرار گیرد.
Heaven’s Gate در انواع مختلف بدافزارها از جمله کاونده‌های سکه مشاهده شده است؛ اما این اولین باری است که محققان کسپرسکی استفاده‌ی این تکنیک را در یک کمپین باج‌افزاری مشاهده کرده‌اند.
Sodin به عنوان یک باج‌افزار-به عنوان-یک-سرویس (RaaS) طراحی شده است؛ بدین معنی که اپراتورها می‌توانند روش گسترش را انتخاب کنند و به گفته‌ی محققان، این طرح به مهاجمان اجازه می‌دهد به توزیع باج‌افزار از طریق کانال‌ها ادامه دهند. این باج‌افزار در حال حاضر از طریق نرم‌افزار کارگزار آسیب‌پذیر به کارگزار آسیب‌پذیر و همچنین از طریق malvertising و ابزارگان سوءاستفاده به نقطه پایانی‌ها (endpoints) در حال گسترش است.

#‫دژفا مجموعه از سامانه ها است که برای رصد وضعیت تهدیدات و افزایش توان مقابله با آسیب ها در فضای سایبری کشور توسط مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌‌ای کشور که نقش certملی ایران را بر عهده دارد در دست توسعه می باشد. اجزای این سامانه عبارتند از:

سامانه ملی تله افزار

سامانه بومی کاوشگر

سامانه بومی سمات

سامانه بومی بینا

سامانه بومی چکاپ

سامانه بومی سایمان

سامانه بومی دانا

سامانه عمومی سینا (PTAAS)

سامانه بومی سویه (IDS)

سامانه چتر امن

اپلیکیشن جعلی به‌روزرسانی #‫اندروید با عنوان #‫Updates_for_Samsung که از طریق فروشگاه گوگل پلی منتشر شده است تا به حال بیش از 10 میلیون تلفن همراه اندرویدی را آلوده کرده است. این اپلیکیشن در فروشگاه‌های اپلیکیشن ایرانی نیز منتشر شده و توسط حدود ۳۰ هزارنفر دریافت شده است. این اپلیکیشن هیچ ارتباطی با شرکت سامسونگ ندارد.

کاربران می‌توانند در این اپلیکیشن نسخه خاص Firmware خود را جستجو کنند و اپلیکیشن در ازای ارائه به‌روزرسانی مربوطه، درخواست پرداخت پول می‌کند.

محققی از گروه امنیتی CSIS، جزئیات این اپلیکیشن جعلی را منتشر کرده است و آن را به فروشگاه گوگل پلی گزارش داده است. در حال حاضر این اپلیکیشن از فروشگاه گوگل پلی حذف شده است. اطلاع رسانی جهت حذف این اپلیکیشن به فروشگاه‌های ایرانی نیز صورت گرفته است.

منبع:

https://medium.com/csis-techblog/updates-for-samsung-from-a-blog-to-an-android-advertisement-revenue-goldmine-of-10-000-000-166585e34ad0

https://gbhackers.com/androidfake-samsung-updates-app/

هکرهای آژانس‌های جاسوسی غربی با استفاده از نوع نادری از بدافزار به نام #‫Regin، موتور جستجوی یاندکس را هک کرده‌اند تا بتوانند از کاربران این موتور جستجوی روسی جاسوسی کنند.
یاندکس یک موتور جستجوی روسی است که در زمینه محصولات اینترنتی و سرویس‌هایی از جمله تجارت، حمل و نقل، ناوبری، اپلیکیشن‌های کاربردی موبایل و تبلیغات آنلاین فعالیت می‌کند.
طبق گزارش رویترز، بدافزار Regin یکی از پیچیده‌ترین و نادرترین بدافزارهایی است که توسط “Five Eyes” یا اتحادیه اطلاعاتی کشورهای ایالات متحده، بریتانیا، استرالیا، نیوزیلند و کانادا استفاده می‌شود. هدف این حملات واحد تحقیق و توسعه یاندکس بوده و این حملات بیشتر به دلیل اهداف جاسوسی انجام شده و هیچ اختلال یا سرقت اطلاعات خاصی صورت نگرفته است.
به دلیل اینکه حملات توسط متخصصان امنیتی این موتور جستجو شناسایی نشد در نتیجه جهت انجام تحقیقات بیشتر از شرکت امنیتی کاسپر اسکای درخواست کمک شد که بعد از انجام تحقیقات مربوطه توسط این شرکت امنیتی، مشخص شد که هدف حمله گروهی از توسعه‌دهندگان داخلی یاندکس بوده است و مهاجمانی که این حملات را انجام داده‌اند، حداقل به مدت چند هفته و بدون شناسایی شدن دسترسی پایداری را به یاندکس داشته‌اند.
طبق گزارش رویترز، هکرها به دنبال اطلاعات فنی مربوط به چگونگی احراز هویت حساب‌های کاربری توسط یاندکس بوده‌اند. چنین اطلاعاتی می‌تواند به جعل حساب‌های کاربری یاندکس و دسترسی به پیام‌های خصوصی کاربران منجر شود.

لینک خبر:
https://gbhackers.com/russian-yandex-hacked-regin/

محققان اخیراً چندین #‫آسیب‌پذیری را در زیرساخت‌های نرم‌افزاری #‫Lenovo کشف کرده‌اند. Lenovo یکی از شرکت‌های فناوری چند ملیتی است که کار فروش و توسعه رایانه‌های شخصی، تبلت‌ها، گوشی‌های هوشمند، سرورها و دستگاه‌های ذخیره‌سازی اطلاعات الکترونیکی را انجام می‌دهد.
شرکت امنیتی ایتالیایی Swascan که این آسیب‌پذیری‌ها را کشف کرده است، تابحال هیچ جزئیاتی از نرم‌افزار‌ها و محصولات تحت‌تاثیر این آسیب‌پذیری‌های Lenovo را منتشر نکرده است و تمام این آسیب‌پذیری‌های گزارش داده شده توسط تیم امنیتی Lenovo مورد ارزیابی قرار گرفته و همچنین رفع شده است.
در مجموع 9 آسیب‌پذیری شناسایی شده است که دو مورد آن بحرانی و هفت مورد آن در سطح متوسط طبقه‌بندی شده است.
مهاجمان می‌توانند از این آسیب‌پذیری‌ها برای اجرای کد دلخواه و خواندن اطلاعات حساس کاربران در سیستم استفاده کنند. این آسیب‌پذیری‌ها شامل محدودسازی نامناسب عملیات‌ها در محدوده بافرهای حافظه، دسترسی به مقدار یک آدرس اشاره‌گر تهی، اعتبارسنجی ورودی نامناسب، خنثی‌سازی و بیطرف کردن نامناسب عناصر خاص استفاده شده در خط فرمان سیستم‌عامل، احراز هویت نامناسب و آسیب‌پذیری use After Free می‌باشد.

لینک خبر:
https://gbhackers.com/lenovo-server-infrastructure/
و
https://latesthackingnews.com/2019/07/03/multiple-vulnerabilities-spotted-in-lenovo-server-infrastructure/

اخیراً چندین #‫آسیب‌پذیری‌ در سیستم‌عامل #‫اندروید کشف شده است که مهاجم با بهره‌برداری از آنها می‌تواند یک کد راه دور را بر روی سیستم‌عامل اجرا نماید و همچنین توانایی نصب، مشاهده، تغییر، حذف اطلاعات و داده‌های حساس و یا ایجاد حساب‌های جدید با مجوزهای کامل کاربری را بدست ‌آورد. لازم به ذکر است که این آسیب‌پذیری‌ها در سیستم‌عامل اندروید، با اعمال به‌روزرسانی امنیتی در تاریخ 5 جولای 2019 وصله شده است. به تمام کاربران این سیستم‌عامل توصیه می‌شود که وصله امنیتی ارائه شده را نصب کنند و به یاد داشته باشند که نصب برنامه‌های مورد نیاز را همیشه از طریق فروشگاه‌های معتبر برنامه‌های اندرویدی انجام دهند.

لیست این آسیب‌پذیری‌ها به شرح زیر است:
• یک آسیب‌پذیری‌ اجرای کد دلخواه در سیستم. CVE-2019-2111
• یک آسیب‌پذیری‌ افشای اطلاعات در فریم‌ورک. CVE-2019-2104
• یک آسیب‌پذیری‌ اجرای کد دلخواه در کتابخانه. CVE-2019-2105
• آسیب‌پذیری‌های چندگانه‌ اجرای کد دلخواه در فریم‌ورک رسانه‌ای. CVE-2019-2106, CVE-2019-2107, CVE-2019-2109
• آسیب‌پذیری‌های چندگانه‌ ارتقاء سطح دسترسی در سیستم. CVE-2019-2112, CVE-2019-2113
• آسیب‌پذیری‌های چندگانه‌ افشای اطلاعات در سیستم. CVE-2019-2116, CVE-2019-2117, CVE-2019-2118, CVE-2019-2119
• آسیب‌پذیری‌های چندگانه در کامپوننت‌های منبع بسته Qualcomm. CVE-2019-2235, CVE-2019-2236, CVE-2019-2237, CVE-2019-2238, CVE-2019-2239, CVE-2019-2240, CVE-2019-2241, CVE-2019-2253, CVE-2019-2254, CVE-2019-2322, CVE-2019-2327, CVE-2019-2334, CVE-2019-2346
• آسیب‌پذیری‌های چندگانه در کامپوننت‌های Qualcomm. CVE-2019-2276, CVE-2019-2278, CVE-2019-2305, CVE-2019-2307, CVE-2019-2308, CVE-2019-2330, CVE-2019-2326, CVE-2019-2328

منابع:
Google Android:
https://source.android.com/security/bulletin/2019-07-01.html

لینک خبر:
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-android-os-could-allow-for-arbitrary-code-execution_2019-069/