‫ اخبار

Google Paly Protect (یک برنامه‌ی حفاظت در برابر بدافزار که از قبل بر روی دستگاه‌‌های اندرویدی رسمی نصب شده است) در سال 2019، بیش از 1.9 میلیارد نصب برنامه‌ی مخرب از منابع غیررسمی مانند فروشگاه‌های شخص ثالث برنامه‌های کاربردی را مسدود کرده است. این تعداد در سال 2017 و 2018، 1.6 میلیارد گزارش شده بود.
می‌شود
این میزان افزایش می‌تواند دو دلیل داشته باشد. اول اینکه Play Protect در شناسایی و متوقف‌کردن بدافزارها بهتر از سال‌های گذشته عمل کرده است. دلیل دوم می‌تواند این باشد که کاربران اندرویدی بیشتری به نصب برنامه‌های آلوده به بدافزار از خارج از Play Store فریب خورده‌اند یا از فروشگاه‌های شخص ثالث برای دسترسی به برنامه‌هایشان استفاده کرده‌اند، زیرا دسترسی به Play Store برایشان مسدود شده بود.
قابلیت تشخیص اسکن و تشخیص بدافزار در نصب برنامه‌های غیر گوگلی از ویژگی‌های جدید سیستم‌عامل اندروید است که در ماه می سال 2017 اضافه شده است.
پیش از این، کاربران اغلب برنامه‌های آلوده به بدافزار را از فروشگاه‌های شخص ثالث برنامه‌های کاربردی، سایت‌های بزرگسالان، سایت‌های آنلاین شرط‌بندی یا سایت‌های مختلف دیگر نصب می‌کردند.
برای مقابله با این روند رو به رشد، گوگل در ماه می سال 2017، Play Protect را به عنوان یک ویژگی جدید که مطابق با برنامه‌های فروشگاه رسمی Play است، راه‌اندازی کرد.
Play Protect در شکل فعلی خود دارای چندین ویژگی و عملکرد است، اما به طور مؤثر به عنوان یک برنامه ضد ویروس داخلی برای دستگاه‌های Android که دارای مجوز اجرای برنامه‌های رسمی Google هستند‌، کار می‌کند.
به طور پیش‌فرض، Play Protect در مرحله‌ی اول، تمامی برنامه‌های نصب شده در یک دستگاه را در فواصل منظمی اسکن می‌کند تا مطمئن شود به‌روزرسانی برنامه برای کاربر به صورت مخفیانه بدافزار نصب نمی‌کند. سپس نه تنها برنامه‌های جدیدی که از Play Store نصب شده‌اند را اسکن می‌‌کند، بلکه هر برنامه‌ی جدیدی که از هر منبع شخص ثالث نصب شده‌ است را نیز اسکن می‌نماید.
به گفته‌ی گوگل، Play Protect در سال 2017 هر روز 50 میلیارد برنامه‌ی کاربردی را اسکن می‌کرد که این رقم تا سال 2018 نیز حفظ شده است. در ماه نوامبر سال 2018، گوگل با افزایش بدافزارهای شناخته‌شده (برنامه‌های بالقوه مضر (PHA))، در پایگاه داده‌ی Play Protect، سرویس Paly Protect را ارتقا داد. گوگل این کار را با شروع به اسکن تمام اینترنت برای فایل‌های APK و فهرست‌کردن برنامه‌های مخرب، آغاز کرد، به جای اینکه مانند قبل منتظر بماند تا کاربران در دام یک برنامه‌ی مخرب بیفتند.
به گفته‌ی گوگل، نرخ اسکن روزانه‌ی Paly Protect امروزه دوبرابر شده است و در حال حاضر بیش از 100 میلیارد برنامه‌ی اندرویدی را روزانه اسکن می‌کند. دلیل افزایش اسکن روزانه‌ی Paly Protect هم به افزایش تعداد کاربران اندرویدی مربوط می‌شود و هم به بهبود در ذخیره‌سازی دستگاه‌ها. زیرا دستگاه‌ها می‌توانند برنامه‌های بیشتری را نسبت به قبل ذخیره کنند.
انتظار می‌رود در آینده، قابلیت Play Protect در شناسایی برنامه‌‌های مخرب حتی به بالاتر از 1.9 میلیارد برنامه‌ی کاربردی افزایش یابد. دلیل این انتظار این است که این سرویس در ماه نوامبر سال 2019 زمانی که گوگل با همکاری ESET، Lookout و Zimperium، App Defense Alliance (شریکی جهت بهبود شناسایی بدافزارها برای Play Store و Play Protect)را ایجاد نمود، ارتقای بزرگی یافت.
گوگل اعلام کرده است که Play Protect در حال حاضر بر روی بیش از دو میلیارد دستگاه اندرویدی اجرا می شود.

#‫مایکروسافت به‌روزرسانی‌های امنیتی ماه فوریه‌ی خود را منتشر کرد. به‌روزرسانی‌های این ماه، اصلاحاتی برای 99 آسیب‌پذیری ارایه می‌دهد و بزرگترین به‌روزرسانی مایکروسافت تا به امروز به‌شمار می‌رود.
بیشتر نقص‌های مهم، مربوط به اجرای کد از راه دور و اشکالات فساد حافظه در سرویس‌هایی مانند موتور اسکریپت IE، سرویس کنترل از راه دور میز کار، پرونده‌های LNK و مؤلفه‌ی Media Foundation هستند.
آسیب‌پذیری فساد حافظه‌ی موتور اسکریت
آسیب‌پذیری "CVE-2020-0674" یک آسیب‌پذیری روز صفرم در نحوه‌ی کار موتور رندر Trident در اشیاء در حافظه است. یک مهاجم می‌تواند از این نقص برای اجرای کد با همان امتیازاتی که به کاربر داده شده است، استفاده کند. استفاده از اینترنت اکسپلورر برای ایجاد این نقص ضروری نیست و روش‌های دیگر (مانند اسناد اداری خاص ساخته‌شده) نیز قابل سوءاستفاده است. این نقص برای اولین بار در اواسط ژانویه توسط مایکروسافت مشاهده شد و تنها نقص بحرانی است که تا به امروز مورد سوء استفاده قرار گرفت.
آسیب‌پذیری LNK
مهم‌ترین آسیب‌پذیری اجرای کد از راه دور‌ (RCE) در این ماه، "CVE-2020-0729" است که می‌تواند متقاعدکردن کاربر برای بازکردن یک اشتراک از راه دور یا قراردادن فایل ".LNK" مخرب روی درایو USB و بازکردن کاربر، مورد سوءاستفاده قرار گیرد. سوءاستفاده‌ی موفقیت‌آمیز از این آسیب‌پذیری، می‌تواند به مهاجمان، حقوق کاربر محلی را اعطا کند.
این نقص، مشابه اشکالی است که توسط بدافزار "Stuxnet" مورد سوءاستفاده قرار گرفته است. Stuxnet برای به‌دست آوردن امکانات غنی‌سازی هسته‌ای ایران در سال 2012 مورد استفاده قرار گرفت.
آسیب‌پذیری‌های کنترل از راه دور میز کار
"CVE-2020-0681" و "CVE-2020-0734" آسیب‌پذیری‌های RCE هستند که در "Windows Remote Desktop Client" وجود دارند. مهاجمان می‌توانند هنگام اتصال یک کاربر به یک سرور مخرب، از این آسیب‌پذیری‌ها سوءاستفاده کنند. این کار به آن‌ها امکان نصب برنامه‌ها، دسترسی و تغییر داده‌ها و همچنین ایجاد حساب‌های جدید با حقوق کامل کاربر را می‌دهد.
"CVE-2020-0655" نیز یک آسیب‌پذیری RCE در خدمات میز کار از راه دور است (که قبلاً به عنوان خدمات پایانه شناخته می‌شد). هیچ‌گونه نیازی به تعامل با کاربر برای سوءاستفاده از این آسیب‌پذیری وجود ندارد. مهاجمان می‌توانند برای اجرای یک کد دلخواه و به‌دست‌آوردن حقوق کاملی از کاربر، از طریق پروتکل کنترل از راه دور میز کار (RDP)، درخواست‌های دستکاری‌شده‌ی ویژه‌ای را به سرویس هدف از راه دور از طریق سیستم هدف خود ارسال کنند.
"CVE-2020-0660" یک آسیب‌پذیری انکار سرویس است که مهاجمان می‌توانند در سرورهای RDP Gateway از آن سوءاستفاده کنند. در صورت موفقیت، آن‌ها می‌توانند با استفاده از RDP به یک سرور هدف آسیب‌پذیر متصل شوند و درخواست‌های سفارشی ارسال کنند که می‌تواند باعث شود سرویس RDP روی سیستم هدف از پاسخ دادن، متوقف شود.
آسیب‌پذیری‌های افزایش سطح امتیازات
55 آسیب‌پذیری برای افزایش امتیاز در این ماه برای بخش‌های مختلف ازجمله هسته‌ی ویندوز، جستجوی شاخص‌بندی، DirectX و ابزار حذف نرم‌افزارهای مخرب درنظر گرفته شده است. یکی از تهدیدهای جدی‌، آسیب‌پذیری "CVE-2020-0692" است که می‌تواند با اجرای یک حمله‌ی مرد میانی (MITM) برای ارسال درخواست احراز هویت به سرور مایکروسافت Exchange مورد سوءاستفاده قرار بگیرد. این نقص به مهاجمان اجازه می‌دهد تا کاربر دیگری از Exchange را جعل کنند.
آسیب‌پذیری‌های موجود در SQL
اشکالات قابل ملاحظه در این ماه همچنین شامل دو نقص اجرای کد از راه دور "CVE-2020-0618" و "CVE-2020-0662" در سرورهای 2012، 2014 و 2016 (32 و 64 بیتی) SQL و ویندوز 7، 8.1، 10، به‌ترتیب سرور 2008 ، 2012 ، 2016 و 2019 هستند.
به‌گفته‌‌ی محققان، این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند تا به یک سیستم دسترسی داشته باشند و مطالب را بخوانند یا حذف کنند، تغییراتی ایجاد یا مستقیماً کد را روی سیستم اجرا نمایند. این دسترسی سریع و آسان به یک مهاجم اجازه می‌دهد تا نه‌تنها به مهم‌ترین داده‌های سازمانی که در سرور SQL ذخیره شده است دسترسی پیدا کند، بلکه این امکان را فراهم می‌کند تا حملات مخرب اضافی را علیه سایر دستگاه‌های اطراف انجام دهند.
راه‌حل‌های امنیتی
کاربران می‌توانند با نصب به‌روزرسانی‌های منتشرشده در این ماه، سیستم‌ها را از تهدیدات مربوط به آسیب‌پذیری‌های موجود، محافظت کنند. به‌روزرسانی‌های این ماه به‌صورت عمده تحویل داده می‌شوند، بنابراین با پذیرش به‌روزرسانی، به‌طور خودکار وصله‌های امنیتی برای 99 نقص، نصب می‌شوند.
کاربران همچنین می‌توانند برنامه‌های سیستم محافظ خودکار را نصب کنند که اختلالات را به حداقل می‌رساند و تضمین می‌کند که برنامه‌های مهم و داده‌های حساس شرکت محافظت و به‌روز می‌شوند.

محققان امنیتی، یک حفره‌ی امنیتی در درایورهای مادربرد گیگابایت شناسایی کردند که می‌تواند منجر به آلوده‌شدن سیستم کاربر به باج افزاری به نام رابین‌هود شود.
این حفره‌ی امنیتی که با شناسه‌ی "CVE-2018-19320" به‌ثبت رسیده است، در یک درایور سطح هسته‌ی گیگابایت به نام "gdrv.sys" نهفته است که به مهاجم، امکان دسترسی به مجوزهای ممنوعه را می‌دهد.
به‌طور معمول، فرایندهای امنیتی ویندوز فقط توسط درایورهای هسته ازکار می‌افتند. به‌منظور جلوگیری از سوءاستفاده از درایورهای هسته، مایکروسافت یک مکانیسم تأیید امضای درایور را پیاده‌سازی کرده است که فقط درایورهای هسته با هماهنگی مایکروسافت قابل نصب هستند.
اما اکنون مهاجمان، یک درایور آسیب‌پذیر شناخته‌شده‌ی گیگابایت را نصب کرده و از یک آسیب‌پذیری شناخته‌شده برای غیرفعال‌کردن ویژگی اجرای امضای درایور مایکروسافت سوءاستفاده کردند.
گیگابایت استفاده از این درایور را کنار گذاشته اما هنوز بر روی هزاران رایانه یافت می‌شود و تهدیدی برای کاربران آن‌ها است. متأسفانه امضای دیجیتال این درایور هنوز باطل نشده است و ویندوز همچنان اجازه‌ی نصب آن‌را می‌دهد.
در حملات انجام‌شده، مهاجم از طریق این درایور آسیب‌پذیری گیگابایت، یک درایور دیگر را به سیستم تزریق می‌کند که قادر به از کار انداختن محصولات امنیتی، عبور از لایه‌های امنیتی ویندوز و نصب باج‌افزار رابین‌هود است.
اپراتورهای رابین‌هود در حملات خود طبق مراحل زیر عمل می‌کنند:
• نفوذ به شبکه شرکت هدف،
• نصب درایور مشروع Gigabyte GDRV.SYS،
• بهره‌برداری از آسیب‌پذیری درایور فوق جهت دسترسی به هسته،
• سوءاستفاده از این دسترسی برای غیرفعال‌سازی موقت امضای دیجیتال درایور در ویندوز،
• استفاده از درایور مخرب هسته RBNL.SYS جهت غیرفعال‌سازی یا متوقف‌کردن آنتی‌ویروس‌های میزبان آلوده،
• راه‌اندازی باج افزار رابین‌هود و رمزنگاری فایل‌های قربانی.
قربانیان این باج‌افزار باید برای رمزگشایی فایل‌های خود مبلغی بپردازند و اگر از پرداخت خودداری کنند، مبلغ باج روزانه 10 هزار دلار بالا می‌رود.
محققان معتقدند که راهی برای کمک به کاربران و جلوگیری از این حمله در سیستم‌های دارای ویندوز 7، 8 و 10 وجود ندارد و کاربران باید همچنان از نرم‌افزارهای امنیتی خود برای جلوگیری از حملات استفاده کنند.

Adobe در به‌روزرسانی ماه فوریه‌ی سال 2020، 42 آسیب‌‌پذیری در پنج نرم‌افزار معروف خود را برطرف ساخته است که 35 مورد از آن‌ها از نظر شدت بحرانی رتبه‌بندی شده‌اند.
چهار نرم‌افزار از پنج نرم‌افزار متأثر لیست‌شده در ذیل، حداقل به یک آسیب‌پذیری بحرانی که منجر به اجرای کد راه دور می‌شود و به مهاجمان اجازه‌ی کنترل کامل سیستم‌های آسیب‌پذیر را می‌دهد، آسیب‌پذیر هستند. این پنج نرم‌افزار عبارتند از:
• Adobe Framemaker
• Adobe Acrobat and Reader
• Adobe Flash player
• Adobe Digital Edition
• Adobe Experience Manager
نرم‌افزار Framemaker (نرم‌افزار پیشرفته‌ی پردازش سند)، شامل 21 نقص بحرانی خطای بافر، سرریز heap، خرابی حافظه و نوشتن خارج از محدود است که سوءاستفاده از آن‌ها منجر به حملات اجرای کد می‌شود. نسخه‌های 2019.0.4 و پیش از آن نرم‌افزار Framemaker در Windows تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند.
Adobe Acrobat and Reader شامل 12 آسیب‌پذیری بحرانی سرریز heap، خطای بافر، نقص‌های استفاده پس از آزادسازی و افزایش امتیاز که منجر به اجرای کد راه‌دور و نوشتن دلخواه سیستم‌فایل می‌شوند، 3 آسیب‌پذیری مهم خواندن خارج از محدوده که منجر به افشای اطلاعات می‌شوند و دو آسیب‌پذیری متوسط فرسودگی پشته که منجر به نشت حافظه می‌شوند، است. نسخه‌های Adobe Acrobat DC، Reader DC، Acrobat/Reader 2017 و Acrobat/Reader 2015 در ویندوز و macOS. تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند.
به‌روزرسانی ماه فوریه سال 2020 Adobe، یک نقص بحرانی در Adobe Flash Palyer را نیز وصله کرده است. این نقص بحرانی سردرگمی نوع که با شناسه‌ی CVE-2020-3757 ردیابی می‌شود، اگر مورد سوءاستفاده قرار گیرد می‌تواند منجر به اجرای کد دلخواه شود. نسخه‌‌های 32.0.0.321 و پیش از آن نرم‌افزار Adobe Flash Player در Windows، MacOS، Linux و Chrome OS تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند.
Adobe همچنین دو آسیب‌پذیری قابل توجه در نرم‌افزار Adobe Digital Edition، نسخه‌ی 4.5.11 در ماشین‌های ویندوزی را نیز در به‌روزرسانی ماه فوریه سال 2020 خود برطرف ساخته است. آسیب‌پذیری اول که با شناسه‌ی CVE-2020-3759 ردیابی می‌شود، یک نقص امنیتی مهم بافر است که سوءاستفاده از آن منجر به نشت اطلاعات می‌شود. آسیب‌پذیری دوم که شدیدتر نیز است با شناسه‌ی CVE-2020-3760 ردیابی می‌شود و یک نقص بحرانی تزریق دستور است که سوءاستفاده از آن می‌تواند منجر به اجرای کد راه‌دور شود.
Adobe Experience Manager (راه‌حل جامع مدیریت محتوا برای ساخت وب‌سایت‌ها، برنامه‌های تلفن همراه و فرم‌ها) در این به‌روزرسانی شامل هیچ نقص امنیتی بحرانی نبوده است؛ اما یک نقص مهم تخلیه منبع که با شناسه‌ی CVE-2020-3741 ردیابی می‌شود وصله شده است. این نقص بر نسخه‌های 6.5 و 6.4 از این نرم‌‌افزار اثر می‌گذارد و سوءاستفاده از آن منجر به حملات انکار سرویس می‌شود.
اگرچه هیچ یک از آسیب‌پذیری‌های نرم‌افزارهای Adobe که در ماه جاری برطرف شده‌اند به صورت علنی افشا نشده یا مورد سوءاستفاده‌ قرار نگرفته‌اند؛ اما به کاربران این نرم‌افزارها شدیداً توصیه می‌‌شود آخرین نسخه‌های این‌نرم‌افزارهای آسیب‌دیده را دانلود و نصب کنند.
اگر سیستمی به‌روزرسانی ماه فوریه سال 2020 Adobe را به طور خودکار دریافت نکرده است، لازم است کاربر به صورت دستی با انتخاب Check for Updates” “Help در نرم‌افزار Adobe خود برای Windows، macOS، Linux و Chrome OS، این به‌روزرسانی را نصب کند.
علاوه‌براین، به کاربران توصیه می‌شود برخی از روش‌های اساسی امنیت سیستم زیر به کار گرفته شود:
• اجرای تمامی نرم‌افزارها با حداقل امتیازات مورد نیاز،
• خودداری از دانلود یا استفاده‌ی فایل‌ها از منابع غیرقابل اعتماد یا ناشناس،
• عدم بازدید از سایت‌های غیر قابل اعتماد یا مشکوک،
• مسدودکردن دسترسی خارجی در سطح شبکه به تمامی سیستم‌های بحرانی، مگر اینگه دسترسی خاصی لازم باشد.

#‫مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند.

به‌روزرسانی‌ امنیتی در ماه فوریه سال 2020 شامل موارد زیر برای محصولات مایکروسافت در درجه حساسیت بحرانی و مهم بوده است.
• Microsoft Edge (Edge HTML - based)
• Internet Explorer
• Windows
• Chakra Core

وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل نوشته شده است. کاربر می‌بایست با استفاده از فرمان winver در CMD نسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.

دانلود پیوست

در این گزارش، به بررسی برنامه #‫فیلترشکن، از دسته بدافزارهای #‫پوشفا پرداخته شده که به تازگی مجددا اقدام به تولید و انتشار بدافزار کرده است. این بدافزار با داشتن مجوزهای دریافت، خواندن و ارسال پیامک قادر است قربانی را عضو سرویس‌های ارزش‌افزوده نماید. مرکز کنترل و فرمان بدافزار نیز در آدرس https://pushfa.app/ قرار دارد که از طریق آن می‌تواند اقدامات مختلفی از جمله دانلود و نصب برنامه دیگر، باز کردن لینک در مرورگر و تلگرام، ارسال پیامک و ... روی دستگاه قربانی انجام دهد. این بدافزار در تلگرام توسط گسترده‌های تبلیغاتی در چندین کانال منتشر شده و ممکن است قربانیان زیادی داشته باشد. در ادامه به بررسی بیشتر بدافزار فیلترشکن پرداخته شده است.

بررسی برنامه فیلترشکن

دانلود گزارش تکمیلی