فا

‫ اخبار

رمزگشای باج‌افزار KoKoKrypt توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.

این باج‌افزار که به نام KoKoLocker# نیز شناخته می‌شود، با بهره گیری از الگوریتم AES-256 فایل‌های قربانیان را رمزگذاری کرده و پیغام‌ باج‌خواهی خود را در قالب یک پنجره به صورت زیر در سیستم قربانی نمایش می‌دهد:
در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .kokolocker می‌باشند. می‌توانید با این رمزگشا فایل‌های خود را رمزگشایی کنید.


به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:

https://www.emsisoft.com/ransomware-decryption-tools/kokokrypt

1 اردیبهشت 1399 برچسب‌ها: اخبار
هکرها با استفاده از بدافزار ارتقا یافته‌ی Agent Tesla، رمزهای عبور WiFi را سرقت می‌کنند.

#AgentTesla یک سارق اطلاعات قابل خرید از فوروم‌ها و دارای قابلیت keylogging و تروجان دسترسی از راه دور (RAT) است. این بدافزار که حداقل از سال 2014 تاکنون فعال است و به تازگی در لیست "10 مورد از رایج‌ترین تهدیدات" رتبه‌ی دوم را به خود اختصاص داده است، اخیراً بوسیله‌ی صدور فرمان netsh نه تنها لیستی از WiFiهای دردسترس و رمزهای عبور هر پروفایل، بلکه اطلاعات گسترده‌ای را در مورد سیستم مانند کلاینت‌هایFTP، مرورگرها، نام‌کاربری، نام رایانه، نام ‌سیستم‌عامل، معماریCPU ، رم و غیره را نیز استخراج می‌کند.

برخی از انواع جدید بدافزارهای سرقت اطلاعاتی Agent Tesla اکنون دارای یک ماژول اختصاصی برای سرقت رمزهای عبور WiFi از دستگاه‌های آلوده هستند، اطلاعات کاربری که ممکن است در حملات بعدی برای گسترش و به خطر انداختن سایر سیستم‌ها در همان شبکه‌ی بی‌سیم استفاده شود.
نمونه‌های جدید به شدت مبهم‌سازی شده‌اند و توسط نویسندگان بدافزار طراحی شده‌اند تا بوسیله‌ی صدور یک دستور netsh با یک آرگومان wlan show profileو لیست‌کردن تمام پروفایل‌های WiFi در دسترس، اطلاعات‌ کاربری بی‌سیم را از رایانه‌های به خطر افتاده جمع‌آوری کنند.
همانطور که تیم اطلاعات تهدید Malwarebytes دریافته‌اند، برای به‌دست‌آوردن رمزهای عبور WiFi از‌SSID های کشف شده )نام شبکه‌های(Wi-Fi ، سارق اطلاعاتی Agent Tesla برای نمایش و استخراج رمزعبور، برای هر پروفایل یک دستور جدید netsh را با اضافه‌کردن SSID و یک آرگومان key=clear صادر می‌کند.
به گزارش Malwarebytes فایل اجرایی علاوه بر پروفایل‌هایWi-Fi ، اطلاعات گسترده‌ای را در مورد سیستم شامل کلاینت‌های FTP ، مرورگرها ، بارگیری فایل‌ها ، اطلاعات دستگاه (نام کاربری، نام رایانه، نام‌سیستم عامل، معماریCPU ، رم) جمع آوری کرده و آن‌ها را به لیست اضافه می‌کند.

دانلود متن کامل

1 اردیبهشت 1399 برچسب‌ها: اخبار, هشدارها و راهنمایی امینتی
ایجاد‌کننده اطلاع‌رسانی‌ها

شرکت #Cisco یکی از بزرگترین تولیدکنندگان تجهیزات نرم‌افزاری و سخت‌افزاری شبکه می‌باشد که با توجه به پیشرفت روزافزون حوزه فناوری اطلاعات و به موازات آن افزایش چشم‌گیر تهدیدات سایبری در سطح جهان و آسیب‌پذیری‌های موجود در این تجهیزات می‌تواند موجب به خطر افتادن اطلاعات کاربران شود. از این رو بخش‌های مختلفCisco به صورت مداوم و چندین مرتبه در ماه اقدام به ارائه آسیب‌پذیری‌های کشف شده در سرویس‌ها و تجهیزات این شرکت و رفع این آسیب‌پذیری‌ها می‌شوند. در این گزارش آسیب‌‎پذیری‌های با سطح (Critical) ارائه شده است. همچنین محصولاتی که دارای این آسیب‌پذیری‌ها هستند نیز مشخص شده است و با مراجعه به لینک مشخص شده اطلاعات جامع در مورد آسیب‌پذیری و نحوه رفع آن داده شده است.

دریافت گزارش

1 اردیبهشت 1399 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

به‌روزرسانی‌های امنیتی ماه آوریل #‫مایکروسافت، وصله‌هایی برای 113 آسیب‌پذیری، ازجمله دو نقص اجرای کد از راه دور در ویندوز که به‌طور فعال مورد سوءاستفاده قرار می‌گیرند، منتشر شد.
17 آسیب‌پذیری از اهمیت بحرانی برخوردار هستند و بقیه نیز به‌عنوان مهم ارزیابی می‌شوند.
نقص‌هایی که مایکروسافت در این ماه به آن پرداخته است، بر روی Windows ، Edge ، Internet Explorer ، Office ، Windows Defender ، Dynamics، برنامه‌های اندروید و مک و سایر محصولات تأثیر می‌گذارد.
دو نقص اجرای کد از راه دور (RCE) در ویندوز که با عناوین "CVE-2020-1020" و "CVE-2020-0938" ردیابی می‌شوند، مربوط به کتابخانه‌ی Adobe Type Manager هستند.
آسیب‌پذیری "CVE-2020-1020" زمانی به‌وجود می‌آید که کتابخانه‌ی Windows Adobe Type Manager، یک قلم (فونت) خاص ساخته‌شده (فرمت Adobe Type 1 PostScript ) را به‌نادرستی بکار می‌برد.
کتابخانه‌ی قلم آسیب‌دیده نه‌تنها وقتی که با یک نرم‌افزار شخص ثالث باز است، محتوا را تجزیه می‌کند بلکه توسط اکسپلورر ویندوز برای نمایش محتوای یک پرونده در «پیش نمایش صفحه» یا «جزئیات صفحه» استفاده می‌شود، بدون اینکه نیازی به بازکردن آن توسط کاربر داشته باشد.
نقص "CVE-2020-0938" نیز در کتابخانه‌ی Adobe Type Manager مستقر است که هنگام تجزیه‌ی یک قلم مخرب OpenType به‌وجود می‌آید.
مایکروسافت خاطرنشان کرد که حمله‌ی موفقیت‌آمیز بر روی سیستم‌های دارای نسخه‌های پشتیبانی‌شده از ویندوز 10 تنها می‌تواند منجر به اجرای کد در یک بستر sandbox در AppContainer با امتیازات و قابلیت‌های محدود شود.
سومین نقص ویندوز توسط مایکروسافت، به‌عنوان "CVE-2020-1027" ردیابی شده است. طبق گفته‌ی مایکروسافت، این آسیب‌پذیری یک عیب هسته‌ی ویندوز است که به‌طور فعال در اینترنت مورد سوءاستفاده قرار می‌گیرد.
به‌گفته‌ی این شرکت، این آسیب‌پذیری افزایش امتیاز به گونه‌ای است که هسته‌ی ویندوز از اشیاء موجود در حافظه استفاده می‌کند. مهاجمی که با موفقیت از این آسیب‌پذیری سوءاستفاده کرده است، می‌تواند کد را با مجوزهای بالا اجرا کند. برای سوءاستفاده از این آسیب‌پذیری، یک مهاجم معتبر محلی می‌تواند یک برنامه‌ی ساختگی ویژه را اجرا کند.
مسئله‌ی دیگری که به‌طور گسترده در حملات، مورد بهره‌برداری قرار گرفته است، مسئله‌ی اجرای کد از راه دور در اینترنت اکسپلورر به‌عنوان "CVE-2020-0968" است. این آسیب‌پذیری که در نحوه‌ی کنترل موتور اسکریپت‌نویسی اشیاء در حافظه، وجود دارد، می‌تواند حافظه را به‌گونه‌ای خراب کند که یک مهاجم بتواند کد دلخواه را در متن کاربر فعلی اجرا کند. مهاجمی که با موفقیت از این آسیب‌پذیری سوءاستفاده کرده است، می‌تواند همان کاربر فعلی را به دست آورد. اگر کاربر فعلی با استفاده از حقوق کاربر اداری وارد سیستم شود، مهاجمی که با موفقیت از آسیب‌پذیری سوءاستفاده کرده باشد، می‌تواند کنترل یک سیستم آسیب‌دیده را به‌دست بگیرد. سپس مهاجم می‌تواند برنامه‌هایی را نصب کند، داده‌ها را تغییر دهد یا مشاهده و حذف کند یا حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
به‌روزرسانی ماه آوریل همچنین شامل وصله‌هایی برای 5 عیب اساسی است که بر Microsoft Office SharePoint تأثیر می‌گذارند. 4 مورد از آن‌ها به‌دلیل عدم موفقیت نرم‌افزار در بررسی نشانه‌ی منبع یک بسته‌ی برنامه، به‌وجود می‌آیند و به مهاجمین راه دور امکان اجرای کد دلخواه در دستگاه‌های آسیب‌دیده می‌دهند.
پنجمین عیب SharePoint یک مسئله‌ی اسکریپت مخرب (XSS) در سطح سایت است (CVE-2020-0927) که می‌تواند توسط یک مهاجم معتبر، با ارسال یک درخواست خاص دستکاری‌شده به سرور SharePoint آسیب‌دیده، مورد سوءاستفاده قرار بگیرد.
سایر نقص‌های مهم مایکروسافت که در این ماه برطرف شده است، بر موتور برنامه‌نویسی Chakra ، Microsoft Dynamics 365 Business Central، بنیاد رسانه، اجزای گرافیکی و VBScript تأثیر می‌گذارند و همه‌ی آن‌ها منجر به حملات اجرای کد از راه دور می‌شوند.
به کاربران ویندوز و مدیران سیستم به‌شدت توصیه می‌شود که در اسرع وقت، آخرین به‌روزرسانی‌های امنیتی را برای جلوگیری از امکان دسترسی مجرمان سایبری و هکرها به رایانه‌های خود، اعمال کنند.
کاربران می‌توانند برای نصب جدیدترین به‌روزرسانی‌های امنیتی ویندوز، به تنظیمات ← به‌روزرسانی و امنیت ← به‌روزرسانی ویندوز← بررسی وجود به‌روزرسانی‌ در رایانه، بروند یا می‌توانند به‌روزرسانی‌ها را به‌صورت دستی نصب کنید.

1 اردیبهشت 1399 برچسب‌ها: اخبار
رفع 405 آسیب‌پذیری امنیتی جدید در پایگاه‌داده اوراکل

#‫اوراکل یک بروزرسانی امنیتی فوری را برای آسیب‌پذیری‌های بحرانی اجرای کد از راه دور، که به واسطه آنها مهاجم می‌تواند کنترل تمام سیستم را بدست آورد، منتشر کرد.
اطلاعیه 14 آوریل 2020، وصله 405 آسیب‌پذیری امنیتی جدید را نشان می‌دهد. اوراکل به مشتریان خود توصیه می‌کند که در اسرع وقت، این وصله امنیتی را اعمال نمایند.
محصولاتی که در این بروزرسانی امنیتی قرار می‌گیرند عبارتند از:
وصله 9 آسیب‌پذیری امنیتی جدید در سرور دیتابیس اوراکل (Oracle Database Server)، که از میان آنها 2 آسیب‌پذیری می‌تواند توسط یک مهاجم از راه دور، بدون احراز هویت، مورد سوء‌استفاده قرار گیرد.
بروزرسانی یک آسیب‌پذیری امنیتی بحرانی در Global Lifecycle Management اوراکل، که مهاجم می‌تواند این آسیب‌پذیری را تنها با داشتن اطلاعات کاربر، اکسپلویت نماید.
وصله یک آسیب‌پذیری موجود در Secure Backup اوراکل، این آسیب‌پذیری می‌تواند توسط مهاجم از راه دور و بدون تایید هویت، مورد سوء‌استفاده قرار گیرد.
برنامه‌های ارتباطی اوراکل، تعداد بالایی از این وصله‌های امنیتی را به خود اختصاص داده‌اند. در کل، 39 وصله امنیتی مربوط به این بخش می‌باشد که از میان آنها، 35 مورد می‌تواند از راه دور و بدون احراز هویت مورد اکسپلویت قرار گیرد.
Construction and Engineering اوراکل نیز 12 وصله امنیتی را به خود اختصاص داده‌اند که از 9 مورد آنها می‌توان از راه دور و بدون تایید هویت بهره‌برداری کرد.
E-Business Suite اوراکل نیز 74 وصله امنیتی دریافت کرده‌اند که 71 مورد از آنها از راه دور قابل اکسپلویت هستند.
برنامه‌های Financial Services اوراکل 34 وصله امنیتی جدید و Fusion Middleware اوراکل نیز 56 وصله امنیتی دریافت می‌کنند.
این بروزرسانی، 45 آسیب‌پذیری امنیتی جدید در Oracle MySQL و 19 آسیب‌پذیری را در سرور virtualization اوراکل پوشش می‌دهد.


منابع
https://www.oracle.com/security-alerts/cpuapr2020.html
https://gbhackers.com/oracle-critical-patch/

31 فروردین 1399 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

سه #‫آسیب‌پذیری با شدت «مهم»، نسخه‌های 2016 و 2018 از ColdFusion را تحت‌تأثیر قرار داده‌‌اند و سوءاستفاده از آن‌ها می‌تواند به ترتیب منجر به افشای اطلاعات (CVE-2020-3767)، افزایش امتیاز (CVE-2020-3768) و انکار سرویس (CVE-2020-3796) شود.
شرکت #Adobe یک آسیب‌پذیری خواندن خارج از محدوده با شدت «مهم» در After Effects را نیز برطرف ساخته است که سوءاستفاده از آن می‌تواند منجر به افشای اطلاعات در متن کاربر فعلی شود. این نقص با شناسه‌ی CVE-2020-3809 ردیابی می‌شود. برای سوءاستفاده از این آسیب‌پذیری، قربانی باید از یک صفحه‌ی مخرب بازدید کند یا یک فایل مخرب را باز کند. این نقص در تجزیه‌ی فایل‌های TIF وجود دارد. داده‌های ساختگی در یک فایل TIF می‌توانند منجر به خواندن در خارج از انتهای بافر اختصاص‌ داده شده شود. این آسیب‌پذیری نسخه‌های 17.0.1 و پیش از آن برنامه‌ی After Effects را تحت‌تأثیر قرار داده است و در نسخه‌های 17.0.6 از این برنامه در سیستم‌عامل‌های ویندوز و macOS، برطرف شده است.
آخرین وصله، مربوط به یک آسیب‌پذیری افشای اطلاعات با شدت «مهم» است که با شناسه‌ی CVE-2020-3798 ردیابی می‌شود. این نقص ناشی از شمارش فایل (میزبان یا شبکه‌ی محلی) است. نسخه‌های 4.5.11.187212 و قبل از آن در ویندوز تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند و در نسخه‌ی 4.5.11.187303 برطرف شده است.
هیچ یک از نقص‌های نامبرده، در حملات مورد سوءاستفاده قرار نگرفته‌اند و Adobe معتقد است بعید است مهاجمان بتوانند از این نقص‌ها به‌زودی سوءاستفاد کنند.
Adobe به کاربران توصیه می‌کند با استفاده از دستورالعمل‌های ذکر شده در بولتین امنیتی هر محصول، نصب محصولات خود را به آخرین نسخه به‌روز کنند.

31 فروردین 1399 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

آسیب‌پذیری اجرای کد از راه دور و حمله DoS در وب سرور IP Phones سیسکو
یک آسیب‌پذیری در وب سرور IP Phones سیسکو با شناسه "CVE-2020-3161" و شدت Critical کشف شده است که می‌تواند به یک مهاجم غیرمجاز و تایید هویت نشده اجازه دهد تا کد دلخواه خود را با دسترسی root اجرا کرده و باعث reload شدن یک IP phone آسیب‌دیده و در نتیجه حمله denial of service (DoS) گردد.

دانلود پیوست

31 فروردین 1399 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
آسیب پذیری سرویس فضای ذخیره سازی FreeNas با شماره CVE-2020-116

یک آسیب پذیری مهم برروی رابط کاربری تحت وب ابزار #FreeNAS محصول کمپانی #iXsystems با شماره CVE-2020-11650 منتشر شده است که امکان اجرای حملات DOS را برای مهاجم فراهم می‌سازد. اسکریپت مخرب بهره برداری از این آسیب پذیری نیز منتشر شده است. نسخه های 11.2 قبل از 11.2-u8 و 11.3 قبل از 11.3-u1 آسیب پذیر می باشند. توصیه می شود در اولین فرصت نسبت به بروز رسانی این محصول به FreeNAS/TrueNAS 11.2-u8 یا بالاتر اقدام نمایید.


جهت دریافت اطلاعات بیشتر به لینک های زیر مراجعه فرمایید:


https://jira.ixsystems.com/browse/NAS-104748
https://security.ixsystems.com/cves/2020-04-08-cve-2020-11650/

30 فروردین 1399 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

آسیب پذیری CVE-2020-3952 یک آسیب پذیری بحرانی با شدت مقیاس( CVSSv3) ۱۰.۰ می باشد. این آسیب پذیری در سرویس دایرکتوری VMware با نام (vmdir) وجود دارد، Vmdir بخشی از محصول VMware vCenter server است. این محصول به مدیران شبکه این امکان را می دهد تا ماشین های مجازی و میزبان های مجازی را در یک کنسول به صورت متمرکز کنترل کنند. ورود به این کنسول از طریق یک مکانیزم ورود به حساب SSO مدیریت می شود که به مدیر سیستم این اجازه را می دهد تا با تایید اعتبار خود به اطلاعات تمامی میزبان ها یا VM ها دسترسی داشته باشد و آن ها را کنترل کند. این آسیب پذیری که مدتی قبل توسط این شرکت وصله شد به مهاجم این امکان را می دهد تا مکانیزم ورود به حساب را دور بزند و به اطلاعات و دسترسی های مهمی مانند کل زیر ساخت مجازی و همچنین ماشین های مجازی دسترسی پیدا کند. این اطلاعات می تواند مهاجم را در اقدامات مخرب بعدی کمک کند.
نسخه های آسیب پذیر
vCenter Server 6.7 و نسخه های قبل از 6.7u3f
نکته : صرفا اگر محصول از نسخه های قبل تر مانند 6.0 , 6.5 به نسخه 6.7 ارتقاء داده شده باشد، آسیب پذیر می باشد.
راه حل
استفاده از وصله های امنیتی قرار داده شده در وب سایت شرکت توسعه دهنده نرم افزار.
https://www.vmware.com/security/advisories/VMSA-2020-0006.html
https://kb.vmware.com/s/article/78543
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3952

30 فروردین 1399 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

با توجه به اینکه تبلیغات از طریق برنامک‌های موبایل روز به روز در حال افزایش است، کارشناسان آزمایشگاه امنیت موبایل مرکز ماهر با رصد فروشگاه‌ برنامک اندرویدی کافه بازار یک تبلیغ‌افزار اندرویدی تحت عنوان «استخاره» را کشف کردند که روزانه تعداد زیادی اعلان تبلیغاتی با عناوین مختلف به کاربر نشان می‌دهد که در اکثر موارد کاربر با کلیک کردن روی آن‌ها به صفحاتی هدایت می‌شود که امکان سوء استفاده از او را دارند. همچنین این برنامک، اطلاعات تلفن همراه کاربر مانند مدل تلفن همراه، شناسه یکتای دستگاه (IMEI) و... را به یک وب سرور تبلیغاتی ارسال می‌کند. لازم به ذکر است این برنامک موقعیت مکانی و دیگر اطلاعات تلفن همراه کاربر مانند مدل تلفن همراه، شناسه یکتای دستگاه (IMEI) و ... را به وب‌سرور تبلیغاتی دیگری نیز ارسال می‌کند. در ادامه به توضیح نحوه عملکرد این برنامک پرداخته می‌شود.

دانلود پیوست

صفحات: 1 2 3 4 5 »