‫ اخبار

#‫مایکروسافت به‌روزرسانی‌های امنیتی ماه فوریه‌ی خود را منتشر کرد. به‌روزرسانی‌های این ماه، اصلاحاتی برای 99 آسیب‌پذیری ارایه می‌دهد و بزرگترین به‌روزرسانی مایکروسافت تا به امروز به‌شمار می‌رود.
بیشتر نقص‌های مهم، مربوط به اجرای کد از راه دور و اشکالات فساد حافظه در سرویس‌هایی مانند موتور اسکریپت IE، سرویس کنترل از راه دور میز کار، پرونده‌های LNK و مؤلفه‌ی Media Foundation هستند.
آسیب‌پذیری فساد حافظه‌ی موتور اسکریت
آسیب‌پذیری "CVE-2020-0674" یک آسیب‌پذیری روز صفرم در نحوه‌ی کار موتور رندر Trident در اشیاء در حافظه است. یک مهاجم می‌تواند از این نقص برای اجرای کد با همان امتیازاتی که به کاربر داده شده است، استفاده کند. استفاده از اینترنت اکسپلورر برای ایجاد این نقص ضروری نیست و روش‌های دیگر (مانند اسناد اداری خاص ساخته‌شده) نیز قابل سوءاستفاده است. این نقص برای اولین بار در اواسط ژانویه توسط مایکروسافت مشاهده شد و تنها نقص بحرانی است که تا به امروز مورد سوء استفاده قرار گرفت.
آسیب‌پذیری LNK
مهم‌ترین آسیب‌پذیری اجرای کد از راه دور‌ (RCE) در این ماه، "CVE-2020-0729" است که می‌تواند متقاعدکردن کاربر برای بازکردن یک اشتراک از راه دور یا قراردادن فایل ".LNK" مخرب روی درایو USB و بازکردن کاربر، مورد سوءاستفاده قرار گیرد. سوءاستفاده‌ی موفقیت‌آمیز از این آسیب‌پذیری، می‌تواند به مهاجمان، حقوق کاربر محلی را اعطا کند.
این نقص، مشابه اشکالی است که توسط بدافزار "Stuxnet" مورد سوءاستفاده قرار گرفته است. Stuxnet برای به‌دست آوردن امکانات غنی‌سازی هسته‌ای ایران در سال 2012 مورد استفاده قرار گرفت.
آسیب‌پذیری‌های کنترل از راه دور میز کار
"CVE-2020-0681" و "CVE-2020-0734" آسیب‌پذیری‌های RCE هستند که در "Windows Remote Desktop Client" وجود دارند. مهاجمان می‌توانند هنگام اتصال یک کاربر به یک سرور مخرب، از این آسیب‌پذیری‌ها سوءاستفاده کنند. این کار به آن‌ها امکان نصب برنامه‌ها، دسترسی و تغییر داده‌ها و همچنین ایجاد حساب‌های جدید با حقوق کامل کاربر را می‌دهد.
"CVE-2020-0655" نیز یک آسیب‌پذیری RCE در خدمات میز کار از راه دور است (که قبلاً به عنوان خدمات پایانه شناخته می‌شد). هیچ‌گونه نیازی به تعامل با کاربر برای سوءاستفاده از این آسیب‌پذیری وجود ندارد. مهاجمان می‌توانند برای اجرای یک کد دلخواه و به‌دست‌آوردن حقوق کاملی از کاربر، از طریق پروتکل کنترل از راه دور میز کار (RDP)، درخواست‌های دستکاری‌شده‌ی ویژه‌ای را به سرویس هدف از راه دور از طریق سیستم هدف خود ارسال کنند.
"CVE-2020-0660" یک آسیب‌پذیری انکار سرویس است که مهاجمان می‌توانند در سرورهای RDP Gateway از آن سوءاستفاده کنند. در صورت موفقیت، آن‌ها می‌توانند با استفاده از RDP به یک سرور هدف آسیب‌پذیر متصل شوند و درخواست‌های سفارشی ارسال کنند که می‌تواند باعث شود سرویس RDP روی سیستم هدف از پاسخ دادن، متوقف شود.
آسیب‌پذیری‌های افزایش سطح امتیازات
55 آسیب‌پذیری برای افزایش امتیاز در این ماه برای بخش‌های مختلف ازجمله هسته‌ی ویندوز، جستجوی شاخص‌بندی، DirectX و ابزار حذف نرم‌افزارهای مخرب درنظر گرفته شده است. یکی از تهدیدهای جدی‌، آسیب‌پذیری "CVE-2020-0692" است که می‌تواند با اجرای یک حمله‌ی مرد میانی (MITM) برای ارسال درخواست احراز هویت به سرور مایکروسافت Exchange مورد سوءاستفاده قرار بگیرد. این نقص به مهاجمان اجازه می‌دهد تا کاربر دیگری از Exchange را جعل کنند.
آسیب‌پذیری‌های موجود در SQL
اشکالات قابل ملاحظه در این ماه همچنین شامل دو نقص اجرای کد از راه دور "CVE-2020-0618" و "CVE-2020-0662" در سرورهای 2012، 2014 و 2016 (32 و 64 بیتی) SQL و ویندوز 7، 8.1، 10، به‌ترتیب سرور 2008 ، 2012 ، 2016 و 2019 هستند.
به‌گفته‌‌ی محققان، این آسیب‌پذیری‌ها به مهاجمان اجازه می‌دهند تا به یک سیستم دسترسی داشته باشند و مطالب را بخوانند یا حذف کنند، تغییراتی ایجاد یا مستقیماً کد را روی سیستم اجرا نمایند. این دسترسی سریع و آسان به یک مهاجم اجازه می‌دهد تا نه‌تنها به مهم‌ترین داده‌های سازمانی که در سرور SQL ذخیره شده است دسترسی پیدا کند، بلکه این امکان را فراهم می‌کند تا حملات مخرب اضافی را علیه سایر دستگاه‌های اطراف انجام دهند.
راه‌حل‌های امنیتی
کاربران می‌توانند با نصب به‌روزرسانی‌های منتشرشده در این ماه، سیستم‌ها را از تهدیدات مربوط به آسیب‌پذیری‌های موجود، محافظت کنند. به‌روزرسانی‌های این ماه به‌صورت عمده تحویل داده می‌شوند، بنابراین با پذیرش به‌روزرسانی، به‌طور خودکار وصله‌های امنیتی برای 99 نقص، نصب می‌شوند.
کاربران همچنین می‌توانند برنامه‌های سیستم محافظ خودکار را نصب کنند که اختلالات را به حداقل می‌رساند و تضمین می‌کند که برنامه‌های مهم و داده‌های حساس شرکت محافظت و به‌روز می‌شوند.

#‫موزیلا جدیدترین نسخه‌ از مرورگر فایرفاکس خود را راه‌اندازی کرده است. فایرفاکس 73 و فایرفاکس ESR 68.5 نقص‌های امنیتی شدید را که امکان حمله توسط مهاجم از راه دور را فراهم می‌نمایند، رفع می‌کنند.
مرورگر فایرفاکس ESRنسخه‌ی گسترش‌یافته‌ی پشتیبانی فایرفاکس است که برای استقرار گسترده طراحی شده است. هر دو نسخه‌ی فایرفاکس، شش آسیب‌پذیری را برطرف می‌کنند. دو مورد از این اشکالات (CVE-2020-6800 و CVE-2020-6801) دارای شدت بالا هستند که به یک مهاجم راه دور اجازه می‌دهند تا با جلب کاربران برای بازدید از یک وب‌سایت خاص و استفاده از نقص‌های فساد حافظه‌ی مرورگر، کد را در دستگاه‌های هدف اجرا کند.
مکانیسم‌های ایمنی حافظه‌، سیستم‌ها را از اشکالات نرم‌افزاری متنوعی که به حافظه وصل هستند مانند سرریز بافر و سایر موارد، محافظت می‌کند. طبق تجزیه و تحلیل‌های انجام‌شده، یک مهاجم راه دور می‌تواند با ترغیب یک قربانی به مراجعه به یک وب‌سایت دستکاری‌شده، از یکی از این آسیب‌پذیری‌ها سوءاستفاده کند و سپس از «بردارهای حمله‌ی ناشناخته» برای اجرای کد دلخواه روی سیستم آسیب‌پذیر استفاده کند یا باعث انکار سرویس (DoS) شود.
یکی دیگر از نقص‌های شدید برطرف‌شده در فایرفاکس 73 (CVE-2020-6796) که دارای‌ نمره‌ی 8.8 از 10 در مقیاس CVSS v3 است، از بررسی مرزهای از دست‌رفته (روشی برای تشخیص اینکه آیا یک متغیر قبل از استفاده دارای محدوده است یا خیر) در فرایند خواندن حافظه‌ی مشترک درون فرایند والدین ناشی می‌شود.
به‌گفته‌ی موزیلا، یک فرایند محتوا می‌تواند حافظه‌ی اشتراکی را تغییر داده و باعث ایجاد نوشتن خارج از محدوده شود. این امر می‌تواند باعث فساد حافظه و خرابی قابل سوءاستفاده شود.
نقص دیگری (CVE-2020-6799) که با شدت متوسط توسط فایرفاکس 73 مورد بررسی قرار گرفته است، ناشی از خطایی هنگام بازکردن پیوندهای PDF از برنامه‌های دیگر است (هنگامی که فایرفاکس به‌عنوان پیش‌فرض بازکننده‌ی PDF پیکربندی شده است). طبق گفته‌ی موزیلا، این نقص به مهاجم از راه دور اجازه می‌دهد تا با متقاعدکردن یک قربانی به بازدید از یک سایت دلخواه، یک کد دلخواه را اجرا کند یا یک DoS را انجام دهد.
سایر نقص‌های با شدت متوسط شامل اشکالی هستند که یکی از آن‌ها می‌تواند منجر به تزریق جاوا اسکریپت (CVE-2020-6798) شود و دیگری می‌تواند افزونه‌های راه‌اندازی یک برنامه‌ی دلخواه در رایانه‌های قربانی (CVE-2020-6797 ) را اعطا کند.
کاربران می‌توانند آخرین نسخه‌ی فایرفاکس را از لینک زیر بارگیری کنند.
https://www.mozilla.org/en-GB/firefox/download/thanks/
به‌روزرسانی ماه فوریه‌ی فایرفاکس از ماه ژانویه‌ی آن شدیدتر است و آسیب‌پذیری‌های اساسی را که به‌طور فعال در وب مورد بهره‌برداری قرار می‌گیرند، وصله می‌کند.

محققان امنیتی، یک حفره‌ی امنیتی در درایورهای مادربرد گیگابایت شناسایی کردند که می‌تواند منجر به آلوده‌شدن سیستم کاربر به باج افزاری به نام رابین‌هود شود.
این حفره‌ی امنیتی که با شناسه‌ی "CVE-2018-19320" به‌ثبت رسیده است، در یک درایور سطح هسته‌ی گیگابایت به نام "gdrv.sys" نهفته است که به مهاجم، امکان دسترسی به مجوزهای ممنوعه را می‌دهد.
به‌طور معمول، فرایندهای امنیتی ویندوز فقط توسط درایورهای هسته ازکار می‌افتند. به‌منظور جلوگیری از سوءاستفاده از درایورهای هسته، مایکروسافت یک مکانیسم تأیید امضای درایور را پیاده‌سازی کرده است که فقط درایورهای هسته با هماهنگی مایکروسافت قابل نصب هستند.
اما اکنون مهاجمان، یک درایور آسیب‌پذیر شناخته‌شده‌ی گیگابایت را نصب کرده و از یک آسیب‌پذیری شناخته‌شده برای غیرفعال‌کردن ویژگی اجرای امضای درایور مایکروسافت سوءاستفاده کردند.
گیگابایت استفاده از این درایور را کنار گذاشته اما هنوز بر روی هزاران رایانه یافت می‌شود و تهدیدی برای کاربران آن‌ها است. متأسفانه امضای دیجیتال این درایور هنوز باطل نشده است و ویندوز همچنان اجازه‌ی نصب آن‌را می‌دهد.
در حملات انجام‌شده، مهاجم از طریق این درایور آسیب‌پذیری گیگابایت، یک درایور دیگر را به سیستم تزریق می‌کند که قادر به از کار انداختن محصولات امنیتی، عبور از لایه‌های امنیتی ویندوز و نصب باج‌افزار رابین‌هود است.
اپراتورهای رابین‌هود در حملات خود طبق مراحل زیر عمل می‌کنند:
• نفوذ به شبکه شرکت هدف،
• نصب درایور مشروع Gigabyte GDRV.SYS،
• بهره‌برداری از آسیب‌پذیری درایور فوق جهت دسترسی به هسته،
• سوءاستفاده از این دسترسی برای غیرفعال‌سازی موقت امضای دیجیتال درایور در ویندوز،
• استفاده از درایور مخرب هسته RBNL.SYS جهت غیرفعال‌سازی یا متوقف‌کردن آنتی‌ویروس‌های میزبان آلوده،
• راه‌اندازی باج افزار رابین‌هود و رمزنگاری فایل‌های قربانی.
قربانیان این باج‌افزار باید برای رمزگشایی فایل‌های خود مبلغی بپردازند و اگر از پرداخت خودداری کنند، مبلغ باج روزانه 10 هزار دلار بالا می‌رود.
محققان معتقدند که راهی برای کمک به کاربران و جلوگیری از این حمله در سیستم‌های دارای ویندوز 7، 8 و 10 وجود ندارد و کاربران باید همچنان از نرم‌افزارهای امنیتی خود برای جلوگیری از حملات استفاده کنند.

Adobe در به‌روزرسانی ماه فوریه‌ی سال 2020، 42 آسیب‌‌پذیری در پنج نرم‌افزار معروف خود را برطرف ساخته است که 35 مورد از آن‌ها از نظر شدت بحرانی رتبه‌بندی شده‌اند.
چهار نرم‌افزار از پنج نرم‌افزار متأثر لیست‌شده در ذیل، حداقل به یک آسیب‌پذیری بحرانی که منجر به اجرای کد راه دور می‌شود و به مهاجمان اجازه‌ی کنترل کامل سیستم‌های آسیب‌پذیر را می‌دهد، آسیب‌پذیر هستند. این پنج نرم‌افزار عبارتند از:
• Adobe Framemaker
• Adobe Acrobat and Reader
• Adobe Flash player
• Adobe Digital Edition
• Adobe Experience Manager
نرم‌افزار Framemaker (نرم‌افزار پیشرفته‌ی پردازش سند)، شامل 21 نقص بحرانی خطای بافر، سرریز heap، خرابی حافظه و نوشتن خارج از محدود است که سوءاستفاده از آن‌ها منجر به حملات اجرای کد می‌شود. نسخه‌های 2019.0.4 و پیش از آن نرم‌افزار Framemaker در Windows تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند.
Adobe Acrobat and Reader شامل 12 آسیب‌پذیری بحرانی سرریز heap، خطای بافر، نقص‌های استفاده پس از آزادسازی و افزایش امتیاز که منجر به اجرای کد راه‌دور و نوشتن دلخواه سیستم‌فایل می‌شوند، 3 آسیب‌پذیری مهم خواندن خارج از محدوده که منجر به افشای اطلاعات می‌شوند و دو آسیب‌پذیری متوسط فرسودگی پشته که منجر به نشت حافظه می‌شوند، است. نسخه‌های Adobe Acrobat DC، Reader DC، Acrobat/Reader 2017 و Acrobat/Reader 2015 در ویندوز و macOS. تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند.
به‌روزرسانی ماه فوریه سال 2020 Adobe، یک نقص بحرانی در Adobe Flash Palyer را نیز وصله کرده است. این نقص بحرانی سردرگمی نوع که با شناسه‌ی CVE-2020-3757 ردیابی می‌شود، اگر مورد سوءاستفاده قرار گیرد می‌تواند منجر به اجرای کد دلخواه شود. نسخه‌‌های 32.0.0.321 و پیش از آن نرم‌افزار Adobe Flash Player در Windows، MacOS، Linux و Chrome OS تحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند.
Adobe همچنین دو آسیب‌پذیری قابل توجه در نرم‌افزار Adobe Digital Edition، نسخه‌ی 4.5.11 در ماشین‌های ویندوزی را نیز در به‌روزرسانی ماه فوریه سال 2020 خود برطرف ساخته است. آسیب‌پذیری اول که با شناسه‌ی CVE-2020-3759 ردیابی می‌شود، یک نقص امنیتی مهم بافر است که سوءاستفاده از آن منجر به نشت اطلاعات می‌شود. آسیب‌پذیری دوم که شدیدتر نیز است با شناسه‌ی CVE-2020-3760 ردیابی می‌شود و یک نقص بحرانی تزریق دستور است که سوءاستفاده از آن می‌تواند منجر به اجرای کد راه‌دور شود.
Adobe Experience Manager (راه‌حل جامع مدیریت محتوا برای ساخت وب‌سایت‌ها، برنامه‌های تلفن همراه و فرم‌ها) در این به‌روزرسانی شامل هیچ نقص امنیتی بحرانی نبوده است؛ اما یک نقص مهم تخلیه منبع که با شناسه‌ی CVE-2020-3741 ردیابی می‌شود وصله شده است. این نقص بر نسخه‌های 6.5 و 6.4 از این نرم‌‌افزار اثر می‌گذارد و سوءاستفاده از آن منجر به حملات انکار سرویس می‌شود.
اگرچه هیچ یک از آسیب‌پذیری‌های نرم‌افزارهای Adobe که در ماه جاری برطرف شده‌اند به صورت علنی افشا نشده یا مورد سوءاستفاده‌ قرار نگرفته‌اند؛ اما به کاربران این نرم‌افزارها شدیداً توصیه می‌‌شود آخرین نسخه‌های این‌نرم‌افزارهای آسیب‌دیده را دانلود و نصب کنند.
اگر سیستمی به‌روزرسانی ماه فوریه سال 2020 Adobe را به طور خودکار دریافت نکرده است، لازم است کاربر به صورت دستی با انتخاب Check for Updates” “Help در نرم‌افزار Adobe خود برای Windows، macOS، Linux و Chrome OS، این به‌روزرسانی را نصب کند.
علاوه‌براین، به کاربران توصیه می‌شود برخی از روش‌های اساسی امنیت سیستم زیر به کار گرفته شود:
• اجرای تمامی نرم‌افزارها با حداقل امتیازات مورد نیاز،
• خودداری از دانلود یا استفاده‌ی فایل‌ها از منابع غیرقابل اعتماد یا ناشناس،
• عدم بازدید از سایت‌های غیر قابل اعتماد یا مشکوک،
• مسدودکردن دسترسی خارجی در سطح شبکه به تمامی سیستم‌های بحرانی، مگر اینگه دسترسی خاصی لازم باشد.

#‫مایکروسافت آخرین به‌روزرسانی را برای آسیب‌پذیری‌های نرم افزارها و سیستم‌عامل‌های این شرکت منتشر کرده است. مرکز پاسخگویی امنیتی مایکروسافت (MSRC) تمام گزارش‌های آسیب‌پذیری‌های امنیتی موثر بر محصولات و خدمات مایکروسافت را بررسی می‌کند و اطلاعات را به عنوان بخشی از تلاش‌های مداوم برای کمک به مدیریت خطرات امنیتی و کمک به حفاظت از سیستم‌های کاربران فراهم می‌نماید. MSRC همراه با همکاران خود و محققان امنیتی در سراسر جهان برای کمک به پیشگیری از وقایع امنیتی و پیشبرد امنیت مایکروسافت فعالیت می‌کند.

به‌روزرسانی‌ امنیتی در ماه فوریه سال 2020 شامل موارد زیر برای محصولات مایکروسافت در درجه حساسیت بحرانی و مهم بوده است.
• Microsoft Edge (Edge HTML - based)
• Internet Explorer
• Windows
• Chakra Core

وصله امنیتی هر کدام از آسیب‌پذیری‌ها بر اساس نسخه خاصی از سیستم‌عامل نوشته شده است. کاربر می‌بایست با استفاده از فرمان winver در CMD نسخه سیستم‌عامل خود را بدست آورد سپس وصله امنیتی مورد نظر خود را دانلود نماید.

دانلود پیوست

دو #‫آسیب‌پذیری با درجه اهمیت «بالا» در پروتکل Cisco Discovery Protocol یا #CDP محصولات مختلف سیسکو وجود دارد که می‌تواند به اجرای کد دلخواه یا منع سرویس منجر شوند. پروتکل CDP، تجهیزات سیسکو که مستقیماً به هم متصل هستند را قادر می‌سازد تا اطلاعات مربوط به یکدیگر را کشف کنند.
یک آسیب‌پذیری با شناسه CVE-2020-3119 در نرم‌افزار سیستم‌عامل NX-OS وجود دارد که می‌تواند به یک مهاجم احراز هویت نشده مجاور ، اجازه اجرای کد دلخواه را بدهد یا باعث ریبوت شدن تجهیز شود. این آسیب‌پذیری ناشی از عدم اعتبارسنجی مناسب در فیلدهای خاصی از پیام‌های CDP است. مهاجم می‌تواند با ارسال یک بسته CDP با طراحی خاص شرایط سرریز پشته را سبب شده و در نهایت روی سیستم با دسترسی مدیریتی، کد اجرا کند. امتیاز CVSS 3.0 این آسیب‌پذیری برابر است با 8.8 که درجه اهمیت آن «بالا» محسوب می‌شود.
آسیب‌پذیری دیگر با شناسه CVE-2020- شناخته می شود و نرم‌افزارهای FXOS، IOS XR و NX-OS را تحت تأثیر قرار می‌دهد. مهاجم احراز هویت نشده مجاور با استفاده از این آسیب‌پذیری می‌تواند سیستم هدف را ریبوت کند و در نتیجه باعث منع سرویس شود. علت وجود این آسیب‌پذیری وجود نداشتن یک بررسی ضروری در هنگام بررسی پیام‌های CDP است. مهاجم می‌تواند با ارسال یک بسته CDP بدخواهانه منجر به پر شدن حافظه و در نتیجه ریبوت شدن تجهیز شود. امتیاز CVSS 3.0 این آسیب‌پذیری برابر است با 7.4 که درجه اهمیت آن «بالا» محسوب می‌شود.
لذا برای رفع این دو آسیب‌پذیری باید نرم‌افزار تجهیزات خود را بروزرسانی کنید. اگر بروزرسانی برای شما میسر نیست و به پروتکل CDP نیاز ندارید، آن را به طور عمومی (global) غیرفعال کنید تا راه حمله به کلی بسته شود. اگر به پروتکل CDP تنها روی برخی پورت‌ها نیاز ندارید، آن را روی همان پورت‌ها غیرفعال کنید تا امکان حمله کاهش یابد.

در این گزارش، به بررسی برنامه #‫فیلترشکن، از دسته بدافزارهای #‫پوشفا پرداخته شده که به تازگی مجددا اقدام به تولید و انتشار بدافزار کرده است. این بدافزار با داشتن مجوزهای دریافت، خواندن و ارسال پیامک قادر است قربانی را عضو سرویس‌های ارزش‌افزوده نماید. مرکز کنترل و فرمان بدافزار نیز در آدرس https://pushfa.app/ قرار دارد که از طریق آن می‌تواند اقدامات مختلفی از جمله دانلود و نصب برنامه دیگر، باز کردن لینک در مرورگر و تلگرام، ارسال پیامک و ... روی دستگاه قربانی انجام دهد. این بدافزار در تلگرام توسط گسترده‌های تبلیغاتی در چندین کانال منتشر شده و ممکن است قربانیان زیادی داشته باشد. در ادامه به بررسی بیشتر بدافزار فیلترشکن پرداخته شده است.

بررسی برنامه فیلترشکن

دانلود گزارش تکمیلی

یک محقق امنیتی جزییات فنی از #‫آسیب‌پذیری‌های چندگانه‌ با حساسیت بالا را در پیام‌رسان واتس‌اپ منتشر کرد که با بهره‌برداری از آنها امنیت میلیون‌ها کاربر به خطر خواهد افتاد و یک مهاجم از راه دور می‌تواند با ارسال یک پیام مخرب به قربانی در برنامه واتس‌اپ فایل‌های موجود در سیستم ویندوزی یا mac کاربر را سرقت کند.این آسیبب پذیری با شناسه CVE-2019-18426 که توسط محقق PerimeterX به نام Gal Weizman کشف شده است، در نسخه وب واتس‌اپ واقع شده است.
1 درباره‌ی این آسیب‌پذیری
این آسیب‌پذیری نشان می‌دهد در نسخه وب واتس‌اپ یک آسیب‌پذیری خطرناک از نوع open-redirect وجود دارد که می‌تواند با ارسال یک پیام مخرب به حملات cross-site scripting ختم شود.
درنتیجه اگر پیام مخرب توسط قربانی در نسخه وب واتس‌اپ در مرورگر باز شود امکان اجرای کد از راه دور در context برنامه وجود دارد؛ اگر پیام در برنامه نسخه desktop باز شود نیز کد مخرب در گیرنده‌ی سیستم و در context برنامه اجرا می‌شود. علاوه بر این به دلیل اشتباه در تنظیم (misconfigure) محتوای سیاست‌های امنیتی دامین نسخه وب واتس‌اپ، امکان بارگذاری payloadهای XSS با استفاده از iframe از یک وب سایت دیگر در اینترنت که تحت کنترل مهاجم است، وجود دارد. به گفته‌ی این محقق اگر قوانین CSP بهتر تنظیم شده بودند، قدرت عمل XSS کاهش پیدا می‌کرد. با دور زدن قوانین CPS مهاجم می‌تواند اطلاعات باارزشی از قربانی سرقت کند و payloadهای XSS را به راحتی بارگذاری کند.

دانلود پیوست

این #‫اسکنر به طور مشترک توسط FireEye و Citrix و بر اساس اطلاعات جمع آوری شده از پاسخگویی های مربوط به حوادث رایانه ای بهره برداری از آسیب پذیری CVE-2019-19781 تهیه شده است. هدف این اسکنر تجزیه و تحلیل منابع موجود و شواهد جرم یابی دیجیتال در سیستم، به منظور شناسایی شواهد بهره برداری موفقیت آمیز از آسیب پذیری CVE-2019-19781 می¬باشد.
هرچند محدودیت هایی در خصوص توانایی های این ابزار وجود دارد؛ با این حال نباید سیستم های دارای اینگونه محدودیت ها را عاری از آلودگی، تلقی کرد. زیرا ممکن است سیستم مجدداً راه اندازی شده باشد و یا حتی مهاجم برای حذف شواهد سیستم را دستکاری کرده و/یا یک rootkit نصب کند که شواهد را حذف نماید و ...
این اسکنر می تواند موارد زیر را شناسایی کند:
• رخدادهای ورودی وب سرور نشانگر سوء استفاده موفقیت آمیز است
• مسیرهای file system بدافزارهای شناخته شده
• فعالیت پس از بهره برداری در تاریخچه ی shell
• موارد مخرب شناخته شده در دایرکتوری های NetScaler
• اصلاح غیرمنتظره دایرکتوری NetScaler
• مقادیر غیرمنتظره ی crontab
• پروسه های غیرمنتظره
• پورت هایی که توسط بدافزارهای شناخته شده استفاده می شوند

خروجی این ابزار در یکی از سه دسته قرار می گیرد:
1. شواهد آسیب پذیری: این خروجی به صورت پیش فرض وجود دارد. هر مدرکی که در این طبقه قرار می گیرد ، نشان دهنده آنست که دستگاه با موفقیت مورد نفوذ قرارگرفته و آسیب پذیر بوده است. دلیل این امر می تواند موارد متعددی باشد: از اجرای دستورات منجر به افشای اطلاعات (به عنوان مثال مشاهده پرونده های پیکربندی ns.conf یا smb.conf ) گرفته تا نصب یک backdoor (به عنوان مثال NOTROBIN ، استخراج کننده ارز دیجیتال و ...)

2. شواهدی از اسکن موفقیت آمیز آسیب پذیری که می تواند توسط یک مدیر سیستم مجاز یا یک مهاجم غیر مجاز بوده باشد: هر مدرکی که به این گروه تعلق داشته باشد، نشان می دهد که این سیستم در وضعیت آسیب پذیر قرار داشته و یا حداقل در اولین مرحله بهره برداری از CVE-2019-19781 موفقیت آمیز بوده است.
3. شواهد اسکن آسیب پذیری ناموفق: هر مدرکی که در این طبقه قرار می گیرد، نشان می دهد که تلاشی برای اسکن یا بهره برداری از سیستم انجام شده است.
این ابزار تضمینی نمی¬دهد که کلیه شواهد در معرض خطر قرار گرفتن سیستم، به خصوص آنچه مربوط به آسیب پذیری CVE-2019-19781 را رائه می دهد. لذا اگر نشانه هایی از آلودگی بر روی سیستم ها مشخص شود، سازمان ها باید بررسی های جرم یابی دیجیتال را انجام دهند تا دامنه و وسعت این حادثه مشخص شود.

نحوه استفاده
می بایست Bash اسکریپت موجود در اینجا را دریافت نمایید. اسکنر IoC را می توان مستقیماً بر روی دستگاه ADC Citrix اجرا کرد. ابزار مذکور در این حالت، پرونده ها، پردازش ها و پورت ها را برای نشانگرهای شناخته شده اسکن کرده و همچنین پیام های تشخیص را چاپ میکند. در استفاده معمولی، می بایست STDOUT را برای بررسی مجدداً به یک فایل وارد نمایید. همچنین ابزار باید به صورت root و به صورت live بر روی دستگاه لوازم جانبی ADC Citrix اجرا شود.به عنوان مثال:
$ sudo bash ./ioc-scanner-CVE-2019-19781-v1.1.sh > "/tmp/results-$(date).txt"

این ابزار برای استفاده با محصولات زیر طراحی شده است:
• Citrix ADC و Citrix Gateway نسخه 13.0
• Citrix ADC و Citrix Gateway نسخه 12.1
• Citrix ADC و Citrix Gateway نسخه 12.0
• Citrix ADC و Citrix Gateway نسخه 11.1
• Citrix ADC و Citrix Gateway نسخه 10.5
• برنامه Citrix SD-WAN WANOP مدل های 4000 ، 4100 ، 5000 و 5100

در تاریخ 17 ژانویه سال 2020 میلادی، نسخه جدیدی از باج‌افزار #MegaCortex در فضای سایبری مشاهده شد. نسخه اولیه این باج‌افزار که به عنوان Ragnarok شناخته می‌شود، پسوند .ragnarok_cry را به انتهای فایل‌های رمزشده اضافه می‌کند. براساس تحقیقات صورت گرفته و شواهد موجود، این باج‌افزار Windows Defender و Firewall ویندوز را پیش از اجرا، غیرفعال می‌کند. همچنین درصورتی که زبان نصب شده و فعال سیستم قربانی شامل زبان یکی از کشورهای روسیه، بلاروس، بخش تاتار روسیه، ترکمنستان، اوکراین، لیتوانی، قزاقستان، آذربایجان و چین باشد، فایل باج‌افزار بر روی آن سیستم اجرا نخواهد شد. تحلیل پیش رو، مربوط به نسخه به روزرسانی شده باج‌افزار Ragnarok در تاریخ 23 ژانویه 2020 می‌باشد. این نسخه پسوند .ragnarok را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند.

دانلود پیوست