#مایکروسافت در بهروزرسانی ماه مارس سال 2019 خود، 64 آسیبپذیری وصله کرده است که 17 مورد از آنها از نظر شدت «بحرانی»، 45 مورد «مهم»، یک مورد «متوسط» و یک مورد «پایین» رتبهبندی شدهاند. وصلههای ماه مارس مایکروسافت ویندوز، سرویسهای آفیس و برنامههای تحت وب، Internet Explorer، Microsoft Edge، Exchange Server، Chakracore، .Net Framework، Team Foundation Services و NuGet را پوشش میدهد.
دو مورد از نقصهایی که در حملات مورد سوءاستفاده قرار گرفتهاند، دو آسیبپذیری افزایش امتیاز روز صفرم هستند که هر دو «مهم» رتبهبندی شدهاند و به مهاجم اجازه میدهند به سیستم دسترسی یافته، امتیازات خود را افزایش دهند و کنترل سیستم را در دست گیرند.
اولین آسیبپذیری روز صفرم، هفتهی گذشته توسط تیم تجزیه و تحلیل تهدیدات گوگل گزارش شد و دارای شناسهی CVE-2019-0808 است و در حملات علیه کاربران 32 بیتی ویندوز 7 مورد سوءاستفاده قرار گرفته است. به گفتهی گوگل، مهاجمان از این آسیبپذیری روز صفرم به همراه یک آسیبپذیری روز صفرم کروم برای فرار از جعبهشنی مرورگر کروم و اجرای کد دلخواه در سیستمهای هدف استفاده میکنند. نقش CVE-2019-0808 در زنجیرهی سوءاستفاده این است که به مهاجمان اجازه میدهد کد مخرب خود را با افزایش امتیاز مدیریتی اجرا کنند و آسیبپذیری روز صفرم کروم به مهاجمان کمک میکند از جعبهشنی امنیتی کروم فرار کنند. مایکروسافت در بهروزرسانی ماه مارس خود، وصله را هم برای سیستمهای ویندوز 7 و هم سیستمهای Windows Server 2008 که تحتتأثیر این نقص قرارگرفتهاند، منتشر ساخته است. ویندوز 10 تحتتأثیر این آسیبپذیری قرار نگرفته است. گوگل نیز نقص خود را با انتشار Chrome 72.0.3626.121 وصله کرده است.
آسیبپذیری روز صفرم دیگری که در ماه مارس وصله شده است نیز یک آسیبپذیری افزایش امتیاز ویندوز 32 بیتی با شناسهی CVE-2019-0797 است و توسط کارشناسان آزمایشگاه کسپرسکی گزارش شده است.
برخلاف CVE-2019-0808، آسیبپذیری CVE-2019-0797، ویندوز 10، ویندوز 8.1، Windows Server 2012، Windows Server 2016 و Windows Server 2019 را تحتتأثیر قرار میدهد. این آسیبپذیری افزایش امتیاز زمانی در ویندوز وجود دارد که اجزای ویندوز 32 بیتی نتوانند اشیا را به درستی در حافظه مدیریت کنند.
به گفتهی کارشناسان کسپرسکی، نقص CVE-2019-0797 توسط چندین عامل تهدید مختلف از جمله گروههای FruityArmor (گروه جاسوس سایبری که اولین بار در سال 2016 مشاهده شد و فعالان، محققان و اشخاص مربوط به سازمانهای دولتی در تایلند، ایران، الجزایر، یمن، عربستان سعودی و سوئد را هدف قرار میدهد) و SandCat APT (توسط آزمایشکاه کسپرسکی در اواخر سال 2018 کشف شد) مورد سوءاستفاده قرار گرفته است.
علاوه بر دو آسیبپذیری روز صفرم فوق، مایکروسافت دوباره سه آسیبپذیری بزرگ در سرویسگیرندهی DHCP مایکروسافت که به مهاجمان راه دور اجازهی غلبه بر ماشینهای آسیبپذیر را میدهد (CVE-2019-0697، CVE-2019-0698، CVE-2019-0726)، برطرف ساخته است. سازندگان سیستمعامل چندی پیش تعداد زیادی از این نقصهای امنیتی DHCP را وصله کردند.
مایکروسافت همچنین اشکال Windows Deployment Services (WDS) را که اولین بار سال گذشته برطرف ساخته بود، وصله کرد. این نقص متفاوت از نقص WDS مشابهی است که توسط Check Point گزارش شده است.
توصیه میشود کاربران به پورتال رسمی Security Update Guide مایکروسافت که هم شامل اطلاعات مربوط به نقصهای وصلهشده و هم گزینههای فیلترسازی تعاملی است، مراجعه کنند تا وصلهها و بهروزرسانیها را تنها برای محصولات مورد علاقهی خود بیابند.
یک #آسیبپذیری روز صفرم (CVE-2019-5786) در کروم کشف شده که شامل یک اشکال عدم مدیریت حافظه در بخشی از کروم با نام "FileReader" می باشد.
"FileReader" به توسعهدهندگان وب کمک میکند تا فهرستها و محاورههای تازه را به نمایش بگذارند. مهاجم میتواند کنترل زیادی در مورد این اشکال خاص داشته باشد. این کار فقط به خواندن از فایلها محدود نمیشود و میتواند منجر به اجرای کد از راه دور شود. بدین معنی که هرگونه نرمافزار مخربی میتواند بدون هیچگونه هشدار یا پاپآپ، بر روی سیستم قربانی نصب شود.
گوگل اعلام کرد که آسیبپذیری روز صفرمی که این شرکت در هفتهی گذشته وصله کرد، در واقع با یک آسیبپذیری روز صفرم دیگر که بر روی سیستمعامل مایکروسافت ویندوز 7 تأثیر میگذارد، مورد استفاده قرار میگیرد.
مهاجمان از این آسیبپذیریهای روز صفرم کروم و ویندوز 7 برای اجرای کد مخرب و کنترل سیستمهای آسیبپذیر استفاده میکنند.
این شرکت در روز پنجشنبه، هفتم مارس اعلام کرد که این حملات بهشدت در وب مورد سوءاستفاده قرار گرفتهاند و مایکروسافت در حال رفع این مشکل است.
آسیبپذیری روز صفرم موجود در ویندوز 7، یک آسیبپذیری افزایش دسترسی محلی در درایور هستهی "win32k.sys" است که میتواند به عنوان یک فرار امنیتی از سندباکس مورد سوءاستفاده قرار گیرد.
این آسیبپذیری، یک ارجاع به اشارهگر NULL در "win32k!MNGetpItemFromIndex" است. زمانی که فراخوانی سیستمی "NtUserMNDragOver()" تحت شرایط خاصی فراخوانی میشود.
تا به امروز، فقط سوءاستفادهی فعال از این اشکال تنها در سیستمهای 32 بیتی ویندوز 7 مشاهده شده است.
این سوءاستفاده بهطور مستقیم کد کروم را هدف قرار داده است. مرکز ماهر از تمامی کاربران این مرورگر میخواهد بلافاصله آنرا به آخرین نسخه (72.0.3626.121) بهروز کنند.
کاربران باید پس از بهروزرسانی، مرورگر خود را مجدداً راهاندازی کنند. برای اکثر کاربران، بهروزرسانی بهصورت خودکار انجام میشود، اما راهاندازی مجدد معمولاً یک اقدام دستی است.
تنها راه برای مقابله با نقص موجود در ویندوز 7 نیز، ارتقاء سیستمهای خود به ویندوز 10 است. البته، به کاربران توصیه میشود وصلهها را به محض اینکه در دسترس قرار گرفتند، اعمال کنند.
گوگل هفتهی گذشته جزئیات یک آسیبپذیری روز صفرم در ویندوز را منتشر کرد که همراه با نقص " CVE-2019-5786" در کروم بهطور جدی در حملات هدفمند مورد سوءاستفاده قرار گرفته است.
آسیبپذیری روز صفرم در ویندوز، یک مسئلهی تشدید امتیاز محلی در درایور هستهی "win32k.sys" است و میتواند برای فرار از سندباکس امنیتی مورد سوءاستفاده قرار گیرد.
گوگل این موضوع را در مرورگر خود با راهاندازی یک نسخهی پایدار (72.0.3626.121) برای سیستمعامل های ویندوز، مک و لینوکس رفع کرد.
#سیسکو در هفتهی اول ماه مارس سال 2019 بیش از دو دوجین آسیبپذیری جدی را در سوئیچهای Nexus برطرف ساخته است. این آسیبپذیریها در صورتی که مورد سوءاستفاده قرار بگیرند میتوانند منجر به حملات انکار سرویس (DoS)، اجرای کد دلخواه یا افزایش امتیاز شوند.
توصیهنامههای جداگانهای برای هر یک از این نقصها متشر شده است که بسیاری از آنها، نرمافزار NX-OS که سوئیچهای Nexus را روشن میکند و برخی دستگاههای دیگر سیسکو را تحتتأثیر قرار میدهد.
شکافهای امنیتی که با شدت «بالا» رتبهبندی شدهاند، اجزایی همچون عامل Tetration Analytics، ویژگی LDAP، ویژگی تأیید امضای تصویر (Image Signature Verification)، رابط کاربری مدیریت حساب کاربری، رابط خط فرمان (CLI)، پیادهسازی پوستهی Bash، پیادهسازی پروتکل FCoE NPV، اجزای سیستمفایل، پشتهی شبکه، اجزای Fabric Services، ویژگی NX-API و پیادهسازی 802.1X را تحتتأثیر قرار میدهند.
بسیاری از این نقصها به مهاجمان داخلی مجاز اجازه میدهند کد دلخواه را در سطح ریشه اجرا کنند، تصاویر نرمافزاری مخرب را نصب نمایند، امتیازات را افزایش دهند، دسترسی خواندن و نوشتن به یک فایل پیکربندی مهم را به دست آورند یا از یک پوستهی محدود در دستگاه فرار کنند.
تعداد کمی از این آسیبپذیریها که میتوانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند، به مهاجمان اجازه میدهند منجر به یک وضعیت DoS در دستگاههای متأثر شوند. یکی از این نقصها میتواند به صورت راه دور برای اجرای دستورات دلخواه با امتیازات ریشه با ارسال بستههای HTTP/HTTPS مخرب به رابط مدیریت سیستم متأثر، مورد سوءاستفاده قرار گیرد؛ اما مهاجم باید احراز هویت شود.
اکثر این آسیبپذیریها توسط خود سیسکو کشف شدهاند و به گفتهی این شرکت، تاکنون سوءاستفادهی مخربی از این آسیبپذیریها مشاهده نشده است.
سیسکو یک توصیهنامهی امنیتی نیز منتشر کرده است که در آن، صاحبان دستگاه Nexus را مجبور میکند شبکههایی را که در آن ویژگی PowerOn Auto Provisioning (POAP) مورد استفاده قرار گرفته است را ایمن سازند یا این ویژگی را غیرفعال کنند. ویژگی POAP به طور پیشفرض فعال است و بدین منظور طراحی شده است تا به سازمانها کمک کند راهاندازی و پیکربندی اولیهی سوئیچهای Nexus را به طور خودکار انجام دهند.
POAP یک اسکریپت پیکربندی را از اولین کارگزار DHCP برای پاسخدهی میپذیرد و مکانیزمی برای ایجاد اعتماد با کارگزار DHCP وجود ندارد. مهاجمی که بتواند یک پاسخ DHCP ارسال کند، میتواند یک پیکربندی مخرب را برای دستگاه ارایه دهد که به مهاجم اجازه میدهد دستورات را در سطح دسترسی مدیریتی اجرا کند.
از آنجاییکه پیادهسازی اولیهی POAP دارای گزینهای برای غیرفعالسازی این ویژگی نیست، حال سیسکو تعدادی دستور CLI برای غیرفعال کردن POAP اضافه کرده است. به منظور غیرفعالکردن موقت POAP؛ حتی زمانی که سیستم پیکربندی نشده باشد، مشتریان میتوانند از دستور CLI “system no poap” استفاده کنند. این خط دستوری تضمین میکند POAP طی بوت بعدی شروع به کار نمیکند؛ حتی اگر هیچ پیکربندی وجود نداشته باشد.
لیست کامل وصلههایی که سیسکو در هفتهی اول ماه مارس سال جاری منتشر ساخته است در وبسایت آن در دسترس است.
یک #آسیبپذیری بحرانی در مسیریابهای ویژه دفاتر کوچک #سیسکو (RV110W, RV130W,RV215W) و یک آسیبپذیری با درجه اهمیت بالا در محصولات ویدئوکنفرانس سیسکو وجود دارد که منجر به اجرای کد دلخواه میشوند. برای این محصولات بهروزرسانی امنیتی منتشر شده است.
آسیبپذیری در مسیریابهای ویژه دفاتر کوچک
یک آسیبپذیری بحرانی در رابط تحت وب مسیریابهای سیسکو ویژه دفاتر کوچک وجود دارد که امکان اجرای کد دلخواه را توسط مهاجمِ راه دور، بدون نیاز به احراز هویت فراهم میکند. این آسیبپذیری، ناشی از اعتبارسنجی نامناسب دادههای ورودی است. مهاجم میتواند با ارسال درخواست HTTP مخرب از این نقص سوء استفاده کند. بهرهبرداری موفق از این آسیبپذیری میتواند منجر به اجرای کد دلخواه با دسترسی بالا روی سیستمعامل تجهیز شود.
شناسه آسیبپذیری: CVE-2019-1663
درجه اهمیت: بحرانی CVSS3 Base Score 9.8
تجهیزات آسیبپذیر عبارت اند از:
RV110W Wireless-N VPN Firewall
RV130W Wireless-N Multifunction VPN Router
RV215W Wireless-N VPN Router
رابط تحت وب این تجهیزات از طریق شبکه محلی (LAN) و یا از طریق ویژگی مدیریت راه دور (remote management) قابل دسترسی است. البته ویژگی مدیریت راه دور به طور پیشفرض غیرفعال است.
راه حل
در نسخههای نرمافزاری زیر، این نقص برطرف شده است. همه نسخههای ماقبل، آسیبپذیر هستند:
RV110W Wireless-N VPN Firewall: 1.2.2.1
RV130W Wireless-N Multifunction VPN Router: 1.0.3.45
RV215W Wireless-N VPN Router: 1.3.1.1
آسیبپذیری در محصولات ویدئوکنفرانس
آسیبپذیری با درجه اهمیت بالا در نرمافزار دسکتاپ Cisco Webex Meetings و Cisco Webex Productivity Tools نسخه ویندوز وجود دارد. این آسیبپذیری به مهاجم محلیِ احراز هویت نشده اجازه میدهد دستورات دلخواه را با دسترسی بالا (در چارچوب کاربر SYSTEM) اجرا کند.
هرچند برای بهرهبرداری از این نقص، مهاجم به دسترسی محلی نیاز دارد، اما در محیطهای دارای Active Directory، میتوان با استفاده از ابزارهای مدیریتی راهِ دور، از این نقص بهرهبرداری کرد.
شناسه: CVE-2019-1674
درجه اهمیت: بالا CVSS3 Base Score 7.8
راه حل
نرمافزارهای نامبرده را به نسخه بهروز شده (مطابق جدول زیر) ارتقاء دهید.
محصول |
نسخه آسیبپذیر |
نسخه بهروز شده |
Cisco Webex Meetings Desktop App |
ماقبل 33.6.6 |
33.6.6 و 33.9.1 |
Cisco Webex Productivity Tools |
32.6.0 به بعد، تا قبل از 33.0.7 |
33.0.7 |
منبع:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-rmi-cmd-ex
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190227-wmda-cmdinj
#آسیبپذیری جدید حیاتی با شماره CVE-2019-0630 بر روی نسخه ۲ سرویسدهنده #SMB مایکروسافت کشف شده است. این آسیبپذیری حیاتی امکان اجرای کد از راه دور و افزایش سطح دسترسی را به حمله کننده میدهد. این ضعف توسط مایکروسافت و در وبسایت رسمی این شرکت تایید شده است اما طریقه عملکرد اکسپلویت و محدوده خطر آن مورد تردید است چرا که برخی منابع از امکان اجرای حمله بدون نیاز به احراز هویت خبر داده اما برخی دیگر به لزوم احراز هویت به منظور بهرهگیری اشاره میکنند. کد بهرهگیری از این آسیبپذیری در حال حاضر بصورت عمومی در دسترس نیست، اما انتشار کد بهرهگیری در آینده نزدیک دور از انتظار نیست.
اطلاعات فنی آسیبپذیری:
CVSS v3.0 Base Score: 8.8 HIGH
CVSS v2.0 Base Score: 9.0 HIGH
Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (V3 legend)
سیستم های عامل تحت تاثیر:
windows_7:-:sp1
windows_8.1
windows_rt_8.1
windows_10
windows_10:1607
windows_10:1703
windows_10:1709
windows_10:1803
windows_10:1809
windows_server_2008:sp2
windows_server_2008:-:sp2:itanium
windows_server_2008:r2:sp1
windows_server_2008:r2:sp1:itanium
windows_server_2012
windows_server_2012:r2
windows_server_2016
windows_server_2016:1709
windows_server_2016:1803
windows_server_2019
در روزهای گذشته، پویش درگاه 9527 و تلاش برای نفوذ به آن در سطح کشور به شدت افزایش پیدا کرده است. این درگاه، مربوط به یک قابلیت مستند نشده دیباگ برخی دوربینهای مدار بسته تحت IP است. بیش از ۲ هزار دستگاه در جهان در حال پویش و رصد این دستگاهها هستند. در صورت استفاده از دوربینهای مداربسته تحت IP، از دسترسی حفاظت نشدهی تجهیز به اینترنت جلوگیری کنید. این درگاه کاربرد ضروری نداشته و فقط برای عیبیابی محصول در زمان تولید فعال شده است. در حال حاضر بیش از ۷۵۰۰ دستگاه در معرض این ضعف امنیتی در سطح کشور شناسایی شده است.
یک شرکت امنیتی به نام "EdgeSpot"، چندین سند PDF را شناسایی کرده است که از #آسیبپذیری روز صفرم در کروم، برای جمعآوری اطلاعات در مورد کاربرانی که فایلها را از طریق مرورگر گوگل باز میکنند، بهره میگیرند.
بهگفتهی این شرکت، اسناد PDF با اطلاعات موجود در دستگاههای کاربر (مانند آدرس IP، نسخهی سیستمعامل، نسخهی کروم و مسیر فایل PDF در رایانهی کاربر) با یک دایرکتوری از راه دور تماس برقرار میکند. سپس دادهها را از طریق درخواست HTTP POST به یک سرور راه دور بدون نیاز به تعامل کاربر ارسال میکنند.
این شرکت اعلام کرد که دو مجموعهی متمایز از فایلهای PDF مخرب را با استفاده از این اشکال کروم شناسایی کرده است. یک سری از فایلها در ماه اکتبر سال 2017 و دومین مجموعه در سپتامبر سال 2018 منتشر شدند.
نخستین دسته از فایلهای PDF مخرب، اطلاعات کاربر را به دامنهی "readnotify.com" و دومین دسته، آنها را به "zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net" ارسال میکنند.
هیچ کد مخربی در فایلهای PDF کشفشده وجود ندارد. با این حال، جمعآوری دادهها در مورد کاربرانی که فایل PDF را باز میکنند، میتواند به مهاجمان در تنظیم حملات آینده و سوءاستفاده از آنها کمک کند.
اولین دسته از فایلهایی که EdgeSpot شناسایی کرده است، بهرغم سوءاستفاده از اشکال کروم، مخرب نیستند. آنها با استفاده از سرویس ردیابی PDF به نام ReadNotify مونتاژ شدهاند. این سرویس به کاربران این امکان را میدهد که کسانی را که فایلهای PDF آنها را مشاهده میکنند، ردیابی کنند (خدمتی که از سال 2010 در دسترس است).
هیچ اطلاعاتی در مورد مجموعهی دوم از فایلهای PDF و ماهیت آنها وجود ندارد.
EdgeSpot اعلام کرد که پس از کشف اسناد در سال گذشته، به گوگل اطلاع داده است. تیم کروم این آسیبپذیری را تأیید و قول داد تا اواخر ماه آوریل آن را اصلاح کند.
تا زمانی که گوگل وصلهای را برای این آسیبپذیری منتشر کند، توصیه میشود که کاربران از نرمافزارهای نسخهی دسکتاپ مانند Acrobat Reader برای مشاهدهی فایلهای PDF استفاده کنند یا زمانی که اسناد PDF را در کروم باز میکنند، اتصال اینترنت خود را غیرفعال نمایند.
بررسی اخیر صورت گرفته، منجر به شناسایی 469 دستگاه رادیوی Ubiquiti مورد نفوذ قرار گرفته و همچنین شمار زیادی از این دستگاه ها با نسخههای firmware آسیبپذیر شده است. این دستگاهها نیاز به ایمنسازی و بروزرسانی فوری دارند.
دستگاه های Ubiquiti معمولا تجهیزات شبکه و رادیویی هستند که در بسترهای مخابراتی و زیرساخت شبکه استفاده میشوند.
نفوذ به دستگاه ها توسط آسیب پذیری ها و ضعف های متعددی صورت گرفته است که در firmware بروز نشدهی این تجهیزات وجود دارد. از این رو توصیه می شود علاوه بر بروزرسانی نسخه firmware دستگاه، اقدام به تغییر و تنظیم گذرواژه پیچیده شود و از ایمن بودن پیکر بندی اطمینان حاصل شود. علاوه بر این اکیدا توصیه میگردد دسترسی مدیریتی اینگونه تجهیزات بر روی اینترنت مسدود گردد. احتمال باقی ماندن آلودگی در دستگاههای هک شده حتی پس از بروزرسانی وجود دارد. لذا لازم است از پاکسازی کامل سیستم اطمینان حاصل شود.
آخرین نسخه firmware دستگاه های این شرکت در لینک زیر قابل دریافت هستند: