‫ اخبار

با توجه به شرایط کنونی کشور و افزایش استفاده از سامانه های آموزش مجازی و جلسات آنلاین، ضروری است که برقراری امنیت این سامانه ها و زیر ساخت مورد استفاده مورد توجه مدیران و کارشناسان امر قرار گیرد. یکی از رایج ترین نرم افزارهای کاربردی در این حوزه Adobe Connect می باشد. متاسفانه در اغلب سامانه های تحت رصد، مشاهده شده است که سامانه بدون تعریف کاربر و اخذ گذرواژه در درسترس است به گونه ای که هر کسی می تواند صرفا با وارد کردن URL سرور و با ورود شماره اتاق جلسه مجازی یا کلاس مجازی وارد شود که منجر به افشا اطلاعات خواهد شد. بنابراین توجه به نکات زیر جهت حفظ امنیت سامانه های مبتنی بر این نرم افزار توصیه می گردد:

- پرهیز جدی از در دسترس قرار دادن سامانه بدون استفاده از اطلاعات نام کاربری و رمز عبور و تعیین سیاست های استفاده از پسورد قوی جهت ورود به سامانه. مدیر سامانه می تواند سیاست های امنیتی لازم را برای شیوه ورود و گذرواژه کاربران در Adobe Connect Central تعیین کند. همچنین ضروری است که تعداد دفعات تلاش ورود ناموفق حتما محدود گردد.

- عدم استفاده از کاربر guest.

- استفاده از SSL جهت حفظ امنیت ترافیک شبکه و همچنین پرهیز از اجبار کاربران به پایین آوردن تنظیمات امنتی یا نسخه مرورگر برای پرهیز از نیاز به SSL.

- عدم راه اندازی سایر سرویس ها بر روی سرور Adobe Connect: توصیه می گردد سرور Adobe Connect به صورت مجزا راه اندازی شود و سرویس های دیگر نظیر domain controller، سرویس دهنده web و یا سرور FTP بر روی ماشین سرور میزبان Adobe Connect اجرا نشوند.

- بروزرسانی و نصب وصله های امنیتی برنامه و سیستم عامل میزبان.

- امن سازی سیستم عامل و استفاده از firewall بر روی سرور میزبان و بستن پورت های بدون استفاده همچنین محدود کردن دسترسی به آدرس های داخل کشور.

- تهیه پشتیبان از اطلاعات و پایگاه داده به صورت اصولی. باید توجه داشت که ویدیوهای تهیه شده از جلسات می توانند حاوی اطلاعاتی ارزشمند باشند و برای مخاطبینی که به هر دلیل موفق به حضور آنلاین نمی شوند مورد استفاده قرار گیرند. البته این کار باید با تمهیدات امنیتی مناسب انجام شود.

- بررسی دوره ای امنیت سیستم و فایلهای لاگ جهت اطمینان از برقراری سیاست های امنیتی و تشخیص هرگونه ناهنجاری یا تلاش برای نفوذ.

دانلود گزارش کامل

#‫آسیب‌پذیری‌های متعدد امنیتی در #‫سیسکو بر روی نرم‌افزار‌های Cisco FXOS، Cisco NX-OS و Cisco UCS Manager به یکی از دلایل عدم تأییداعتبار ورودی، ارسال آرگومان‌های ساختگی به یک‌سری دستورات خاص‌ توسط مهاجم و یا امکان ایجاد سرریز بافر، به مهاجم امکان اجرای کد دلخواه با مجوز‌های دسترسی کاربر فعلی سیستم را می‌دهد.

اخیراً چندین آسیب‌پذیری امنیتی مهم و بحرانی در تجهیزات سیسکو کشف شده است که به مهاجمین اجازه می‌دهد دستورات دلخواه را با همان دسترسی کاربر مجاز اجرا کنند. این آسیب‌پذیری بر روی نرم‌افزار Cisco FXOS، نرم‌افزار Cisco NX-OS و نرم‌افزار Cisco UCS Manager تأثیر می‌گذارد.

Cisco FXOS و UCS Manager – CLI
آسیب‌پذیری در CLI نرم‌افزار Cisco FXOS و نرم‌‍‌افزار Cisco UCS Manager Cisco به یک مهاجم احرازهویت‌شده‌ی محلی اجازه می‌دهد تا دستورات دلخواه را بر روی دستگاه کاربر اجرا کند.
این آسیب‌پذیری که به دلیل عدم تأییداعتبار ورودی است، با بهره‌برداری موفقیت‌آمیز به مهاجم اجازه می‌دهد تا دستورات دلخواه را در سیستم عامل اصلی با سطح مجوز‌های دسترسی حال‌حاضر کاربر، اجرا کند.
سیسکو به‌روزرسانی‌های امنیتی را برای اعلام این آسیب‌پذیری به‌عنوان بخشی از مشاوره‌ی امنیت نرم‌افزاری NX-OS در فوریه 2020، منتشر کرده است.

Cisco FXOS و UCS Manager Software CLI
این آسیب‌پذیری در CLI نرم‌افزار Cisco FXOS و نرم‌افزار Cisco UCS Manager وجود دارد که به یک مهاجم احرازهویت‌‍‌شده‌ی محلی اجازه می‌دهد دستورات دلخواه را اجرا کند.
یک مهاجم می‌تواند با ارسال آرگومان‌های ساختگی به یک‌سری دستورات خاص‌، از این آسیب‌پذیری بهره‌برداری کند که اگر این فرآیند موفقیت‌آمیز باشد به مهاجم این امکان را می‌دهد تا دستورات دلخواهی را در سیستم‌عامل اصلی با مجوز‌های کاربر فعلی، اجرا کند.
سیسکو به‌روزرسانی‌های امنیتی را برای اعلام این آسیب‌پذیری به‌عنوان بخشی از مشاوره‌ی امنیت نرم‌افزاری NX-OS در فوریه 2020، منتشر کرده است.

Cisco FXOS و NX-OS نرم‌افزار - اجرای کد دلخواه
این آسیب‌پذیری به مهاجمی که احزارهویت نشده‌است اجازه می‌دهد تا کد دلخواه را با سطح دسترسی روت اجرا کند یا باعث شرایط منع از سرویس(DoS) شود.
بررسی این آسیب‌پذیری نشان می‌دهد که یک بهره‌برداری موفقیت‌آمیز، مهاجم را قادر به ایجاد سرریز بافر می‌کند و این امر به او اجازه می‌دهد کد دلخواه را با سطح دسترسی روت اجرا کند و یا باعث ایجاد شرایط DoS در دستگاه آسیب‌دیده شود.
سیسکو به‌روزرسانی‌های امنیتی را برای اعلام این آسیب‌پذیری نیز به‌عنوان بخشی از مشاوره‌ی امنیت نرم‌افزاری NX-OS در فوریه 2020، منتشر کرده است.

اخیراً #‫آسیب‌پذیری بحرانی سرریز بافر که در pppD (Point to Point Protector Daemon)کشف شده‌است به مهاجمین از راه ‌دور، اجازه می‌دهد از سیستم‌های لینوکس بهره‌برداری کنند و مجوز‍‌های دسترسی روت را بدست‌آورند.
pppD که اغلب برای مدیریت اتصالات شبکه در سیستم‌عامل‌های مبتنی بر یونیکس مورد استفاده قرار می‌گیرد، همچنین اگر (PPPoE) یا (PPPoA) استفاده شود، از آن برای مدیریت اتصالات پهن‌باند مانند DSL استفاده می‌شود.
یک محقق این آسیب‌پذیری مهم که در پردازش بسته‌های پروتکل تأیید اعتبار گسترش‌پذیر (EAP) وجود دارد را در pppd پیدا کرده است.
یک مهاجم غیرمجاز از راه دور ممکن است با بهره‌برداری از این آسیب‌پذیری بتواند باعث سرریز بافر در پشته شود و به مهاجمین این امکان را می‌دهد که از راه دور بر فرآیند اجرای کد چیره‌ شوند و کد دلخواه را بر روی سیستم هدف اجرا کنند.
ایلجا وان اسپروندل این آسیب‌پذیری را که با شناسه CVE-2020-8597 شناخته می‌شود و با امتیاز CVE 9.3 شناخته‌می‌شود، کشف کرده است. GBHackers در حال حاضر هیچ اکسپلویت‌کد یا کد‌مخربی را برای این آسیب‌پذیری به صورت آنلاین پیدا نکرده است.
در نسخه‌های 2.4.2 تا 2.4.8 نسخه‌های مختلف لینوکس، اجرای این آسیب‌پذیری با پروتکل pppd، تأیید شده‌است.
• Debian GNU/Linux
• Fedora Project
• Red Hat
• SUSE Linux
• Ubuntu
همچنین، شرکت‌های زیر در مورد آسیب‌پذیری اجرای کد از راه دور pppD، به‌روزرسانی می‌شوند.
• Cisco
• NetBSD
• OpenWRT
• Synology
• TP-LINK

علت اصلی آسیب‌پذیریpppD
آسیب‌پذیری سرریز بافر به‌دلیل خطا در اعتبارسنجی اندازه‌ی ورودی قبل از کپی‌کردن داده های تهیه‌شده در حافظه، بر چندین بخش از لینوکس تأثیر گذاشته است.
اعتبارسنجی نادرست اندازه‌ی داده‌های ورودی، منجر به کپی‌کردن اطلاعات دلخواه در حافظه و باعث خرابی حافظه می‌شود که به مهاجمین اجازه‌ی اجرای کد دلخواه را از راه دور می‌دهد.
از آنجا که داده‌ها تأیید نشده و اندازه‌ی آن‌ها نیز ناشناخته است، این آسیب‌پذیری حافظه‌ی سیستم قربانی را از کار می‌اندازد. همچنین بوسیله‌ی اجرای بالقوه‌ی کد دلخواه در سیستم، PPP با سطح مجوز دسترسی بالایی اجرا می‌شود و با همکاری درایور‌های هسته(Kernel) به مهاجمین اجازه می‌دهد از مجوز‌های دسترسی روت برخوردار شوند.

#‫آسیب‌پذیری در اجرای SSL مربوط به Intelligent Proximity سیسکو، یک مهاجم غیر مجاز را قادر می‌سازد تا از راه دور اطلاعاتی را که در دستگاه‌های ویوئو کنفرانس Webex سیسکو به اشتراک گذاشته شده است را مشاهده کرده و یا تغییر دهد.
شناسه این آسیب‌پذیری "CVE-2020-3155" و با شدت بالا گزارش شده است.
آسیب‌پذیری فوق، ناشی از عدم اعتبارسنجی گواهی‌نامه (certificate) سرور SSL است که هنگام برقراری ارتباط با یک دستگاه ویدئو کنفرانس Webex سیسکو و یا collaboration endpoint سیسکو دریافت شده است. یک مهاجم می‌تواند با استفاده از تکنیک‌های man in the middle برای رهگیری ترافیک بین کلاینت آسیب‌دیده و یک نقطه پایانی (endpoint) و سپس با استفاده از یک certificate جعلی به منظور جعل هویت نقطه پایانی، این آسیب‌پذیری را مورد اکسپلویت قرار دهد. بسته به تنظیمات نقطه پایانی، یک اکسپلویت می‌تواند به مهاجمان اجازه دهد تا محتوای ارائه شده و به اشتراک گذاشته شده بر روی آن را مشاهده کنند، محتوایی که توسط قربانی ارائه شده است را تغییر دهند و یا به کنترل‌های تماس دسترسی داشته باشند.
محصولات آسیب‌پذیر
در صورتیکه محصولات سیسکو، یک نرم‌افزار آسیب‌پذیر در حال اجرا داشته باشند و قابلیت Proximity در آنها برای اتصال به دستگاه‌های داخلی فعال شده باشد تحت تآثیر این آسیب‌پذیری قرار دارند. محصولات آسیب‌پذیر عبارتند از:
• برنامه هوشمند Proximity سیسکو
• Jabber سیسکو
• Webex Meetings
• Webex Teams
• برنامه Meeting سیسکو
با توجه به اینکه تمام نسخه‌های این نرم‌افزارها تحت تآثیر آسیب‌پذیری ذکر شده قرار می‌گیرند، در حال حاضر سیسکو هیچ گونه بروزرسانی نرم‌فزاری را برای رفع این آسیب‌پذیری منتشر نکرده است.
تشخیص فعال بودن قابلیت Proximity بر روی کلاینت‌ها
درکلاینت‌هایی با نرم‌افزارهای ذکر شده در بالا، در صورتیکه در زمان پیکربندی، قابلیت Proximity در آنها فعال شده باشد، تحت تآثیر این آسیب‌پذیری قرار می‌گیرند. با این حال برای یک مهاجم که در صدد اکسپلویت این آسیب‌پذیری است، یک نقطه پایانی نیز باید قابلیت Proximity را فعال کرده باشد.
Jabberسیسکو
دو روش برای تعیین فعال بودن Proximity در Jabber سیسکو وجود دارد:
1. در فایل پیکربندی Jabber یعنی jabber-config.xml، اگر دستور زیر وجود نداشته باشد این قابلیت فعال است:
<EnableProximity>false</EnableProximity>
2. در تنظیمات این برنامه، به بخش Video Device بروید. اگر به صورت خودکار به نزدیکترین دستگاه متصل شد بدین معنی است که قابلیت مذکور در آن فعال است.

Cisco Webex Meetings
در تنظیمات پیشرفته این برنامه، به بخش Video Systems بروید. در صورت تشخیص خودکار دستگاه‌های مجاور، این ویژگی فعال است.
Cisco Webex Teams
از مرکز کنترل Webex سیسکو به بخشSettings و سپس Device Discovery مراجعه کنید. در صورتیکه برنامه Webex Teams، اجازه اتصال به دستگاه ثبت‌شده داخلی انتخاب شده را بدهد، نشان‌دهنده فعال بودن این قابلیت است.
برنامه Meeting سیسکو
قابلیت Proximity همواره فعال است و امکان غیرفعال کردن آن وجود ندارد.
راه‌حل
در حال حاضر هیچ راه‌حلی جهت رفع این آسیب‌پذیری ارائه نشده است. اما می‌توان توصیه‌های امنیتی زیر را اعمال کرد:
• غیرفعال کردن قابلیت Proximity Pairing
• غیرفعال کردن این قابلیت در دستگاه‌های ویدئویی Webex و Collaboration Endpoint سیسکو
• غیرفعال کردن تشخیص خودکار Collaboration Endpoint در کلاینت‌های Proximity
• انتقال از Collaboration به Cloud

مشاهدات حاکی از آن است که با توجه به شرایط موجود و تعطیلات پیش رو، مدیران شبکه و زیرساخت های فناوری اطلاعات به طور فزاینده ای به دورکاری روی آورده اند و کاربرد پروتکل RDP و سایر پروتکل های دسترسی از راه دور افزایش یافته است.

در این بازه علاوه بر رعایت دقیق تر مواردی که برای ایام تعطیلات طولانی توصیه می گردد، از جمله تهیه نسخ پشتیبان قابل اعتماد، بررسی فایل های log و ... که در پیوست 1 مورد تاکید قرار گرفته است، به طور موکد توصیه می شود که به دلیل تمرکز ویژه مهاجمین بر روی نفوذ به سرویس RDP و مخاطراتی از جمله حملات باج افزاری، اکیدا از استفاده از این سرویس بصورت حفاظت نشده بر بستر شبکه ی اینترنت پرهیز گردد.

در ادامه، ملاحظاتی به شرح ذیل بمنظور ارتقای امنیت سیستم ها در این بازه زمانی پیشنهاد می گردد.

تمهیدات امنیتی که ضروری است در ایام تعطیلات مد نظر قرار گیرند:

1. تهیه منظم نسخه های پشتیبان از اطلاعات بر روی رسانه های متعدد و انجام آزمون صحت پشتیبان گیری در هر مرحله و موکداً نگهداری اطلاعات پشتیبان بصورت غیر بر خط.

2. هوشیاری کامل جهت بررسی دقیق رویدادهای ثبت شده مخصوصا رویدادهای ورود به سیستم در ساعات غیر متعارف.

3. توجه و بررسی فهرست کاربران و سطح دسترسی آنها به صورت دوره ای

4. آزمایش و انجام به روزرسانی و نصب وصله های امنیتی ارائه شده.

در استفاده از سرویس های دسترسی از راه دور، اتخاذ تمهیدات امنیتی همچون موارد زیر همواره باید مد نظر قرار گیرد:

1. اجبار نرم افزاری به تنظیم و استفاده از رمز عبور پیچیده

2. اجبار نرم افزاری به تغییر دوره ای رمز عبور توسط مدیران و کاربران سیستمها

3. عدم استفاده از رمز های عبور تکراری

4. محدود سازی تعداد دفعات مجاز تلاش ناموفق جهت ورود به سیستم

5. محدودسازی آدرس مبدا قابل قبول برای اتصال از طریق لیست دسترسی یا سایر تمهیدات

6. استفاده از VPN و ایجاد تونل های ارتباطی امن نظیر IPSec جهت کنترل و مدیریت ارتباطات

7. خودداری از قرار دادن آدرس IP عمومی بصورت مستقیم برروی سرویس دهنده ها

8. استفاده از احراز هویت 2مرحله ای جهت استفاده از سرویس های دسترسی از راه دور

9. دقت در عدم آلودگی رایانه مبدا ارتباط مخصوصا رایانه شخصی

لازم به ذکر است که دو ویدیو آموزشی با عناوین "ایمن سازی سرویس RDP با استفاده نرم افزار RDS Knight" و "احراز هویت دومرحله ای در سرویس ریموت دسکتاپ" در آدرس های https://www.aparat.com/v/Q8z0u و https://www.aparat.com/v/ZUndJ برای راهنمایی در انجام برخی از امور فوق الذکر قرار گرفته است.

در انتها یادآور می گردد که مرکز ماهر در طی ایام تعطیلات نیز از راه های ارتباطی زیر آماده دریافت گزارشات و درخواست ها است:

تلفن مرکز ماهر : 42650000-021

نمابر : 22115951-021

پست الکترونیک:

ارسال گزارش رخداد و درخواست امداد: report@cert.ir

آسیب پذیری مذکور در تاریخ 10 مارس 2020 توسط شرکت مایکروسافت منتشر شده است که از نوع RCE میباشد. مهاجم می تواند با ارسال یک پکت خاص به سمت سرور با سرویس دهنده SMBv3 آسیب پذیر، از آن سوءاستفاده نماید. همچنین درمورد کاربران Client، مهاجم باید قربانی را متقاعد کند تا با یک سرور مخرب که توسط مهاجم پیکربندی شده است ارتباط برقرار کند. سوء استفاده مهاجم از آسیب پذیری مذکور به او این امکان را میدهد تا کد دلخواه خود را بر روی سیستم قربانی اجرا کند.

دانلود گزارش

پشتیبان‌گیری یکی از مهم‌ترین راه‌حل‌های محافظت داده‌ها (حتی شاید مهم‌ترین) در برابر باج افزارها است، اما اگر به‌درستی از این شیوه استفاده نشود، مهاجمین از آن علیه شما استفاده می‌کنند.
اخیراً اپراتورهای DoppelPaymer Ransomware در سایت نشت اطلاعات خود، بدون پرداخت هزینه نرم افزار پشتیبان‌گیری Veeam، نام کاربری ادمین و رمزعبور متعلق به یک قربانی را منتشر کردند.

این امر نه به معنای افشای اطلاعات برای دیگران و حملات بیشتر، بلکه هشداری برای قربانی بود که اپراتورهای باج افزار به شبکه‌ی آن‌ها از جمله نسخه‌‌های پشتیبان آن‌ها، دسترسی کامل دارند.
بعد از دیدن این اطلاعات، با اپراتورهای خانواده‌های DoppelPaymer و Maze Ransomware ارتباط برقرار شد تا چگونگی هدف قرار‌گرفتن پشتیبان‌های قربانی مشخص شود و نتایج بسیار تعجب‌آور بود.

لازم به ذکر است که در این مطلب به نرم‌افزار پشتیبان‌گیری Veeam پرداخته‌شده‌است. نه به این دلیل که نسبت به سایر نرم‌افزارها از امنیت کمتری برخوردار است، بلکه به این دلیل که یکی از محبوب‌ترین محصولات پشتیبان‌گیری است و توسط اپراتورهای باج‌افزار ذکر شده است.

مهاجمین ابتدا از نسخه‌ی پشتیبان ابری کاربر برای سرقت اطلاعات‌ آنها استفاده می‌کنند.
در طول حملات باج افزار، مهاجمین یک میزبان فردی را از طریق فیشینگ، بدافزار یا سرویس‌های کنترل از راه‌دور، در معرض خطر قرار می‌دهند. پس از بدست‌‍‌گرفتن دسترسی یک سیستم، به طور جانبی در سراسر شبکه گسترش می‌یابند تا اینکه به اعتبارنامه‌ ادمین و کنترل‌کننده‌ دامنه، دسترسی پیدا کنند. با استفاده از ابزاری مانند Mimikatz، اعتبارنامه‌ها را از active directory کپی می‌کنند.
طبق گفته Nero Consulting، یک شرکت مشاوره‌ی MSP و IT مستقر در اطراف نیویورک که در این مطلب نیز کمک کرده‌است، از آنجایی که برخی از ادمین‌ها Veeam را طوری پیکربندی می‌کنند که از احرازهویت ویندوز استفاده کند، به مهاجمین امکان می‌دهند که دسترسی نرم‌افزار پشتیبان‌گیری را بدست آورند

دانلود پیوست

اخیراً مهاجمان برای اجرای خودکار یک بدافزار دانلود کننده به نام #Ostap که پیش‌تر به‌کارگیری آن توسط بدافزار Trickbot مشاهده شده بود، از Remote Desktop ActiveX Control در ویندوز 10 و مستندات ورد استفاده می‌کنند. ویژگی Remote Desktop ActiveX Control به مایکروسافت اجازه می‌دهد تا مرتباً سیستم عامل را برای محافظت هر چه بیشتر از سیستم به‌روزرسانی کند؛ اما در این حمله از این ویژگی برای اجرا ماکروهای مخرب که حاوی بدافزار دانلودکننده‌ی Ostap هستند، استفاده شده است. در این گزارش به بررسی عملکرد این بدافزار می‌پردازیم.
1 آغاز کار با فیشینگ
بدافزار دانلود کننده Ostap، از طریق مستند word آلوده به کد ماکرو و حاوی تصویری که رمزنگاری شده است، کاربران را به سمت فعال کردن ماکرو در مستند ورد سوق می‌دهند. فایل ورد مخرب از طریق ایمیل‌های فیشینگ به دست قربانی می‌رسد. شکل زیر نمونه ایمیل فیشینگ به همراه فایل ورد مخرب پیوست شده به آن را نشان می‌دهد.

دانلود پیوست

اخیراً #‫بدافزار جدیدی با ایجاد backdoor از طریق هشدار‌های جعلی گواهی امنیتی منتشر می‌شود. این تکنیک جدید قربانیان را هنگام بازدید از سایت‌ها مجبور به نصب یک به‌روز‌رسانی گواهی امنیتی مخرب می‌کند.
صادر کننده‌های گواهی‌ امنیتی (CA)، گواهی‌ نامه‌های امنیتی SSL/TLS را برای بهبود امنیت آنلاین با ایجاد رمزنگاری کانال‌های ارتباطی بین مرورگر و سرور -مخصوصاً برای دامنه‌های ارائه دهنده خدمات تجارت الکترونیکی- و تایید هویت (برای ایجاد اعتماد در یک دامنه) منتشر می‌کند.
با وجود نمونه‌های سوءاستفاده از گواهی امنیتی، کلاهبرداری و جا زدن مجرمان سایبری به عنوان مدیران اجرایی برای به دست آوردن گواهی‌های امنیتی برای امضای دامنه‌های تقلبی یا بارگذاری بدافزار، رویکرد جدید فیشینگ در حال سوءاستفاده از مکانیزم گواهی‌های امنیتی است.
1 درباره بدافزار
اخیراً محققان امنیتی از شرکت Kaspersky گزارش دادند این تکنیک جدید در انواع سایت‌ها مشاهده شده‌ و اولین تاریخ سوءاستفاده آن در تاریخ 16 ژانویه 2020 گزارش شده است.
قربانیان هنگام بازدید از سایت‌ها با صفحه زیر روبرو می‌شوند:

این پیغام ادعا می‌کند که تاریخ اعتبار گواهی امنیتی سایت به پایان رسیده است، و از قربانیان خواسته می‌شود یک به‌روزرسانی گواهی امنیتی را برای رفع این مشکل نصب کنند.
این پیغام شامل یک iframe است و محتوای آن از طریق یک اسکریپت jquery.js از یک سرور کنترل و فرمان شخص ثالث بارگیری می‌شود؛ در حالی که نوار URL هنوز آدرس دامنه مجاز را نمایش می‌دهد.
طبق گفته محققان اسکریپت jquery.js، یک iframe که دقیقاً اندازه صفحه است را نمایش می‌دهد. در نتیجه کاربر به جای صفحه اصلی، یک صفحه ظاهراً واقعی را مشاهده می‌کند که خواستار نصب یک به‌روزرسانی گواهی امنیتی است.
اگر قربانی روی گزینه به‌روزرسانی کلیک کند، بارگیری فایل Certificate_Update_v02.2020.exe آغاز می‌شود. پس از نصب آن، مهاجم یکی از دو نوع نرم‌افزارهای مخرب Mokes یا Buerak را در سیستم قربانی اجرا می‌کند.
بدافزار Mokes یک backdoor برای macOS/Windows است، که توسط شرکت امنیت سایبری پیشرفته شناخته شده است، و قادر به اجرای کد، گرفتن screenshot، سرقت اطلاعات رایانه ای از جمله فایل‌ها،
فایل‌های صوتی و فیلم‌ها، ایجاد یک backdoor و استفاده از رمزنگاری AES-256 برای پنهان کردن فعالیت‌های خود است. تروجان Buerak نیز یک تروجان تحت ویندوز است که قادر به اجرای کد، دستکاری فعالیت‌های در حال اجرا و سرقت محتوا است؛ این تروجان پایداری خود را از طریق کلید‌های رجیستری حفظ کرده و روش‌های مختلف آنالیز و تکنیک‌های sandboxing را تشخیص می‌دهد.
در هفته اخیر، سازمان صادر کننده گواهی امنیتی Let's Encrypt اعلام کرد که قصد ابطال بیش از سه میلیون گواهی امنیتی به دلیل باگ در کد پس زمینه که باعث می‌شود سیستم‌های کنترل از بررسی‌ فیلد‌هایCAA چشم‌پوشی کنند، را دارد. اکنون خطای برنامه نویسی رفع شده است، اما صاحبان دامنه‌های قربانی باید درخواست دامنه‌های جدید بدهند.
2 مراجع

[1] https://www.zdnet.com/article/backdoor-malware-is-being-spread-through-fake-security-certificate-alerts/

یک #‫آسیب‌پذیری روز صفرم بحرانی که سرویس‌های Verisign و IaaS متعددی مانند گوگل، آمازون DeigitalOcean را تحت تاثیر قرار می‌دهد امکان ثبت دامنه‌های مخرب homograph توسط مهاجمان را فراهم می‌کند. ثبت موفقیت‌آمیز این دامنه‌ها که ظاهری مشابه دامنه‌ها و زیردامنه های شناخته شده دارند، منجر به حملاتی مشابه IDN Homograph attack و یا مهندسی اجتماعی کاربران خواهد شد.
به گفته محققان دامنه‌های homograph متعددی که گواهینامه‌های HTTPS نیز دارند، از سال 2017 فعال بوده و اغلب ظاهری مشابه دامنه‌های مربوط به خرید اینترنتی، تکنولوژی و غیره دارند. تعداد زیادی از این دامنه‌ها را می‌توان با استفاده از کاراکترهایی که ظاهر مشابه و معنی متفاوت دارند، تولید کرد. محقق امنیتی در Soluble به نام Matt Hamilton دامنه‌های زیر را به ثبت رسانده است:
amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com
nvidiɑ.com
ɡoogɩe.com
دامنه های homograph فوق تا حد زیادی مشابه دامنه‌های اصلی هستند و این موضوع می‌تواند موجب گمراهی کاربر شود؛ همچنین با به کارگیری مهندسی اجتماعی توسط مهاجمان می‌تواند برای نصب بدافزار و یا سرقت اطلاعات مورد استفاده قرار گیرد. ثبت دامنه‌های فوق نشان می‌دهد که ثبت دامنه‌هایی که ترکیبی از کاراکترهای لاتین و Unicode هستند درصورت لاتین بودن خود کاراکتر Unicode امکان‌پذیر است.
این آسیب‌پذیری همه‌ی Verisignهایی که از هر نوع سرویس TLD (با امکان پشتیبانی از کاراکترهای لاتین IPA نظیر gTLD) استفاده می‌کنند را تحت تاثیر قرار می‌دهد. از آنجایی که موارد متعددی از گواهینامه HTTPS از طریق Certificate Transparency شناسایی شدند و یک کتابخانه غیررسمی جاوااسکریپت نیز به عنوان یک دامنه حساس به ثبت رسیده، می‌توان این آسیب‌پذیری را یک آسیب‌پذیری روز صفرم تلقی کرد.
1 مراجع
[1] https://gbhackers.com/homograph-domains/