فا

‫ اخبار

رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

طبق تحقیقاتی که تیم تحقیقاتی شرکت امنیتی Fortinet در طی دو ماه گذشته در آزمایشگاه #‫Forti_Guard انجام داده اند یک #‫باج_افزار در Golang کشف شده است. در این آزمایشگاه با انجام مهندسی معکوس روی بدافزار موجود در Golang توانستند این باج افزار را کشف کنند. Golang که با نام Go نیز شناخته شده است یک زبان برنامه نویسی استاتیک است که در Google طراحی شده است و در جوامع توسعه دهنده بدافزار محبوبیت بیشتری دارد. در این گزارش، یک باج افزار تازه کشف شده در Golang را که سیستم‌های لینوکس را مورد هدف قرار می‌دهد، تحلیل خواهیم کرد.

دانلود پیوست

29 مهر 1398 برچسب‌ها: گزارشات تحلیلی
وصله‌ی هشت آسیب‌پذیری با شدت بالا در Foxit Reader

هشت #‫آسیب‌پذیری با شدت بالا در Foxit Readerکه نرم‌افزار معروف PDFاست وجود دارد که در حال حاضر وصله‌های آن‌ها توسط شرکت Foxit Software(شرکت پشتیبان Foxit Reader) وصله شده‌اند. این نقص‌ها در نسخه‌های ویندوزی Foxit Readerوجود دارند و به یک مهاجم راه‌دور اجازه می‌دهند کد دلخواه را در سیستم‌های آسیب‌پذیر اجرا کنند.

شرکت Foxit Softwareنسخه‌ی Foxit Reader 9.7را جهت رفع مشکلات امنیتی احتمالی، منتشر ساخته است و اصرار دارد مشتریانش ابزار خود را به آخرین نسخه، به‌روزرسانی کنند.

شدیدترین این نقص‌ها که با شناسه‌ی CVE-2019-5031ردیابی می‌شود و دارای امتیاز CVSS 8.8از 10.0است، در روش تعامل Foxit Readerبا موتور جاوااسکریپت (برنامه‌ای که کد جاوااسکریپت را اجرا می‌کند) وجود دارد. Foxit Readerمی‌تواند برای اسناد تعاملی و فرم‌های پویا از جاوااسکریپت پشتیبانی کند. به عنوان مثال، هنگامی که یک کاربر، یک سند PDFرا باز می‌کند، Foxit Readerمی‌تواند جاوااسکریپت را اجرا کند؛ اما، هنگامی که نسخه‌های خاصی از موتور جاوااسکریپت (نسخه 7.5.45و نسخه‌های پیشین در موتور V8 JavaScript) در نسخه‌ی 9.4.1.16828 Foxit Readerاستفاده می‌شوند، می‌توانند منجر به اجرای کد دلخواه و انکار سرویس شوند. دلیل این امر این است که در نسخه‌ی متأثر Foxit Reader، بازکردن موتور جاوااسکریپت منجر به اختصاص حجم زیادی حافظه می‌شود که به سرعت، تمام حافظه‌های موجود را مصرف می‌کند. این امر معمولاً منجر به شناسایی یک حالت خارج از حافظه می‌شود و فرایند خاتمه می‌یابد.

به گفته‌ی Cisco Talos، در یک سناریوی حمله، یک سند PDFدستکاری‌شده‌ی خاص می‌تواند یک وضعیت خارج از حافظه که به صورت صحیح مدیریت نشده است، ایجاد کند و منجر به اجرای کد دلخواه شود. جهت سوءاستفاده از این آسیب‌پذیری، لازم است مهاجم یک کاربر را به بازکردن یک فایل مخرب فریب دهد. فعال بودن افزونه‌ی پلاگین مرورگر نیز می‌تواند منجر به سوءاستفاده از این آسیب‌پذیری شود.

سایر آسیب‌پذیری‌های با شدت بالا در Foxit Reader، دارای امتیاز 7.8از 10در مقیاس CVSSهستند. تمامی این آسیب‌پذیری‌ها به مهاجم راه‌دور اجازه‌ی دسترسی به قربانیان را می‌دهند. Foxitبه کاربران ویندوز که دارای نسخه‌ی 9.6.0.25114و پیش از آن هستند توصیه می‌کند، Foxit Readerرا به 9.7و پس از آن ارتقا دهند.

سه مورد از این نقص‌ها (CVE-2019-13326، CVE-2019-13327، CVE-2019-13328)، مربوط به روش پردازش فیلدهای درون اشیای AcroFormهستند. AcroForm، فایل‌های PDFهستند که شامل فیلدهای فرم هستند و داده‌ها می‌توانند وارد این فیلدها شوند. این مشکلات از عدم اعتبارسنجی وجود یک شیء پیش از انجام عملیات بر روی شئ ناشی می‌شوند. مهاجم می‌تواند از این آسیب‌‌پذیری به‌منظور اجرای کد، در متن فرایند فعلی، سوءاستفاده کند.

چهار آسیب‌پذیری با شدت بالای دیگر در Foxit Reader، مربوط به روش مدیریت فایل‌های TIF (CVE-2019-13329)، فایل‌های JPG (CVE-2019-13330,CVE-2019-13331)و الگوهای فرم XFA (CVE-2019-13332)توسط Foxit Readerهستند. XFAمخفف XML Forms Architecture و خانواده‌ای از مشخصات اختصاصی XMLاست که توسط JetFormجهت بهبود پردازش فرم‌های وب ارایه شده است.

این نقص‌ها به مهاجمین راه‌دور اجازه می‌دهند تا کد دلخواه را در نصب‌های متأثر Foxit Readerاجرا کنند. اما در همه‌ی آن‌ها، هدف ابتدا باید به یک صفحه مخرب مراجعه یا یک پرونده مخرب را باز کند.

28 مهر 1398 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

در تاریخ 30 ژوئیه سال 2019 میلادی، #‫باج‌افزار ی با عنوان TFlower مشاهده شد. بر اساس مشاهدات صورت‌گرفته، تمرکز اصلی این باج‌افزار بر روی سازمان‌ها و شرکت‌ها می‌باشد. طبق بررسی‌های انجام‌شده، باج‌افزار TFlower هیچ پسوندی را به فایل‌های رمزگذاری شده اضافه نمی‌کند و تنها نشانه اولیه آلودگی به این باج‌افزار، قرارگرفتن پیغام باج‌خواهی آن با عنوان !_Notice_!.txtدر سیستم قربانی می‌باشد. باج‌افزار TFlower از الگوریتم AES جهت رمزگذاری فایل‌های مورد نظر خود در سیستم قربانی استفاده می‌کند. براساس اخبار منتشر شده، این باج‌افزار معمولاً از طریق پروتکل‌ RDP به اهداف خود نفوذ کرده و مبلغ بسیار بالای 70 بیت‌کوین باج را درخواست می‌دهد.

دانلود پیوست

28 مهر 1398 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

در تاریخ 6 اکتبر سال 2019 میلادی، اخباری مبنی بر مشاهده #‫باج‌افزار ی با عنوان OnyxLocker منتشر شد. طبق مشاهدات صورت گرفته، این باج‌افزار از طریق یک سند مایکروسافت آفیس با فرمت RTF که کد فایل اصلی به آن تزریق شده است، به سیستم قربانی خود نفوذ می‌کند. طبق بررسی‌های صورت گرفته، باج‌افزار OnyxLocker از کتابخانه‌ای با نام XXTEA در فرآیند رمزنگاری خود بهره برده است. الگوریتم رمزنگاری مورد استفاده در کدنویسی این باج‌افزار، DES با طول کلید 192بیت می‌باشد. این باج‌افزار، پسوند فایل‌های رمزگذاری‌شده را به onx. تغییر می‌دهد.

دانلود پیوست

28 مهر 1398 برچسب‌ها: گزارشات تحلیلی
رمزگشای باج‌افزار STOP/Djvu

#‫رمزگشا ی باج‌افزار STOP/Djvuتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

#‫باج‌افزار STOPبرای اولین بار در اواخر سال ۲۰۱۷ میلادی مشاهده گردید. Djvuنسخه جدیدتر آن می‌باشد که از نظر عملکرد شبیه والد خود (STOP) می‌باشد و امروزه آن‌ها را با نام STOP/Djvuمی‌شناسند. این باج‌افزار در سال جاری میلادی، بیشترین تعداد قربانی را در سطح جهان به خود اختصاص داده است. طبق اعلام شرکت Emsisoft، این رمزگشا حدوداً ۷۰ درصد قربانیان را پوشش داده و این قربانیان می‌توانند فایل‌های خود را بدون پرداخت باج بازگردانند.

این رمزگشا برای قربانیان باج‌افزار STOP/Djvuبا ویژگی‌های زیر به درستی عمل نموده است.

قربانیانی که پسوند فایل های رمز شده آن‌ها به شرح زیر است:

  1. پسوندهای با حروف بزرگ مثل KEYPASS
  2. پسوندهای دارای کلمه pumaمانند puma, pumas, pumaxو ...
  3. پسوندهای نسبتا قدیمی مانند djvu, roland, verastoو ...
  4. پسوندهای جدید مانند gero, meds, bootو ...

در صورتی که فایل‌های رمز شده شامل دو مورد اول می باشند. می‌توانید با این رمزگشا فایل های خود را رمزگشایی کنید. به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید.

https://www.emsisoft.com/ransomware-decryption-tools/stop-puma

و یا در صورتی که فایل‌های رمز شده شامل دو مورد بعدی می‌باشند، می‌توانید با این رمزگشا فایل‌های خود را رمزگشایی کنید. به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید.

https://www.emsisoft.com/ransomware-decryption-tools/stop-djvu

نکات مهم:

  • برای سه مورد نخست، در اختیار داشتن یک فایل رمز شده به همراه نسخه سالم آن که حجم آن بیش از 150 کیلوبایت باشد، لازم است.
  • مورد سوم و چهارم همچنان فقط با کلیدهای آفلاین قابل رمزگشایی است، اما شانس مورد سوم برای رمزگشایی بیشتر است.
28 مهر 1398 برچسب‌ها: اخبار
آسیب پذیری مهم در ابزار sudo در سیستم‌ عامل های لینوکس به شماره CVE-2019-14287

آسیب‌پذیری پکیج Sudoدر لینوکس

این #‫آسیب‌پذیری با شناسه CVE-2019-14287به کاربران لینوکس (حتی کاربرانی با دسترسی محدود) امکان اجرای دستور با دسترسی root می‌دهد. مهاجم با قرار دادن "1-" یا "4294967295"بعنوان شناسه کاربری (user ID) می‌تواند از این آسیب پذیری استفاده کند.

این آسیب‌پذیری دور زدن سیاست امنیتی sudo است که به مهاجم یا هر برنامه‌ای (علی‌رغم عدم صدور مجوز دسترسی root در"sudoers configuration") اجازه‌ی اجرای دستور دلخواه بعنوان کاربر root می‌دهد.

اگرچه جداسازی سطوح دسترسی یکی از اساسی‌ترین اصول امنیتی در سیستم عامل لینوکس است ولی کاربران administratorهمچنان می‌توانند با ویرایش فایل sudoersتعیین کنند که هر کاربر مجاز به اجرای چه دستوراتی است. پس اگر کاربری با دسترسی rootمحدود به اجرای تعداد خاصی دستور شده باشد با استفاده از این آسیب‌پذیری می تواند همه‌ی دستورات را بدون محدودیت اجرا کند.

برای عملیاتی کردن آسیب‌پذیری کاربر باید اجازه اجرای دستورات با مجوز sudoبا شناسه کاربری (user ID) دلخواه را داشته باشد. بطور مثال در CentOS 7با انجام مراحل زیر می‌توان آسیب‌پذیری را عملیاتی کرد:

  • ایجاد یک کاربر با نام دلخواه testو تنظیم پسورد برای این کاربر
  • ویرایش فایل sudoersو اضافه کردن عبارت test ALL=(ALL, !root)ALLبه انتهای آن
  • تغییر کاربر فعلی به testو اجرای دستور sudo –u#-1

دلیل این آسیب‌پذیری نحوه‌ی پیاده‌سازی تابعی است که شناسه کاربری را به نام کاربری تبدیل می‌کند و به اشتباه 1- برمی‌گرداند و یا 4294967295 که معادل صفر و شناسه کاربری root است.

این آسیب‌پذیری همه‌ی نسخه‌های sudoرا بجز جدیدترین نسخه آن یعنی 1.8.28تحت تاثیر قرار می‌دهد.

24 مهر 1398 برچسب‌ها: اخبار
آسیب پذیری سرویس SSL VPN در فایروال های Cyberoam به شماره CVE-2019-17059

یک #‫آسیب‌پذیری حیاتی در کنسول مدیریت و SSL VPNتجهیزات UTMشرکت سایبروم گزارش شده است. درصورت حمله موفق، حمله کننده دسترسی با سطح rootرا بدست خواهد آورد. با توجه به قرارگیری سرویس‌دهنده‌های VPNاز جمله سرویس SSL VPNدر تجهیزات UTMبر بسترشبکه اینترنت جهت برقراری دسترسی از راه دور به شبکه داخلی، این نوع آسیب‌پذیری می تواند بسیار خطرناک باشد.

تمامی فایروال‌های سوفوس با سیستم عامل CROS 10.6.6 MR-5 و قبل از آن آسیب‌پذیر می باشند. جهت رفع آسیب پذیری بروزرسانی دستگاه ضروری است.

منابع :

https://community.sophos.com/kb/en-us/134732

https://www.symantec.com/security-center/vulnerabilities/writeup/110370?om_rssid=sr-advisories

24 مهر 1398 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

در این گزارش، بدافزاری با عنوان فیلترشکن بررسی و عملکرد آن تشریح خواهد شد. این بدافزار درواقع یکی از فیلترشکن‌هایی را که کد منبع آن­ها در اختیار است تغییر داده و منتشر کرده است. با توجه به اینکه این بدافزار مجوزهای خواندن مخاطبین و ارسال پیامک را دارد، پس از نصب متن تبلیغ به همراه لینک دانلود برنامه را به تمامی مخاطبین ذخیره ­شده بر روی گوشی همراه کاربر فرستاده و ایشان را به دانلود این برنامه ترغیب می‌کند. هم­چنین برنامه برای خرید نسخه ویژه و یا ارتقاء به نسخه­ ی غیر رایگان، یک صفحه ­ی فیشینگ به کاربر نمایش داده می‌شود. البته کنترل لینک و نمایش صفحه فیشینگ در درست توسعه‌دهنده است و تنها زمانی که توسعه‌دهنده قصد نمایش صفحه فیشینگ را داشته باشد، با استفاده از کارگزار کنترل و فرمان، دستور نمایش صفحه پرداخت فعال می‌شود.

دانلود پیوست

23 مهر 1398 برچسب‌ها: گزارشات تحلیلی
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها
کشف نقص جديد در واتس‌اپ با امکان اجرای کد از راه دور

یک محقق امنیتی، نقصی را در سیستم‌عامل پیام‌رسان محبوب #‫واتس‌اپ در دستگاه‌های اندرویدی شناسایی کرده است که می‌تواند به مهاجمان، امکان ارتقاء امتیاز و اجرای کد از راه دور (RCE) دهد.

این حفره‌ی امنیتی که توسط یک محقق با نام مستعار "Awakened" کشف شد‌، به عنوان یک اشکال "double-free" توصیف و به آن شناسه‌ی "CVE CVE-2019-11932" اختصاص داده شده است.

این نقص، در نسخه‌ی 2.19.230 واتس‌اپ در دستگاه‌های دارای اندروید 8.1 و 9.0 اجازه‌ی اجرای کد از راه دور را می‌دهد و در نسخه‌های قبلی فقط می‌تواند برای حملات انکار سرویس (DoS) استفاده شود.

آسیب‌پذیری شناسایی‌شده، در یک کتابخانه‌ی منبع‌باز به نام "libpl_droidsonroids_gif.so" وجود دارد که توسط واتس‌اپ برای تولید پیش‌نمایش پرونده‌های GIFاستفاده می‌شود.

بهره‌برداری از این نقص، شامل ارسال یک پرونده‌ی GIFمخرب است که می‌تواند در هنگام بازکردن گالری واتس‌اپ توسط کاربر (به‌عنوان مثال، زمانی که کاربر می‌خواهد برای یکی از مخاطبین خود تصویری ارسال کند) به‌طور خودکار باعث آسیب‌پذیری ‌شود.

به‌گفته‌ی این محقق، مهاجم نمی‌تواند تنها با ارسال یک GIFویژه، از این نقص بهره‌برداری کند و کنترل تلفن همراه را در دست بگیرد. مهاجم ابتدا باید از آسیب‌پذیری دیگری که در تلفن کاربر وجود دارد سوءاستفاده کند تا به چیدمان حافظه دسترسی پیدا کند؛ زیرا یک اشکال "double-free" نیاز دارد تا یک مکان از حافظه را دوبار فراخوانی کند و این کار می‌تواند منجر به خرابی یک برنامه یا ایجاد یک آسیب‌پذیری شود.

در این حالت، هنگامی که یک کاربر واتس‌اپ، نمایه‌ی گالری را برای ارسال پرونده‌ی رسانه باز می‌کند، واتس‌اپ آن‌را با استفاده از یک کتابخانه‌ی منبع‌باز بومی به نام "libpl_droidsonroids_gif.so" برای تولید پیش‌نمایش پرونده‌ی GIFکه شامل چندین فریم رمزگذاری‌شده است، تجزیه می‌کند.

برای ذخیره‌سازی فریم‌های رمزگشایی‌شده، از بافری با نام "rasterBits" استفاده می‌شود. اگر همه‌ی فریم‌ها دارای اندازه‌ی یکسان باشند، مجدداً از "rasterBits" برای ذخیره‌ی قاب‌های رمزگشایی‌شده، بدون تخصیص مجدد استفاده می‌شود که همین امر می‌تواند به مهاجم اجازه‌ی سوءاستفاده از آسیب‌پذیری دهد.

پس از بهره‌برداری، دو بردار حمله وجود دارد که مهاجمان می‌توانند از آن استفاده کنند. اولین مورد، افزایش امتیاز محلی است که در آن، یک برنامه‌ی مخرب بر روی دستگاه نصب می‌شود که آدرس کتابخانه‌های "zygote" (فرایند قالب برای هر برنامه و سرویس آغازشده در دستگاه) را جمع‌آوری می‌کند و یک فایل GIFمخرب تولید می‌کند که منجر به اجرای کد در متن واتس‌اپ می‌شود.

این کار به نرم‌افزار مخرب اجازه می‌دهد تا پرونده‌های موجود در سندباکس واتس‌اپ از جمله پایگاه‌داده‌ی پیام را سرقت کند.

بردار حمله‌ی دوم، RCEاست که در آن، یک مهاجم با برنامه‌ای که دارای آسیب‌پذیری افشای اطلاعات حافظه‌ی از راه دور است، برای جمع‌آوری آدرس‌های کتابخانه‌های "zygote" و تهیه‌ی یک فایل GIFمخرب جفت می‌شود. به محض اینکه کاربر نمای گالری را در واتس‌اپ باز می‌کند، پرونده‌ی GIFیک پوسته در زمینه‌ی واتس‌اپ ایجاد می‌کند.

Awakend، فیس بوک را از این اشکال مطلع کرد و این شرکت، همان زمان وصله‌ی رسمی برای برنامه را در نسخه‌ی واتس‌اپ 2.19.244 منتشر نمود.

به کاربران توصیه می‌شود که واتس‌اپ خود را به این نسخه به‌روز کنند تا از این اشکال در امان بمانند.

22 مهر 1398 برچسب‌ها: اخبار
صفحات: 1 2 3 »