فا

‫ اخبار

اطلاعیه مرکز ماهر در خصوص حملات سایبری اخیر

پیرو برخی اخبار و شایعات منتشره اخیر لازم به ذکر است که
1. رخداد حمله مهم سایبری صرفا مربوط به دو سازمان دولتی بوده که مراجع مسوول در حال رسیدگی به موضوع هستند و مرکز ماهر نیز به عنوان پشتیبان آماده کمکها و امدادهای احتمالی مورد نیاز است.
2. بر اساس برخی تحلیلها و براوردهای فنی، هشدارهای پیشگیرانه برای مسوولین و کارشناسان دولتی در سطح ملی صادر شد که به هیچ وجه به معنای وجود حمله نبوده است.
3. برخی دستگاههای دولتی بر اساس برداشت یا تحلیل خود پس از دریافت هشدارها اقدام به قطع موقت برخی خدمات و انجام تستهای فنی کردند که به دلیل احتیاط صورت گرفته است. اگر چه از نظر مرکز ماهر این اقدام ضرورتی نداشت.
4. علیرغم شایعات مطرح شده در فضای مجازی و برخی رسانه ها، شواهدی از حمله گسترده به دستگاه های متعدد دولتی تا این لحظه مشاهده نشده است.


لازم به ذکر است که بخش مهمی از این فعالیت و فعالیتهای مشابه با همکاری تنگاتنگ مراکز آپا سطح کشور انجام میشود که قابل تقدیر و برای مرکز ماهر بسیار کلیدی است. لذا علیرغم وجود برخی تنگناهای بودجه ای که برای این مراکز ارزشمند بوجود آمده است حمایتها و همکاری های مرکز ماهر وزارت ارتباطات با مراکز آپا همچنان استمرار دارد و هرگونه قطع همکاری با مراکز فوق قویا تکذیب میشود. در انتها مرکز ماهر از هرگونه انتقاد و پیشنهاد کارشناسان جهت بهبود و ارتقاء عملکرد خود استقبال می کند.

22 مهر 1399 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

سیسکو در 7 اکتبر سال 2020 چندین به‌روزرسانی امنیتی برای رفع 14 #‫آسیب‌پذیری منتشر کرده است. نفوذگران با بهره‌برداری از برخی از این آسیب‌پذیری‌ها می توانند، کنترل سیستم را در اختیار بگیرند. 11 مورد از این آسیب‌پذیری‌ها دارای شدت متوسط و 3 مورد از این موارد دارای شدت بالا هستند. در پیوست لیست آسیب‌‌پذیری‌های رفع شده نمایش داده می‌شود.

19 مهر 1399 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

گوگل نسخه 86.0.4240.75 از کروم را برای ویندوز، لینوکس و MacOS منتشر کرد. در این نسخه 35 #‫آسیب‌پذیری رفع شده است که نفوذگران با بهره‌برداری از این آسیب‌پذیری‌ها می توانند، کنترل سیستم را در اختیار بگیرند.
نسخه 86 از کروم توجه ویژه‌ای به امنیت در هر دو نسخه دستکتاپ و موبایل داشته است؛ از جمله این موارد می‌توان به افزایش امنیت پسورد، محافظت در برابر دانلود و ارسال فرم ناامن و محافظت بیومتریک در برابر پسوردهای ذخیره شده با قابلیت auto-filling اشاره کرد.
گرچه این مرورگر به صورت خودکار، درباره آخرین نسخه موجود به کاربران اطلاع می‌دهد؛ اما توصیه می‌شود با رفتن به منوی Help → About Google Chrome، روند به‌روزرسانی را به صورت دستی شروع کنید.

منبع

https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop.html?m=1

19 مهر 1399 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

محققان جزئیات چندین نقص امنیتی در #‫آنتی‌ویروس ‌های مشهور را افشاء کرده‌اند که اکسپلویت این نقص‌های امنیتی، امکان افزایش مجوز دسترسی را برای هکرها فراهم می‌آورد. آنتی‌ویروس‌ها که باید از آلوده شدن سیستم‌ها جلوگیری کنند، ممکن است ناخواسته به بدافزار اجازه افزایش مجوز دسترسی در سیستم را بدهند. از آنجایی‌که آنتی‌ویروس‌ها با مجوز دسترسی بالا اجرا می‌شوند؛ بنابراین هرگونه بهره‌برداری از نقص این محصولات می‌تواند منجر به افزایش مجوز دسترسی و انجام افعال مخربانه متعدد شود.
چندین محصول ضد بدافزار (anti-malware) از جمله آنتی‌ویروس‌هایKaspersky ،McAfee ،Symantec ، Check Point، Fortinet، Trend Micro، Avira و Microsoft Defender تحت تاثیر این نقص‌ها قرار دارند.
لیست‌ کنترل دسترسی اختیاری (DACL) پیش‌فرض دایرکتوری C:\ProgramData یکی از دلایل اصلی بسیاری نقص‌ها در این آنتی‌ویروس‌ها است. برنامه‌ها برای ذخیره داده در ویندوز از دایرکتوری ProgramData استفاده می‌کنند. هر کاربری حق دسترسی نوشتن/خواندن در این دایرکتوری را دارد؛ برعکس دایرکتوری %LocalAppData% که تنها توسط کاربر احراز هویت قابل دسترس است.
افزایش مجوز دسترسی زمانی رخ می‌دهد که فرایند غیر‌مجاز (non-privileged) دایرکتوری جدیدی در ProgramData ایجاد می‌کند که بعدها توسط فرایند دارای مجوز مورد استفاده قرار می‌گیرد. دقیقا شبیه روالی که در آنتی‌ویروس‌ها رخ می‌دهد.
محققان آزمایشگاه CyberArk نشان دادند که چگونه در آنتی¬ویروس Avira یک فایل لاگ مشترک که توسط دو فرایند مختلف اجرا می‌شد، منجر به اکسپلویت فرایند با مجوز بالا شده است که در نتیجه این اکسپلویت امکان حذف فایل و ایجاد لینک نمادین (Symbolic Link) به هر فایل اختیاری با محتویات مخرب فراهم شده است. همچنین این متخصصان نشان دادند که اکسپلویت آنتی¬ویروس‌های Trend Micro، Fortinet و چند آنتی‌ویروس دیگر اجازه قرار دادن فایل DLL مخرب در دایرکتوری application و افزایش حق دسترسی را می‌دهد.
جدول زیر لیست تمام آسیب‌پذیری‌های شناسایی شده در آنتی ویروس‌ها را نشان می‌دهد. خوشبختانه، تمام آسیب‌پذیری‌های گزارش شده توسط تولیدکنندگان این آنتی‌ویروس‌ها رفع شده است. بنابراین کاربران آنتی ویروس‌ها ذکر شده کافیست از به‌روز بودن آنتی‌ویروس خود اطمینان حاصل کنند.


منبع

https://securityaffairs.co/wordpress/109115/hacking/antivirus-solutions-flaws.html?utm_source=rss&utm_medium=rss&utm_campaign=antivirus-solutions-flaws

18 مهر 1399 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

محققان تیم کسپرسکی یک #‫بدافزار مبتنی بر UEFI را کشف کرده‌اند که برای هدف قرار دادن نهادهای دیپلماتیک در آسیا، آفریقا و اروپا ساخته شده است. میان‌افزار UEFI یک مولفه اساسی برای هر کامپیوتر است. این میان‌افزار مهم در داخل یک حافظه فلش به مادربرد متصل می‌شود و تمام اجزای سخت‌افزاری کامپیوتر را کنترل می‌کند و به بوت سیستم‌عامل نهایی (ویندوز، لینوکس، macOS و موارد مشابه) که کاربر با آن تعامل دارد، کمک می‌کند.
حمله به میان‌افزارها برای هر گروه هکری بسیار ارزشمند است. اگر کدهای آلوده بتوانند در میان‌افزار قرار بگیرند، حتی پس از حذف و نصب مجدد سیستم‌عامل، سیستم همچنان آلوده خواهد بود. با این حال، علی‌رغم این مزایا، حملات به میان‌‌افزارها نادر هستند؛ چرا که حمله‌کنندگان یا باید دسترسی فیزیکی به دستگاه داشته باشند و یا اهداف خود را از طریق حملات زنجیره‌ای پیچیده آلوده کنند. در واقع این بدافزار، دومین بدافزاری است که به صورت گسترده میان‌افزار UEFI را هدف قرار داده است. اولین بدافزار، یک بدافزار روسی بود که در سال 2018 توسط ESET شناسایی شد.
تیم کسپرسکی مدعی است که این حمله را از طریق ماژول اسکنر میان‌افزار کسپرسکی شناسایی کرده است. کد آلوده موجود در میان‌افزار به نوعی طراحی شده است تا بتواند هر بار که کامپیوتر آلوده کار خود را شروع می‌کند، برنامه خودکار مخرب را نصب کند. این برنامه خودکار اولیه به عنوان یک ابزار دانلود عمل کرده و مولفه‌های دیگر بدافزار را دانلود می‌کند. کسپرسکی این مولفه‌ها را MosaicRegressor نام گذاری کرده است. محققان تیم کسپرسکی هنوز نتوانستن به طور کامل MosaicRegressor را تحلیل کنند. محققان کسپرسکی بیان کردند که با وجود اینکه بوتکیت UEFI را تنها در دو سیستم یافته‌اند اما MosaicRegressor در تعداد زیادی سیستم دیده شده است.
کسپرسکی ضمن تجزیه و تحلیل این حملات دریافته است که کد مخرب UEFI مبتنی بر VectorEDK است که یک ابزار هک برای حمله به میان‌افزار UEFI می‌باشد. VectorEDK به نوعی طراحی شده است که برای اجرا نیازمند دسترسی فیزیکی دارد.

مدیران سیستم‌ها و مدیران شبکه سازمان‌های دولتی برای حفاظت از سیستم‌های خود لازم است، موارد زیر را مد نظر داشته باشند.

  • با توجه به اینکه امکان آلوده کردن UEFI در صورت دسترسی فیزیکی به سیستم بیشتر می‌شود؛ لذا اولا کامپیوترها (بویژه در مراکز حساسی مثل تاسیسات هسته‌ای و ...) از مبادی امن تهیه شوند. ثانیا از قرار گرفتن آن‌ها در اختیار افراد نامطمئن (با هدف تعمیر و ارتقا و ...) جدا پرهیز شود.
  • از اسکنر مختص میان‌افزارهاییUEFI از قبیل KUEFI کسپرسکی برای اسکن سیستم خود استفاده نمایید.
  • میان افزار UEFIسیستم خود را به‌روزرسانی نمایید.


منبع:

https://www.zdnet.com/article/chinese-hacker-group-spotted-using-a-uefi-bootkit-in-the-wild/

16 مهر 1399 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

واژه‌هایی مانند ویروس، تروجان، #‫باج‌افزار و Rootkit در بحث امنیت سایبری واژه‌های آشنایی هستند که انواع مختلفی از برنامه‌های مخرب به نام #‫بدافزار (Malware) را معرفی می‌کنند. مجرمان سایبری از بدافزارها برای آلوده‌سازی رایانه‌ها و دستگاه‌های دیگر استفاده می‌کنند. توصیه می‌شود، کاربران و مدیران شبکه با استفاده از روش‌های زیر، روال امنیتی سیستم‌های سازمان خود را قوی کنند تا از آلوده شدن سیستم‌های خود به انواع بدافزارها جلوگیری نمایند. صاحبان سیستم‌ها و مدیران شبکه قبل از اعمال هر تغییری در پیکربندی سیستم، لازم است که تغییرات را به دقت مورد بررسی قرار دهند تا از تاثیرات ناخواسته آن‌ها جلوگیری شود.

• امضاءها و موتورهای آنتی ویروس‌ها را به‌روز نگه دارید.
• سیستم‌عامل را به‌روزرسانی کرده و وصله‌ها را اعمال کنید.
• سرویس اشتراک فایل و پرینتر را غیر فعال کنید. اگر این سرویس‌ها ضروری هستند از پسورد قوی یا مکانیزم احراز هویت Active Directory در آن‌ها استفاده کنید.
• مجوزهای (permissions) کاربران را محدود کنید و اجازه نصب و اجرای برنامه‌ها ناخواسته را به آن‌ها ندهید. کاربران را فقط و فقط در صورت نیاز به local administrators group اضافه کنید.
• استفاده از پسورد قوی را اجباری کرده، مکانیزم لازم برای تغییرات دوره‌ای و منظم پسورد را پیاده‌سازی کنید.
• در هنگام باز کردن پیوست‌های ایمیل همواره احتیاط کنید؛ حتی اگر انتظار دریافت چنین پیوستی را داشتید و فرستنده به نظر شما آشنا است.
• در هر ایستگاه کاری (agency workstations) فایروال شخصی را فعال کرده و آن را برای انکار درخواست‌های اتصال ناخواسته پیکربندی کنید.
• سرویس‌های غیرضروری را در ایستگاه‌های‌ کاری و سرورها غیرفعال کنید.
• پیوست‌های ایمیل را اسکن کرده و پیوست‌های مشکوک را حذف کنید. اطمینان حاصل کنید که پیوست اسکن شده دارای نوع فایل درست باشد. برای نمونه مطمئن شوید که پسوند فایل با هدر فایل هم‌خوانی دارد.
• عادات وبگردی کاربران را کنترل کرده، دسترسی به سایت‌های دارای محتوای نامطلوب را محدود کنید.
• هنگام استفاده از رسانه قابل حمل (removable media) به عنوان مثال درایوهای خارجی، CDها و غیره احتیاط کنید.
• همه نرم‌افزارهای دانلود شده از اینترنت را قبل از اجرا اسکن نمایید.
• همواره از آخرین تهدیدات سایبری آگاه باشید و Access Control Lists مناسب را پیاده‌سازی کنید.

13 مهر 1399 برچسب‌ها: امنیت در رایانه شما
ایجاد‌کننده اطلاع‌رسانی‌ها

سیسکو در 24 سپتامبر به منظور رفع 42 #‫آسیب‌پذیری درچندین محصول مختلف خود، به‌روزرسانی امنیتی منتشر کرده است. 29 مورد از این آسیب‌پذیری‌ها دارای درجه شدت بالا و 13 مورد دارای درجه شدت متوسط هستند. نفوذگران با اکسپلویت برخی از این آسیب‌پذیری‌ها می‌توانند کنترل سیستم‌های تحت تاثیر را در اختیار بگیرند.
مهمترین آسیب‌پذیری‌های رفع شده در به‌روزرسانی اخیر در جدول زیر نمایش داده شده است. توصیه می‌شود کاربران و مدیران با بررسی سایت سیسکو محصولات خود را به‌روزرسانی نمایند.

منبع خبر:


[1] https://us-cert.cisa.gov/ncas/current-activity/2020/09/25/cisco-releases-security-updates-multiple-products
[2] https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=100#~Vulnerabilities

ایجاد‌کننده اطلاع‌رسانی‌ها

محققان شرکت Check Point #‫آسیب‌پذیری خطرناکی را در نسخه اندروید و iOS برنامه‌‌کاربردی اینستاگرام شناسایی کرده‌اند که امکان اجرای کد از راه دور را برای هکرها از طریق یک فایل تصویری مخرب فراهم می‌آورد. برای به دست گرفتن کنترل اینستاگرام در گوشی کاربران کافی است هکر تصویری مخرب را از طریق ایمیل، واتس‌اپ، پیامک یا دیگر روش‌‌ها ارسال کند. بعد از ذخیره تصویر در گوشی، کد مخرب پنهان شده در تصویر با اجرای برنامه‌کاربردی اینستاگرام فعال می‌شود. به محض اکسپلویت آسیب‌پذیری، هکر کنترل کامل اینستاگرام قربانی را در دست می‌گیرد. برای نمونه می‌تواند پست جدیدی ارسال کرده یا پستی را پاک کند.
بعلاوه از آنجاییکه اینستاگرام حق دسترسی به برخی از قابیلت‌های گوشی را نیز دارد، هکر می‌تواند با اکسپلویت این آسیب‌پذیری به موقعیت مکانی و به فایل‌های ذخیره شده در دستگاه قربانی دسترسی یابد، لیست مخاطبین او را جست و جو کند، دوربین گوشی را روشن نماید. همچنین هکر می‌تواند برنامه اینستاگرام را مختل کند و از ورود کاربر به اینستاگرام تا زمان حذف و نصب مجدد جلوگیری نماید.
ریشه این آسیب‌پذیری استفاده از برنامه شخص سوم با نام MozJPEG برای پردازش تصاویر است. یک دستور آسیب‌پذیر در این برنامه به مهاجم اجازه می‌دهد که حافظه اختصاص داده شده به تصویر را دستکاری کرده و کد مخرب مورد نظر خود را اجرا نماید.
Check Point قبل از انتشار خبر به صورت عمومی آسیب‌پذیری را به شرکت فیسبوک (فیسبوک اینستاگرام را در سال 2012 خریده است.) اعلام کرده است تا زمان کافی برای رفع آسیب‌پذیری وجود داشته باشد. فیسبوک به سرعت وصله‌ای برای آسیب‌پذیری ارائه کرد. در نتیجه اگر اینستاگرام شما به روزرسانی شده است، نباید نگران این آسیب‌پذیری باشید.
به کاربران توصیه می‌شود که برنامه اینستاگرام خود را به آخرین نسخه موجود به‌روزرسانی نمایند.

منبع

https://www.techspot.com/news/86872-researchers-discover-rce-exploit-highjack-instagram-mobile-app.html

ایجاد‌کننده اطلاع‌رسانی‌ها

تیم Samba برای رفع #‫آسیب‌پذیری Netlogon با شناسه CVE-2020-1472 در نسخه‌های مختلف Samba به‌روزرسانی‌های امنیتی جدیدی را منتشر کرده ‌است. این آسیب‌پذیری به مهاجم راه دور امکان می‌دهد تا کنترل سیستم آسیب‌‌پذیر را در دست بگیرد. پیش از این، برای اشکال امنیتی در پروتکل Netlogon، مایکروسافت در اگوست سال 2020 میلادی به‌روزرسانی ارائه کرد. ازآنجاییکه Samba نیز این پروتکل را پیاد‌ه‌سازی کرده است پس Samba نیز آسیب‌پذیر است.

از آنجاییکه نسخه‌ 4.8 از Samba و نسخه‌های بعد از آن به صورت پیش‌فرض از کانال امن پروتکل Netlogon استفاده می‌کنند و همین کانال امن برای مقابله با اکسپلویت موجود کافی است. مگر اینکه فایل پیکربندی smb.conf در این نسخه‌ها تغییر داده شده و server schannelبرابر auto یاno قرار داده شود. نسخه‌ 4.7 از Samba و نسخه‌های پیش‌تر از آن آسیب پذیر هستند مگر اینکه خط 'server schannel = yes' را در فایل پیکربندی smb.conf خود داشته باشند. بنابراین لازم است هر محصولی که نسخه‌های پیش‌تر از 4.7 از Samba را پشتیبانی می‌کند با افزودن این خط در فایل پیکربندی smb.conf محصول خود را در برابر این آسیب پذیری به‌روزرسانی نماید.

بهره‌برداری از این آسیب‌پذیری امکان تغییر پسورد را فراهم می‌آورد. در Sambaهایی که به عنوان کنترلر دامنه‌ NT4-like در حال اجرا هستند، خطر کمتر از زمانی‌ است که Samba به عنوان کنترلر دامنهActive Directory اجرا می‌شود. تغییر حساب کاربری ماشین در این دامنه‌ها به هکرها حق دسترسی محدودی مشابه دیگر اعضای سرور یا دامنه‌های مورد اعتماد را می‌دهد؛ اما در دامنه‌های AD تغییر پسورد کنترلر دامنه، امکان افشای کامل پایگاه‌داده پسوردها شامل پسوردkrbtgt، درهم‌سازی MD4 پسورد هر کاربر و درهم‌سازی پسورد LM را در صورتی که ذخیره شده باشد، فراهم می‌آورد. پسورد krbtgt به مهاجم این امکان را می‌دهد تا با صدور 'golden ticket' برای خود امکان بازگشت و در اختیار گرفتن دامنه را در هر زمانی‌ در آینده داشته باشد.
Samba برای برخی از دامنه‌ها که از نرم‌افزارهای شخص سوم استفاده می‌کنند و این نرم‌افزارها نمی‌توانند با تنظیم 'server schannel = yes' کار کنند نیز راه‌حل دارد. در این مواقع کافیست در پیکربندی Samba به ماشین‌های خاص اجازه دسترسی از کانال ناامن داده شود. برای مثال اگر تنظیمات زیر در smb.conf اعمال شود تنها به "triceratops$" و "greywacke$" این امکان می‌دهد که از کانال ناامن به Netlogon متصل شوند.

server schannel = yes
server require schannel:triceratops$ = no
server require schannel:greywacke$ = no

توجه به این نکته ضروریست که تنظیم schannel = yes در فایل پیکربندی به صورت کامل از شما محافظت نخواهد کرد. حتی در صورتی که این تنظیمات در فایل پیکربندی فعال باشد باز هم ممکن است Samba آسیب‌پذیر باشد. هر چند امکان دسترسی به وظیفه‌مندی‌های دارای امتیاز خاص (privileged functionality) وجود نخواهد داشت.
Samba در به‌روزرسانی خود که از طریق آدرس https://www.samba.org/samba/security در دسترس است بررسی‌های بیشتری را در سرور در مقابل حملات به این پروتکل‌ها افزوده است که این به‌روزرسانی در صورتی که server schannel برابر no یا auto باشد از Samba محافظت خواهد کرد. همچنین آسیب‌پذیری در نسخه 4.12.7، 4.10.18 و 4.11.13 رفع شده است بنابراین از مدیران Samba در خواست می‌شود، محصولات خود را به‌روزرسانی نمایند.

منابع:

[1] https://www.theregister.com/2020/09/22/samba_zerologon_patch

[2] https://www.samba.org/samba/security/CVE-2020-1472.html

صفحات: « 1 2