#مایکروسافت آخرین بهروزرسانی سال جاری را برای رفع نه# آسیبپذیری حیاتی که شامل یک نقص #روزصفرم بود، منتشر کرد و چندین آسیبپذیری مهم در برنامههای مختلف ازجمله برنامههای MS Office را وصله کرد.
آسیبپذیری روز صفرم مایکروسافت (CVE-2018-8611)، یک آسیبپذیری ارتقاء مجوز هستهی ویندوز است که نسخههای 7 تا 2019 ویندوز را تحت تأثیر قرار میدهد.
این آسیبپذیری ارتقاء مجوز زمانی رخ میدهد که هستهی ویندوز نتواند اشیاء داخل حافظه را بهدرستی کنترل کند. پس از سوءاستفادهی موفق از این آسیبپذیری، مهاجم میتواند کد دلخواه را در حالت هسته اجرا، برنامهها را نصب، دادهها را مشاهده، اصلاح یا حذف و حسابهای جدید با حقوق کامل کاربر ایجاد کند.
علاوهبر این آسیبپذیری روز صفرم، بهروزرسانی ماه دسامبر مایکروسافت، اصلاحاتی را برای 9 آسیبپذیری حیاتی دربر داشت که پنج مورد از آنها شامل نقصهای فیزیکی حافظه در موتور اسکریپت Chakra است که منجر به اجرای کد از راه دور میشوند. چهار آسیبپذیری دیگر، در چارچوب Microsoft .NET، سرورهای DNS ویندوز، اینترنت اکسپلورر و Microsoft Edge وجود دارند.
مایکروسافت همچنین 29 آسیبپذیری مهم اجرای کد از راه دور را وصله کرد. برخی از این آسیبپذیریها شامل نقص در مایکروسافت اکسل (CVE-2018-8597 و CVE-2018-8636)، مایکروسافت ورد (CVE-2018-8590)، مایکروسافت پاورپوینت (CVE-2018-8628) و Outlook (CVE-2018-8587) هستند.
#phpMyAdmin یک ابزار مدیریتی رایگان و متنباز برای مدیریت پایگاههای دادهی #MySQL است که از یک واسط گرافیکی ساده بر روی مرورگر وب استفاده میکند. تقریباً هر سرویس میزبانی وب، phpMyAdmin را با پنجرههای کنترل خود پیشنصب میکند تا به وبمسترها کمک کنند پایگاههای دادهی خود را برای وبسایتها، از جمله WordPress،JoomlA و بسیاری از بسترهای مدیریت محتوای دیگر، به آسانی مدیریت کنند.
توسعهدهندگان این سیستم مدیریتی محبوب، به تازگی نسخهی بهروزرسانیشدهی 4.8.4 از این نرمافزار را منتشر ساختهاند. این بهروزرسانی، علاوه بر رفع بسیاری از اشکالات، سه آسیبپذیری امنیتی مهم را که نسخههای پیش از 4.8.4 را تحتتأثیر قرار میدهند، برطرف ساخته است. سوءاستفاده از این سه آسیبپذیری به مهاجمان راه دور اجازه میدهد تا کنترل کارگزاران وب متأثر را بهدست گیرند. جزئیات این سه آسیبپذیری بحرانی جدید phpMyAdmin به شرح زیر است:
1. Local file inclusion (CVE-2018-19968): نسخههای 4.0 تا 4.8.3 از phpMyAdmin دارای نقص local file inclusion است که به یک مهاجم راه دور اجازه میدهد محتویات حساس را از فایلهای محلی کارگزار از طریق ویژگی انتقال (transformation) آن بخواند.
2. Cross-Site Request Forgery (CSRF/XSRF) (CVE-2018-19969): نسخههای 4.7.0 تا 4.7.6 و 4.8.0 تا 4.8.3 از phpMyAdmin دارای نقص CSRF/XSRF هستند. اگر این نقص مورد سوءاستفاده قرار گیرد، به مهاجمان اجازه میدهد عملیات مخربی بر روی SQL مانند تغییرنام پایگاههای داده، ساخت روتینها یا جدولهای جدید، اضافه یا حذف کاربران جدید، بهروزرسانی گذرواژههای کاربر و ازبینبردن فرایندهای SQL تنها با متقاعدکردن قربانیان به بازکردن لینکهای ساختگی خاص، انجام دهند.
3. Cross-site scripting (XSS) (CVE-2018-19970): آسیبپذیری Cross-site scripting، نسخههای 4.0 تا 4.8.3 از این نرمافزار را تحتتأثیر قرار میدهد. با سوءاستفاده از این آسیبپذیری، مهاجم میتواند کد مخرب را از طریق یک نام پایگاهداده یا جدول ساختگی خاص تزریق کند.
جهت رفع تمامی آسیبپذیریهای امنیتی فوق، توسعهدهندگان phpMyAdmin آخرین نسخهی 4.8.4 و هچنین وصلههای جدا برای برخی نسخههای قبلی منتشر کردهاند.
به مدیران وبسایت و ارایهدهندگان میزبان شدیداً توصیه میشود هر چه سریعتر آخرین بهروزرسانی یا وصلهها را نصب نمایند.
بسیاری از برنامههایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر میشوند از روی برنامه های منبع باز ساخته شده اند. بسیاری از این برنامهها صرفاً با تغییر نام و آیکون به عنوان برنامه های گوناگون و با هدف استفاده از سرویسهای تبلیغاتی داخل این برنامه ها و درآمدزایی برای منتشرکننده برنامه تولید می شوند. این برنامهها در عمل هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.
مرکز ماهر با همکاری مارکتهای توزیع کننده، درحال شناسایی و مقابله با دستههای مختلف از این اپلیکیشنها است. در این مستند برنامههای منتشر شده تحت عنوان آنتیویروس در مارکتهای اندروید ایرانی مورد بررسی قرار گرفته اند. بررسی و مقایسه این برنامهها نشان می دهد که عمدتاً کارایی لازم را نداشته و یا عملکرد جعلی دارند و تنها با هدف جذب کاربر و کسب درامد از تبلیغات توسعه یافته اند.
محققان امنیت سایبری یک #آسیبپذیری بحرانی را در نرمافزار پایگاه دادهی #SQLite کشف کردهاند. این آسیبپذیری میلیاردها نصب را تحت تاثیر قرار میدهد. این آسیبپذیری که توسط تیم امنیتی Tencent کشف و "Magellan" نامیده شده است، به مهاجمان راه دور امکان اجرای کد مخرب یا دلخواه را بر روی دستگاههای آسیبپذیر میدهد.
SQLite یک سیستم مدیریت پایگاهدادهی ارتباطی مبتنی بر دیسک پرطرفدار است که به کمترین پشتیبانی از طرف سیستمعامل یا کتابخانههای خارجی نیاز دارد و از این رو تقریباً با هر دستگاه، پلتفرم و زبان برنامهنویسیای سازگار است.
امروزه SQLite یک موتور پایگاه پراستفاده در جهان است که توسط میلیونها برنامه با میلیاردها نصب استفاده شده است.
از آنجایی که مرورگرهای وب مبتنی بر Chromium از جمله گوگل کروم، اوپرا، Vivaldi و Brave نیز SQLite را پشتیبانی میکنند، یک مهاجم راه دور میتواند بهراحتی کاربران مرورگرهای آسیبپذیر را تنها با متقاعد کردن آنها به بازدید از یک صفحهی وب دستکاری شده، مورد هدف قرار دهد.
SQLite پس از دریافت جزئیات آسیبپذیری از محققان، نسخهی 3.26.0 را منتشر و در این نسخه این آسیبپذیری را رفع کرد.
گوگل نیز نسخهی 71.0.3578.80 Chromium را برای وصله کردن این آسیبپذیری منتشر و نسخهی وصلهشده را به آخرین نسخهی گوگل کروم و مرورگر Brave اضافه کرد.
محققان Tencent اکسپلویتی را برای اثبات این آسیبپذیری طراحی و با موفقیت بر روی Google Home تست کردهاند. از آنجایی که بیشتر برنامهها به این زودی وصله نخواهند شد، محققان تصمیم گرفتند تا جزئیات فنی و کد اکسپلویت آن را بهصورت عمومی افشا نکنند.
SQLite توسط بسیاری از برنامهها از جمله ادوبی، اپل، دراپباکس، فایرفاکس، اندروید، کروم، مایکروسافت و بسیاری از دیگر نرمافزارها استفاده شده است، بنابراین آسیبپذیری magellan یک آسیبپذیری قابل توجه است، حتی اگر هنوز بهطور واقعی مورد بهرهبرداری قرار نگرفته باشد.
از اینرو به شدت توصیه میشود که تمامی افراد فوراً سیستمها و نرمافزارهای آسیبپذیرشان را به آخرین نسخهها بهروزرسانی کنند.
#آسیبپذیری های چندگانه در کروم کشف شده است که شدیدترین آنها میتواند به مهاجم اجازه دهد کد دلخواه را اجرا کند.گوگل کروم یک مرورگر وب است که برای دسترسی به اینترنت استفاده میشود. بهرهبرداری موفق از این آسیبپذیری میتواند به مهاجم اجازه دهد کد دلخواه را در متن مرورگر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم میتواند برنامهای را نصب کند، به دادهها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. در صورتیکه کاربری یک صفحه ساخته شده توسط مهاجم را مشاهده کند یا به آن صفحه redirect شود این آسیبپذیری قابلیت سوءاستفاده را دارد. اگر این برنامه با حقوق کاربری پایینتری پیکربندی شدهباشد بهرهبرداری از این آسیبپذیری میتواند تاثیر کمتری داشتهباشد، مگر اینکه با حقوق administrative تنظیم شود.
سطح ریسک این آسیبپذیری برای سازمانهای دولتی و خصوصی در حد متوسط و زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیبپذیری دریافت نشده است.
نسخههای تحتتأثیر:
• Google Chrome versions prior to 71.0.3578.80
جزییات:
جزییات مربوط به این آسیبپذیریها در زیر آمده است
شناسه آسیبپذیری |
نوع آسیبپذیری |
CVE-2018-18341 |
Heap buffer overflow in Blink |
CVE-2018-18338 |
Heap buffer overflow in Canvas |
CVE-2018-18335 |
Heap buffer overflow in Skia |
CVE-2018-18344 |
Inappropriate implementation in Extensions |
CVE-2018-18352 |
Inappropriate implementation in Media |
CVE-2018-18347 |
Inappropriate implementation in Navigation |
CVE-2018-18353 |
Inappropriate implementation in Network Authentication. |
CVE-2018-18348 |
Inappropriate implementation in Omnibox |
CVE-2018-18345 |
Inappropriate implementation in Site Isolation |
CVE-2018-18346 |
Incorrect security UI in Blink |
CVE-2018-18354 |
Insufficient data validation in Shell Integration |
CVE-2018-18350, CVE-2018-18349 |
Insufficient policy enforcement in Blink |
CVE-2018-18351 |
Insufficient policy enforcement in Navigation |
CVE-2018-18358 |
Insufficient policy enforcement in Proxy |
CVE-2018-18355, CVE-2018-18357 |
Insufficient policy enforcement in URL Formatter |
CVE-2018-18359 |
Out of bounds read in V8 |
CVE-2018-18342, CVE-2018-17480 |
Out of bounds write in V8 |
CVE-2018-18337 |
Use after free in Blink |
CVE-2018-18340 |
Use after free in MediaRecorder |
CVE-2018-18336 |
Use after free in PDFium |
CVE-2018-18343, CVE-2018-18356 |
Use after free in Skia |
CVE-2018-18339 |
Use after free in WebAudio |
CVE-2018-17481 |
Use after frees in PDFium |
توصیهها
• به کاربران گوگل کروم به شدت توصیه میشود تا آن را به آخرین نسخه به روزرسانی نمایند.
• برای کاهش اثر حملات، تمام نرمافزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وبسایتهای غیرقابل اعتماد بازدید نکرده و همچنین لینکهایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاعرسانی و آموزش کاربران در مورد خطرات لینکها یا فایلهای پیوست شده در ایمیلها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستمها و سرویسها
#آسیبپذیری های چندگانه در Adobe Flash Player کشف شده است که شدیدترین آنها میتواند به مهاجم اجازه دهد کد دلخواه را اجرا کند.Adobe Flash Player یک پخشکننده چندرسانهای است که به منظور بهبود تجربه کاربر هنگام بازدید از صفحات وب و یا خواندن پیامهای ایمیل مورد استفاده قرار میگیرد.بهرهبرداری موفق از این آسیبپذیری میتواند منجر به کنترل سیستم آسیبدیده شود. بسته به امتیازات مربوط به برنامه مهاجم میتواند برنامهای را نصب کند، به دادهها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه با حقوق کاربری پایینتری پیکربندی شدهباشد بهرهبرداری از این آسیبپذیری میتواند تاثیر کمتری داشتهباشد، مگر اینکه با حقوق administrative تنظیم شود.
سطح ریسک این آسیبپذیری برای سازمانهای دولتی و خصوصی در حد زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیبپذیری دریافت نشده است.
نسخههای تحتتأثیر:
• Adobe Flash Player Desktop Runtime for Windows, Macintosh, and Linux versions 31.0.0.153 and earlier
• Adobe Flash Player for Google Chrome versions 31.0.0.153 and earlier
• Adobe Flash Player for Microsoft Edge and Internet Explorer 11 versions 31.0.0.153 and earlier
• Adobe Flash Player Installer versions 31.0.0.108 and earlier
جزییات:
جزییات مربوط به این آسیبپذیریها در زیر آمده است.
شناسه آسیبپذیری |
توضیحات |
CVE-2018-15982 |
این آسیبپذیری میتواند به مهاجم اجازه دهد کد دلخواه خود را اجرا کند. این آسیبپذیری ناشی از نقص استفاده پس از آزادسازی حافظه (use-after-free) است. |
CVE-2018-15983 |
آسیبپذیری بارگذاری ناامن کتابخانه (DLL hijacking) که منجر به افزایش سطح دسترسی و امتیاز مهاجم میشود. |
توصیهها
• به کاربران Adobe به شدت توصیه میشود تا آن را به آخرین نسخه به روزرسانی کنید.
• فعال کردن click-to-play برای تعاملات کاربر قبل از فعالسازی محتوای SWF برای Internet Explorer 7 و قبل از آن.
• فعال کردن دید محافظت شده read-only (read-only protected view) برای Microsoft Office.
• برای کاهش اثر حملات، تمام نرمافزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وبسایتهای غیرقابل اعتماد بازدید نکرده و همچنین لینکهایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاعرسانی و آموزش کاربران در مورد خطرات لینکها یا فایلهای پیوست شده در ایمیلها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستمها و سرویسها
در تحقیقات جدید منتشرشده توسط شرکت امنیت #وردپرس (Defiant)، کشف شد که مهاجمان، بیش از 20.000 سایت وردپرس را در یک باتنت بکار گرفتهاند که میتواند دستوراتی را برای جستجوی فراگیر ورودهای سایتهای وردپرس در اینترنت صادر کند. Defiant اعلام کرده است که ماژول "Wordfence" این شرکت (یک سیستم دیوار آتش در برای حملات جستجوی فراگیر برای سایتهای وردپرس) در ماه گذشته، بیش از پنج میلیون تلاش ورود از سایتهای آلوده به دیگر پورتالهای وردپرس را شناسایی کرده است.
کارشناسان امنیتی این حملات را حملات «لغتنامهای» مینامند. این حملات، پیادهسازی "XML-RPC" وردپرس را بهمنظور جستجوی فراگیر ترکیب نام کاربری و گذرواژهی کاربر، تا زمانی که یک حساب معتبر کشف شود، هدف قرار میدهند. "XML-RPC" یک نقطهی پایانی است که کاربران خارجی میتوانند از راه دور، مطالب را از طریق وردپرس یا سایر APIها به یک سایت وردپرس ارسال کنند. این نقطهی پایانی در دایرکتوری ریشهی وردپرس در فایل "xmlrpc.php" واقع شده است.
مشکل «XML-RPC» این است که در اجرای پیشفرض خود، محدودیتی بر تعداد درخواستهای رابط کاربری که به سوی آن فرستاده میشود، اعمال نمیکند؛ بنابراین، یک هکر میتواند در طول روز تلاش کند تا با ترکیبهای مختلف از نام کاربری و رمزعبور، وارد وبسایت شود. هیچکس هشداری دریافت نخواهد کرد، مگر اینکه ثبتها به صورت دستی، بررسی شوند.
باتوجه به شکل 1، این حمله توسط یک عامل تهدید و با استفاده از چهار سرور فرمان و کنترل (C2) انجام میشود. این سرورها، دستورالعملهای حمله را از طریق شبکهای با بیش از 14،000 سرور پروکسی اجارهشده از سرویس "best-proxies [.] ru" ارسال میکنند و سپس این اطلاعات را به اسکریپتهای مخرب بر روی سایتهای وردپرس آلوده منتقل میکند.
شکل 1روش حمله به سایتهای وردپرس
این اسکریپتها لیستی از اهدافی را که از سرور فرمان و کنترل دریافت میکنند، میخوانند، سپس لیستی از گذرواژهها را بر اساس یک لیست ازپیش تعریفشده از الگوهای رمزنگاری جمعآوری میکنند و درنهایت تلاش میکنند تا از گذرواژهی جدید ایجادشده برای ورود به حساب کاربری سایت دیگر استفاده کنند.
اگر اسکریپت تلاش کند تا بهعنوان کاربری با نام "alice" به سایت example.com وارد شود، گذرواژههایی مانند "alice1"، "alice2018" و غیره را ایجاد خواهد کرد. ممکن است این روش در یک سایت دادهشده مؤثر واقع نشود، اما در صورت استفاده در تعداد زیادی از اهداف، میتواند موفقیتآمیز باشد.
از آنجایی که مهاجمان از شبکهای از پروکسیها برای مخفیکردن محل سرورهای فرمان و کنترل خود استفاده میکنند، محققان نمیتوانند تمامی فعالیتهای این باتنت را پیگیری کنند، اما با بررسی سایتهای آلوده، Defiant توانست اسکریپتهای جستجوی فراگیر مورد استفاده را پیدا کند. این اسکریپتها، ورودی "POST" را از سرورهای C2 دریافت میکنند. این ورودی، دامنههای هدف و کلمههای مورد نیاز در هنگام حملات جستجوی فراگیر را به اسکریپت اعلام میکند.
هنگام بررسی بیشتر این اسکریپت، آنها متوجه شدند که در صورتی که اسکریپت از سایت آلوده حذف شود، یک آدرس URL را برای بازیابی لیست کلمات دریافت میکند. بدین ترتیب محققان توانستند آدرس IP یکی از سرورهای C2 را دریافت کنند. پس از دسترسی به سرور C2، آنها توانستند به دستورات مختلف صادرشده از این سرور و تعدادی از سایتهایی که بخشی از باتنت بودند، دسترسی پیدا کنند.
Defiant در تلاش است تا کاربران آلوده را از این حملات مطلع کند و این باتنت را از بین ببرد. از این رو، به صاحبان سایتهای وردپرس توصیه میکند تا با نصب افزونهی امنیتی وردپرس با نام "WordFence Defiant"، از سایت وردپرس خود در برابر حملات جستجوی فراگیر و لغتنامهای محافظت کنند. این افزونه، میزان تلاش ورود ناموفق را که مهاجم میتواند قبل از خروج از سیستم انجام دهد، محدود میکند.
مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه جدیدی از خانوادهی باجافزار ZOLDON Crypter V3.0 که با نام های encryptor-extortionist, doxware نیز شناخته میشود خبر میدهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه آگوست سال 2018 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. این باجافزار برای محیطهای دارای سیستم عامل ویندوز 64 بیتی توسعه یافته و برخلاف اکثریت باج افزارها پسوند فایل ها را پس از رمزگذاری عوض نمی کند. به نظر میرسد باج افزار ZOLDON Crypter V3.0 در حال توسعه بوده و در آینده شاهد نسخه های کاملتری از آن باشیم.
مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه جدیدی به نام WannacryV2خبر میدهد. طبق بررسیهای صورت گرفته، این باج افزار به نام AutoWannaCryV2 نیز شناخته میشود و هیچ ارتباطی با باجافزار مشهور واناکرای ندارد. بلکه از خانواده باج افزار Early AutoIt Ransomware میباشد. فعالیت این باج افزار از اواخر آگوست سال 2018 آغاز شده است. طبق بررسیهای انجام شده، این باجافزار به دلایل نامعلوم پس از رمزگذاری فایلها طلب باج نکرده و راهی نیز برای ارتباط با قربانی معرفی نمیکند. پس از رمزگذاری فایلها، پسوند آنها را به .wannacryv2 تغییر میدهد.
مشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت باجافزار Unlock92 خبر میدهد. براساس گزارشات بدست آمده، فعالیت این باجافزار در ماه ژوئیه سال 2016میلادی آغاز گردیده است و به نظر میرسد تمرکز آن بیشتر بر روی کاربران اروپای شرقی می باشد.