‫ اخبار

#‫مایکروسافت آخرین به‌روزرسانی سال جاری را برای رفع نه# آسیب‌پذیری حیاتی که شامل یک نقص #‫روزصفرم بود، منتشر کرد و چندین آسیب‌پذیری مهم در برنامه‌های مختلف ازجمله برنامه‌های MS Office را وصله کرد.
آسیب‌پذیری روز صفرم مایکروسافت (CVE-2018-8611)، یک آسیب‌پذیری ارتقاء مجوز هسته‌‌ی ویندوز است که نسخه‌های 7 تا 2019 ویندوز را تحت تأثیر قرار می‌دهد.
این آسیب‌پذیری ارتقاء مجوز زمانی رخ می‌دهد که هسته‌ی ویندوز نتواند اشیاء داخل حافظه را به‌درستی کنترل کند. پس از سوءاستفاده‌ی‌ موفق از این آسیب‌پذیری، مهاجم می‌تواند کد دلخواه را در حالت هسته اجرا، برنامه‌ها را نصب، داده‌ها را مشاهده، اصلاح یا حذف و حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
علاوه‌بر این آسیب‌پذیری روز صفرم، به‌روزرسانی ماه دسامبر مایکروسافت، اصلاحاتی را برای 9 آسیب‌پذیری حیاتی دربر داشت که پنج مورد از آن‌ها شامل نقص‌های فیزیکی حافظه در موتور اسکریپت Chakra است که منجر به اجرای کد از راه دور می‌شوند. چهار آسیب‌پذیری دیگر، در چارچوب Microsoft .NET، سرورهای DNS ویندوز، اینترنت اکسپلورر و Microsoft Edge وجود دارند.
مایکروسافت همچنین 29 آسیب‌پذیری مهم اجرای کد از راه دور را وصله کرد. برخی از این آسیب‌پذیری‌ها شامل نقص در مایکروسافت اکسل (CVE-2018-8597 و CVE-2018-8636)، مایکروسافت ورد (CVE-2018-8590)، مایکروسافت پاورپوینت (CVE-2018-8628) و Outlook (CVE-2018-8587) هستند.

#‫phpMyAdmin یک ابزار مدیریتی رایگان و متن‌باز برای مدیریت پایگاه‌‌های داده‌ی #‫MySQL است که از یک واسط گرافیکی ساده بر روی مرورگر وب استفاده می‌کند. تقریباً هر سرویس میزبانی وب، phpMyAdmin را با پنجره‌های کنترل خود پیش‌نصب می‌کند تا به وب‌مسترها کمک کنند پایگاه‌های داده‌ی خود را برای وب‌سایت‌ها، از جمله WordPress،JoomlA و بسیاری از بسترهای مدیریت محتوای دیگر، به آسانی مدیریت کنند.
توسعه‌دهندگان این سیستم مدیریتی محبوب، به تازگی نسخه‌ی به‌روزرسانی‌شده‌ی 4.8.4 از این نرم‌افزار را منتشر ساخته‌اند. این به‌روزرسانی، علاوه بر رفع بسیاری از اشکالات، سه آسیب‌پذیری امنیتی مهم را که نسخه‌های پیش از 4.8.4 را تحت‌تأثیر قرار می‌دهند، برطرف ساخته است. سوءاستفاده از این سه آسیب‌پذیری به مهاجمان راه دور اجازه می‌دهد تا کنترل کارگزاران وب متأثر را به‌دست گیرند. جزئیات این سه آسیب‌پذیری بحرانی جدید phpMyAdmin به شرح زیر است:
1. Local file inclusion (CVE-2018-19968): نسخه‌‌های 4.0 تا 4.8.3 از phpMyAdmin دارای نقص local file inclusion است که به یک مهاجم راه دور اجازه می‌دهد محتویات حساس را از فایل‌های محلی کارگزار از طریق ویژگی انتقال (transformation) آن بخواند.
2. Cross-Site Request Forgery (CSRF/XSRF) (CVE-2018-19969): نسخه‌های 4.7.0 تا 4.7.6 و 4.8.0 تا 4.8.3 از phpMyAdmin دارای نقص CSRF/XSRF هستند. اگر این نقص مورد سوءاستفاده قرار گیرد، به مهاجمان اجازه می‌دهد عملیات مخربی بر روی SQL مانند تغییرنام پایگاه‌‌های داده، ساخت روتین‌ها یا جدول‌های جدید، اضافه یا حذف کاربران جدید، به‌روزرسانی گذرواژه‌های کاربر و از‌بین‌بردن فرایند‌های SQL تنها با متقاعد‌کردن قربانیان به بازکردن لینک‌های ساختگی خاص، انجام دهند.
3. Cross-site scripting (XSS) (CVE-2018-19970): آسیب‌پذیری Cross-site scripting، نسخه‌های 4.0 تا 4.8.3 از این نرم‌افزار را تحت‌تأثیر قرار می‌دهد. با سوءاستفاده از این آسیب‌پذیری، مهاجم می‌تواند کد مخرب را از طریق یک نام پایگاه‌داده یا جدول ساختگی خاص تزریق کند.
جهت رفع تمامی آسیب‌پذیری‌های امنیتی فوق، توسعه‌دهندگان phpMyAdmin آخرین نسخه‌ی 4.8.4 و هچنین وصله‌های جدا برای برخی نسخه‌های قبلی منتشر کرده‌اند.
به مدیران وب‌سایت و ارایه‌دهندگان میزبان شدیداً توصیه می‌شود هر چه سریع‌تر آخرین به‌روزرسانی یا وصله‌ها را نصب نمایند.

بسیاری از برنامه‌هایی که تحت عناوین مختلف برای سیستم عامل اندروید منتشر می­شوند از روی برنامه­ های منبع باز ساخته شده اند. بسیاری از این برنامه‌ها صرفاً با تغییر نام و آیکون به عنوان برنامه ­های گوناگون و با هدف استفاده از سرویس­های تبلیغاتی داخل این برنامه­ ها و درآمدزایی برای منتشرکننده برنامه تولید می شوند. این برنامه‌ها در عمل هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.

مرکز ماهر با همکاری مارکت‌های توزیع کننده‌، درحال شناسایی و مقابله با دسته‌های مختلف از این اپلیکیشن‌ها است. در این مستند برنامه‌های منتشر شده تحت عنوان آنتی‌ویروس در مارکت‌های اندروید ایرانی مورد بررسی قرار گرفته ­اند. بررسی و مقایسه این برنامه‌ها نشان می ­دهد که عمدتاً کارایی لازم را نداشته و یا عملکرد جعلی دارند و تنها با هدف جذب کاربر و کسب درامد از تبلیغات توسعه یافته­ اند.

دانلود گزارش

محققان امنیت سایبری یک #‫آسیب‌پذیری بحرانی را در نرم‌افزار پایگاه داده‌ی #‫SQLite کشف کرده‌اند. این آسیب‌پذیری میلیاردها نصب را تحت تاثیر قرار می‌دهد. این آسیب‌پذیری که توسط تیم امنیتی Tencent کشف و "Magellan" نامیده شده است، به مهاجمان راه دور امکان اجرای کد مخرب یا دلخواه را بر روی دستگاه‌های آسیب‌پذیر می‌دهد.
SQLite یک سیستم مدیریت پایگاه‌داده‌ی ارتباطی مبتنی بر دیسک پرطرفدار است که به کم‌ترین پشتیبانی از طرف سیستم‌عامل یا کتابخانه‌های خارجی نیاز دارد و از این رو تقریباً با هر دستگاه، پلتفرم و زبان برنامه‌نویسی‌ای سازگار است.
امروزه SQLite یک موتور پایگاه پراستفاده در جهان است که توسط میلیون‌ها برنامه با میلیاردها نصب استفاده شده است.
از آن‌جایی که مرورگرهای وب مبتنی بر Chromium از جمله گوگل کروم، اوپرا، Vivaldi و Brave نیز SQLite را پشتیبانی می‌کنند، یک مهاجم راه دور می‌تواند به‌راحتی کاربران مرورگرهای آسیب‌پذیر را تنها با متقاعد کردن آن‌ها به بازدید از یک صفحه‌ی وب دستکاری شده، مورد هدف قرار دهد.
SQLite پس از دریافت جزئیات آسیب‌پذیری از محققان، نسخه‌ی 3.26.0 را منتشر و در این نسخه این آسیب‌پذیری را رفع کرد.
گوگل نیز نسخه‌ی 71.0.3578.80 Chromium را برای وصله کردن این آسیب‌پذیری منتشر و نسخه‌ی وصله‌شده را به آخرین نسخه‌ی گوگل کروم و مرورگر Brave اضافه کرد.
محققان Tencent اکسپلویتی را برای اثبات این آسیب‌پذیری طراحی و با موفقیت بر روی Google Home تست کرده‌اند. از آن‌جایی که بیشتر برنامه‌ها به این زودی وصله نخواهند شد، محققان تصمیم گرفتند تا جزئیات فنی و کد اکسپلویت آن را به‌صورت عمومی افشا نکنند.
SQLite توسط بسیاری از برنامه‌ها از جمله ادوبی، اپل، دراپ‌باکس، فایرفاکس، اندروید، کروم، مایکروسافت و بسیاری از دیگر نرم‌افزارها استفاده شده است، بنابراین آسیب‌پذیری magellan یک آسیب‌پذیری قابل توجه است، حتی اگر هنوز به‌طور واقعی مورد بهره‌برداری قرار نگرفته باشد.
از این‌رو به شدت توصیه می‌شود که تمامی افراد فوراً سیستم‌ها و نرم‌افزارهای آسیب‌پذیرشان را به آخرین نسخه‌ها به‌روزرسانی کنند.

#‫آسیب‌پذیری‌ های چندگانه در کروم کشف شده است که شدیدترین آنها می‌تواند به مهاجم اجازه دهد کد دلخواه را اجرا کند.گوگل کروم یک مرورگر وب است که برای دسترسی به اینترنت استفاده می‌شود. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد کد دلخواه را در متن مرورگر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. در صورتیکه کاربری یک صفحه ساخته شده توسط مهاجم را مشاهده کند یا به آن صفحه redirect شود این آسیب‌پذیری قابلیت سوءاستفاده را دارد. اگر این برنامه با حقوق کاربری پایین‌تری پیکربندی شده‌باشد بهره‌برداری از این آسیب‌پذیری می‌تواند تاثیر کمتری داشته‌باشد، مگر اینکه با حقوق administrative تنظیم شود.
سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی در حد متوسط و زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است.

نسخه‌های تحت‌تأثیر:
• Google Chrome versions prior to 71.0.3578.80

جزییات:
جزییات مربوط به این آسیب‌پذیری‌ها در زیر آمده است

توصیه‌ها
• به کاربران گوگل کروم به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
• برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

#‫آسیب‌پذیری‌ های چندگانه در Adobe Flash Player کشف شده است که شدیدترین آنها می‌تواند به مهاجم اجازه دهد کد دلخواه را اجرا کند.Adobe Flash Player یک پخش‌کننده چندرسانه‌ای است که به منظور بهبود تجربه کاربر هنگام بازدید از صفحات وب و یا خواندن پیام‌های ایمیل مورد استفاده قرار می‌گیرد.بهره‌برداری موفق از این آسیب‌پذیری می‌تواند منجر به کنترل سیستم آسیب‌دیده شود. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه با حقوق کاربری پایین‌تری پیکربندی شده‌باشد بهره‌برداری از این آسیب‌پذیری می‌تواند تاثیر کمتری داشته‌باشد، مگر اینکه با حقوق administrative تنظیم شود.
سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی در حد زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است.

نسخه‌های تحت‌تأثیر:
• Adobe Flash Player Desktop Runtime for Windows, Macintosh, and Linux versions 31.0.0.153 and earlier
• Adobe Flash Player for Google Chrome versions 31.0.0.153 and earlier
• Adobe Flash Player for Microsoft Edge and Internet Explorer 11 versions 31.0.0.153 and earlier
• Adobe Flash Player Installer versions 31.0.0.108 and earlier

جزییات:
جزییات مربوط به این آسیب‌پذیری‌ها در زیر آمده است.

توصیه‌ها
• به کاربران Adobe به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی کنید.
• فعال کردن click-to-play برای تعاملات کاربر قبل از فعال‌سازی محتوای SWF برای Internet Explorer 7 و قبل از آن.
• فعال کردن دید محافظت شده read-only (read-only protected view) برای Microsoft Office.
• برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

در تحقیقات جدید منتشرشده توسط شرکت امنیت #‫وردپرس (Defiant)، کشف شد که مهاجمان، بیش از 20.000 سایت وردپرس را در یک بات‌نت بکار گرفته‌اند که می‌تواند دستوراتی را برای جستجوی فراگیر ورودهای سایت‌های وردپرس در اینترنت صادر کند. Defiant اعلام کرده است که ماژول "Wordfence" این شرکت (یک سیستم دیوار آتش در برای حملات جستجوی فراگیر برای سایت‌های وردپرس) در ماه گذشته، بیش از پنج میلیون تلاش ورود از سایت‌های آلوده به دیگر پورتال‌های وردپرس را شناسایی کرده است.
کارشناسان امنیتی این حملات را حملات «لغت‌نامه‌ای» می‌نامند. این حملات، پیاده‌سازی "XML-RPC" وردپرس را به‌منظور جستجوی فراگیر ترکیب نام کاربری و گذرواژه‌ی کاربر‌، تا زمانی که یک حساب معتبر کشف شود، هدف قرار می‌دهند. "XML-RPC" یک نقطه‌ی پایانی است که کاربران خارجی می‌توانند از راه دور، مطالب را از طریق وردپرس یا سایر API‌ها به یک سایت وردپرس ارسال کنند. این نقطه‌ی پایانی در دایرکتوری ریشه‌ی وردپرس در فایل "xmlrpc.php" واقع شده است.
مشکل «XML-RPC» این است که در اجرای پیش‌فرض خود، محدودیتی بر تعداد درخواست‌های رابط کاربری که به سوی آن فرستاده می‌شود، اعمال نمی‌کند؛ بنابراین، یک هکر می‌تواند در طول روز تلاش کند تا با ترکیب‌های مختلف از نام کاربری و رمزعبور، وارد وب‌سایت شود. هیچ‌کس هشداری دریافت نخواهد کرد، مگر اینکه ثبت‌ها به صورت دستی، بررسی شوند.
باتوجه به شکل 1، این حمله توسط یک عامل تهدید و با استفاده از چهار سرور فرمان و کنترل (C2) انجام می‌شود. این سرورها، دستورالعمل‌های حمله را از طریق شبکه‌ای با بیش از 14،000 سرور پروکسی اجاره‌شده از سرویس "best-proxies [.] ru" ارسال می‌کنند و سپس این اطلاعات را به اسکریپت‌های مخرب بر روی سایت‌های وردپرس آلوده منتقل می‌کند.

شکل 1روش حمله به سایت‌های وردپرس

این اسکریپتها لیستی از اهدافی را که از سرور فرمان و کنترل دریافت می‌کنند، می‌خوانند، سپس لیستی از گذرواژه‌ها را بر اساس یک لیست ازپیش تعریف‌شده از الگوهای رمزنگاری جمع‌آوری می‌کنند و درنهایت تلاش می‌کنند تا از گذرواژه‌ی جدید ایجادشده برای ورود به حساب کاربری سایت دیگر استفاده کنند.
اگر اسکریپت تلاش کند تا به‌عنوان کاربری با نام "alice" به سایت example.com وارد شود، گذرواژه‌هایی مانند "alice1"، "alice2018" و غیره را ایجاد خواهد کرد. ممکن است این روش در یک سایت داده‌شده مؤثر واقع نشود، اما در صورت استفاده در تعداد زیادی از اهداف، می‌تواند موفقیت‌آمیز باشد.
از آنجایی که مهاجمان از شبکه‌ای از پروکسی‌ها برای مخفی‌کردن محل سرورهای فرمان و کنترل خود استفاده می‌کنند، محققان نمی‌توانند تمامی فعالیت‌های این بات‌نت را پیگیری کنند، اما با بررسی سایت‌های آلوده، Defiant توانست اسکریپت‌های جستجوی فراگیر مورد استفاده را پیدا کند. این اسکریپت‌ها، ورودی "POST" را از سرورهای C2 دریافت می‌کنند. این ورودی، دامنه‌های هدف و کلمه‌های مورد نیاز در هنگام حملات جستجوی فراگیر را به اسکریپت اعلام می‌کند.
هنگام بررسی بیشتر این اسکریپت، آن‌ها متوجه شدند که در صورتی که اسکریپت از سایت آلوده حذف شود، یک آدرس URL را برای بازیابی لیست‌ کلمات دریافت می‌کند. بدین ترتیب محققان توانستند آدرس IP یکی از سرورهای C2 را دریافت کنند. پس از دسترسی به سرور C2، آن‌ها توانستند به دستورات مختلف صادرشده از این سرور و تعدادی از سایت‌هایی که بخشی از بات‌نت بودند، دسترسی پیدا کنند.
Defiant در تلاش است تا کاربران آلوده را از این حملات مطلع کند و این بات‌نت را از بین ببرد. از این رو، به صاحبان سایت‌های وردپرس توصیه می‌کند تا با نصب افزونه‌ی امنیتی وردپرس با نام "WordFence Defiant"، از سایت وردپرس خود در برابر حملات جستجوی فراگیر و لغت‌نامه‌ای محافظت کنند. این افزونه،‌ میزان تلاش ورود ناموفق را که مهاجم می‌تواند قبل از خروج از سیستم انجام دهد، محدود می‌کند.

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی باج‌افزار ZOLDON Crypter V3.0 که با نام های encryptor-extortionist, doxware نیز شناخته می‌شود خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اوایل ماه آگوست سال 2018 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. این باج‌افزار برای محیط‌های دارای سیستم عامل ویندوز 64 بیتی توسعه یافته و برخلاف اکثریت باج افزارها پسوند فایل ها را پس از رمزگذاری عوض نمی کند. به نظر می‌رسد باج افزار ZOLDON Crypter V3.0 در حال توسعه بوده و در آینده شاهد نسخه های کاملتری از آن باشیم.

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت نمونه‌ جدیدی به نام WannacryV2خبر می‌دهد. طبق بررسی‌های صورت گرفته، این باج افزار به نام AutoWannaCryV2 نیز شناخته می‌شود و هیچ ارتباطی با باج‌افزار مشهور واناکرای ندارد. بلکه از خانواده باج افزار Early AutoIt Ransomware می‌باشد. فعالیت این باج افزار از اواخر آگوست سال 2018 آغاز شده است. طبق بررسی‌های انجام شده، این باج‌افزار به دلایل نامعلوم پس از رمزگذاری فایل‌ها طلب باج نکرده و راهی نیز برای ارتباط با قربانی معرفی نمی‌کند. پس از رمزگذاری فایل‌ها، پسوند آن‌ها را به .wannacryv2 تغییر می‌دهد.

دانلود پیوست

مشاهده و رصد فضای سایبری در زمینه #‫باج_افزار، از شروع فعالیت باج‌افزار Unlock92 خبر می‌دهد. براساس گزارشات بدست آمده، فعالیت این باج‌افزار در ماه ژوئیه سال 2016میلادی آغاز گردیده است و به نظر می‌رسد تمرکز آن بیشتر بر روی کاربران اروپای شرقی می باشد.

دانلود پیوست