فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
نتایج جستجو براساس برچسب: «اخبار»
ایجاد‌کننده اطلاع‌رسانی‌ها

یک #‫آسیب‌پذیری روز صفرم بحرانی که سرویس‌های Verisign و IaaS متعددی مانند گوگل، آمازون DeigitalOcean را تحت تاثیر قرار می‌دهد امکان ثبت دامنه‌های مخرب homograph توسط مهاجمان را فراهم می‌کند. ثبت موفقیت‌آمیز این دامنه‌ها که ظاهری مشابه دامنه‌ها و زیردامنه های شناخته شده دارند، منجر به حملاتی مشابه IDN Homograph attack و یا مهندسی اجتماعی کاربران خواهد شد.
به گفته محققان دامنه‌های homograph متعددی که گواهینامه‌های HTTPS نیز دارند، از سال 2017 فعال بوده و اغلب ظاهری مشابه دامنه‌های مربوط به خرید اینترنتی، تکنولوژی و غیره دارند. تعداد زیادی از این دامنه‌ها را می‌توان با استفاده از کاراکترهایی که ظاهر مشابه و معنی متفاوت دارند، تولید کرد. محقق امنیتی در Soluble به نام Matt Hamilton دامنه‌های زیر را به ثبت رسانده است:
amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com
nvidiɑ.com
ɡoogɩe.com
دامنه های homograph فوق تا حد زیادی مشابه دامنه‌های اصلی هستند و این موضوع می‌تواند موجب گمراهی کاربر شود؛ همچنین با به کارگیری مهندسی اجتماعی توسط مهاجمان می‌تواند برای نصب بدافزار و یا سرقت اطلاعات مورد استفاده قرار گیرد. ثبت دامنه‌های فوق نشان می‌دهد که ثبت دامنه‌هایی که ترکیبی از کاراکترهای لاتین و Unicode هستند درصورت لاتین بودن خود کاراکتر Unicode امکان‌پذیر است.
این آسیب‌پذیری همه‌ی Verisignهایی که از هر نوع سرویس TLD (با امکان پشتیبانی از کاراکترهای لاتین IPA نظیر gTLD) استفاده می‌کنند را تحت تاثیر قرار می‌دهد. از آنجایی که موارد متعددی از گواهینامه HTTPS از طریق Certificate Transparency شناسایی شدند و یک کتابخانه غیررسمی جاوااسکریپت نیز به عنوان یک دامنه حساس به ثبت رسیده، می‌توان این آسیب‌پذیری را یک آسیب‌پذیری روز صفرم تلقی کرد.
1 مراجع
[1] https://gbhackers.com/homograph-domains/

19 اسفند 1398 برچسب‌ها: اخبار
آسیب‌پذیری بحرانی در سرویس PPP لینوکس

نقض بحرانی در سرویس PPP Daemon لینوکس، اجرای دستورات مخرب از راه دور را برای مهاجم فراهم می‌کند.
اخیراً سازمان US-CERT در مورد یک آسیب‌پذیری اجرای کد از راه دور 17 ساله خطرناک در نرم افزار PPP daemon (pppd) که روی بیشتر سیستم‌عامل‌های مبتنی بر لینوکس به طور پیش‌فرض نصب شده است و همچنین سخت‌افزار بسیاری از دستگاه‌های متصل به شبکه دیگر را به خود اختصاص می‌دهد، هشدار داد.
نرم‌افزار pppd تحت تاثیر، پیاده سازی پروتکل (PPP)Point-to-Point است که ارتباط و انتقال داده را بین نودهای شبکه امکان‌پذیر می‌کند و در درجه اول برای ایجاد لینک‌های اینترنتی مانند مودم‌هایdial-up، اتصالات پهن باند DSL و شبکه‌های خصوصی مجازی (VPN) استفاده می‌شود.
این آسیب‌پذیری بحرانی توسط محقق امنیتی Ilja Van Sprundel کشف شده است، و یک نوع سرریز بافر در پشته است که به دلیل یک خطای منطقی در تجزیه کننده در پشته پروتکلExtensible Authentication Protocol (EAP) موجود در نرم‌افزار pppd اتفاق می‌افتد.
این آسیب‌پذیری، به عنوان CVE-2020-8597 با شدت CVSS 9.8 محاسبه شده است و می‌تواند توسط مهاجمان غیرمجاز مورد سوءاستفاده قرار گیرد تا از راه دور کد دلخواه را روی سیستم‌های آسیب دیده اجرا کرده و کنترل کامل آن‌ها را به دست گیرند.


1 درباره آسیب‌پذیری
مهاجم با ارسال یک بسته EAP ناخواسته به یک کلاینت یا یک سرور آسیب‌پذیرکنترل سیستم را به دست می‌گیرد. علاوه بر این، از آنجا که pppd اغلب با امتیازات بالا اجرا شده و در رابطه با درایورهای kernel کار می‌کند، این نقص می‌تواند به مهاجمان اجازه دهد کد‌های مخرب را به طور بالقوه با امتیازات سطح root اجرا کنند.


طبق گفته محققان، این آسیب‌پذیری به دلیل خطا در اعتبارسنجی اندازه ورودی قبل از کپی کردن داده‌های ارسال شده به حافظه است. نادرست بودن اعتبارسنجی اندازه داده‌ها، باعث اجرای کد ناخواسته، کپی داده‌های دلخواه در حافظه و ایجاد فساد حافظه خواهد شد. این آسیب‌پذیری در منطق کد تجزیه EAPاست، به ویژه در توابع eap_ Ask () و eap_response () در eap.c که توسط یک کنترل کننده ورودی شبکه فراخوانی می‌شود.
تصور اینکه اگر EAP فعال نباشد pppd آسیب‌پذیر نیست، یا اینکه EAP با یک شخص از راه دور با استفاده از یک عبارت رمز شده یا یک عبارت، مبادله نشده است، نادرست است. این مسئله به این دلیل است که یک مهاجم اعتبارسنجی شده می‌تواند قادر به ارسال بسته EAP ناخواسته برای ایجاد سرریز بافر باشد.
1-1 باگ pppd: سیستم‌های عامل و دستگاه‌های تحت تأثیر
به گفته این محقق، نسخه‌های 2.4.2 تا 2.4.8 از نرم‌افزار Daemon Protokoll Point-to-Point (همه نسخه‌های منتشر شده در 17 سال گذشته)، در برابر این آسیب‌پذیری جدید اجرای کد از راه دور آسیب‌پذیر هستند.
برخی از توزیع‌های پرکاربرد و محبوب لینوکس، که در زیر ذکر شده است، در حال حاضر تحت تاثیر این آسیب‌پذیری قرار گرفته و بسیاری دیگر نیز به احتمال زیاد تحت تأثیر قرار خواهند گرفت.
Debian
Ubuntu
SUSE Linux
Fedora
NetBSD
Red Hat Enterprise Linux
علاوه بر این، سایر برنامه‌ها و دستگاه‌های آسیب‌پذیر (برخی از آنها در زیر ذکر شده است) که نرم افزار pppd را ارسال می‌کنند نیز گسترده است و احتمال حمله مهاجمان را افزایش می‌دهد.
Cisco CallManager
TP-LINK products
OpenWRT Embedded OS
Synology products
به کاربران دارای سیستم عامل و دستگاه‌های آسیب‌دیده توصیه می‌شود هرچه سریع‌تر وصله‌های امنیتی را اعمال کنند.
2 مراجع
[1] https://thehackernews.com/2020/03/ppp-daemon-vulnerability.html?m=1

19 اسفند 1398 برچسب‌ها: اخبار
وصله آسیب‌پذیری بحرانی در تراشه‌های MediaTek rootkit

شرکت #‫گوگل یک آسیب‌پذیری بحرانی را در تراشه‌های MediaTek rootkit وصله کرده است که میلیون‌ها دستگاه دارای این تراشه را تحت تآثیر قرار می‌دهد.
MediaTek یک شرکت بزرگ تولید کننده تراشه در تایوان است که تراشه‌هایی را برای ارتباطات بی‌سیم، تلویزیون‌های با وضوح بالا و دستگاه‌هایی مانند تلفن‌های هوشمند و تبلت‌ها تولید می‌کند.
آسیب‌پذیری MediaTek
این آسیب‌پذیری با شناسه "CVE-2020-0069" اولین بار توسط اعضای انجمن XDA کشف و شناسایی شد. این باگ از آوریل سال 2019 در اینترنت قرار گرفت و اکنون مهاجمان اکسپلویت آن را آغاز کرده‌اند.
سال گذشته شرکت MediaTek، وصله امنیتی را جهت رفع این آسیب‌پذیری منتشر کرد اما مهاجمان با نصب یک برنامه مخرب بر روی دستگاه، همچنان توانستند آن را مورد اکسپلویت قرار دهند. این اکسپلویت، تمام چیپست‌های 64 بیتی MediaTek شامل Motorola، OPPO، Sony، Alcatel، Amazon، ASUS، Blackview، Realme، Xiaomi و سایر دستگاه‌ها را تحت تآثیر قرار می‌دهد.


آسیب‌پذیری ذکر شده به هر کاربر اجازه می‌دهد تا دسترسی روت داشته باشد و به راحتی و تنها با کپی کردن این اسکریپت در یک پوشه موقت، ارائه مجوز اجرا و سپس اجرای آن، ماژول امنیتی SELinux لینوکس را در دستگاه خود نصب کند.
آسیب‌پذیری دیگری که توسط گوگل وصله شده است دارای شناسه اختصاصی " CVE-2020-0032" است که می‌تواند با استفاده از یک فایل ساختگی مخرب برای اجرای کد دلخواه در چارچوب یک فرآیند خاص، مورد اکسپلویت قرار گیرد.

17 اسفند 1398 برچسب‌ها: اخبار
آسیب پذیری اجرای کد از راه دور در ZyXEL NAS

شرکت #Zyxel اعلام کرد که یک آسیب پذیری به شناسه CVE-2020-9054 در دستگاه ذخیره ساز متصل به شبکه یا NAS کشف کرده است که به مهاجم اجازه می دهد تا از راه دور و بدون احراز هویت کدهای مخرب را در دستگاه آسیب پذیر اجرا کند.
کد بهره برداری از این آسیب پذیری به صورت عمومی منتشر شده است.
دستگاه های ZyXEL NAS با استفاده از برنامه weblogin.cgi احراز هویت انجام می دهند. آسیب پذیری در این برنامه که در قسمت وارد کردن نام کاربری وجود دارد باعث می شود که مهاجم بتواند کاراکترهای خاصی را در این قسمت وارد کند و به این ترتیب کدهای مخرب را از این طریق به دستگاه تزریق کند. با اینکه در این حالت وب سرور با دسترسی root فعال نیست ولی مهاجم می تواند با تنظیم uid، دسترسی خود را به کاربر root تغییر دهد و با بالاترین سطح دسترسی کدهای دلخواه خود را اجرا کند.
به طور کلی دستگاه های NAS که نسخه firmware آن ها 5.21 و قبل از آن می باشد آسیب پذیر هستند. ZyXEL برای مدل¬های زیر به روز رسانی منتشر کرده است بنابراین به کاربران این مدل از NAS ها توصیه می شود تا هرچه سریع¬تر این به روز رسانی را نصب کنند:
• NAS326
• NAS520
• NAS540
• NAS542
اما ZyXEL برای مدل های زیر به روز رسانی منتشر نکرده است چون دیگر از این مدل ها پشتیبانی نمی کند. بنابراین به کاربران این مدل از NAS ها که در زیر نام برده شده توصیه می شود تا در صورت امکان دسترسی این تجهیزات از اینترنت را قطع کنند و یا برای امن سازی، آن را در پشت فایروال قرار دهند.
• NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2

منبع
https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml

14 اسفند 1398 برچسب‌ها: اخبار
آسیب پذیری در Microsoft Exchange ( CVE-2020-0688 ) و روش های تشخیص نفوذ

شرکت #‫مایکروسافت اخیراً وصله امنیتی را برای تمامی نسخه های Microsoft Exchange انتشار داده است که این وصله امنیتی یک نقص اجرای کد از راه دور (RCE) را مرتفع می سازد. این نقص به مهاجم این امکان را می دهد تا با ارسال payload دستکاری شده بتواند دستورات خود را در سرور اجرا کند. محققین اکسپلویت و کد مخرب بهره برداری از این آسیب پذیری را در تاریخ 24 فوریه 2020 منتشر کرده اند.
این آسیب پذیری بر روی Exchange Control Panel(ECP) تاثیرگذار خواهد بود و در تمامی نسخه های Exchange Server به دلیل داشتن کلید اعتبارسنجی و الگوریتم یکسان بر روی فایل web.config صدق می کند. آسیب پذیری بصورت authenticated است و مهاجم برای اجرا، نیازمند اطلاعات ورود به یک حساب کاربری می باشد.
نحوه عملکرد Exploit
ابتدا Exploit از طریق یک درخواست post از طریق /owa/auth.owa احراز هویت می شود. این درخواست post حاوی نام کاربری و رمز عبور معتبر است. پس از احراز هویت موفق، Exploit از صفحه ecp/default.aspx/ درخواست می کند تا محتوای --VIEWSTATEGENERATOR و ASP.NET.SessionID را بدست آورد. با استفاده از اطلاعات به دست آمده از --VIESTATEGNERATOR این بار Exploit یک payload سریالی را که حاوی دستورات مخرب است ساخته و سپس به /ecp/default.aspx ارسال می کند.
لیست زیر صفحاتی هستند که تحت تاثیر این آسیب پذیری قرار می گیرند:
• /ecp/default.aspx
• /ecp/PersonalSettings/HomePage.aspx
• /ecp/PersonalSettings/HomePage.aspx4E
• /ecp/Organize/AutomaticReplies.slab
• /ecp/RulesEditor/InboxRules.slab
• /ecp/Organize/DeliveryReports.slab
• /ecp/MyGroups/PersonalGroups.aspx
• /ecp/MyGroups/ViewDistributionGroup.aspx
• /ecp/Customize/Messaging.aspx
• /ecp/Customize/General.aspx
• /ecp/Customize/Calendar.aspx
• /ecp/Customize/SentItems.aspx
• /ecp/PersonalSettings/Password.aspx
• /ecp/SMS/TextMessaging.slab
• /ecp/TroubleShooting/MobileDevices.slab
• /ecp/Customize/Regional.aspx
• /ecp/MyGroups/SearchAllGroups.slab
• /ecp/Security/BlockOrAllow.aspx
نحوه تشخیص نفوذ
• Event Logs
این Exploit یک رویدادSYSMON با شماره 4 را در لیست رویدادهای برنامه (Application logs) ایجاد می کند. پیام ERROR که در لیست رویدادها وجود دارد، شامل صفحه هدف و همچنین Payload سریالی می باشد. از آنجا که می تواند چندین صفحه را مورد هدف قرار دهد، هشدار بر روی آدرس های /ecp/root که دارای متغیر بزرگ _VIEWSTATE باشد می تواند برای شناسایی آن مثمر ثمر واقع شود.


• IIS Logs
اولین شاخص شناسایی، گروهی از درخواست ها در log می باشد که با درخواست های post به مقصد /owa/auth.owa شروع می-شود و پس از آن درخواست های متعدد GET به یکی از URL های هدف که پیش تر لیستی از آنها آورده شده اتفاق می افتد که یکی از آن ها حاوی متغیر --VIEWSTATE می باشد. _VIEWSTATE هرگز نباید به عنوان بخشی از درخواست های GET ارسال شود.


2020-02-27 16:23:01 172.24.0.11 POST /owa/auth.owa &CorrelationID=;&cafeReqId=9cbf6d69-3637-4259-8156-af22cd591e77;&encoding=; 443 testexchange\user 172.24.0.51 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10.15;+rv:73.0)+Gecko/20100101+Firefox/73.0 - 302 0 0 0

2020-02-27 16:23:01 172.24.0.11 GET /ecp &CorrelationID=;&cafeReqId=bbdc52ec-fc63-44e5-8c04-ece4e94dcc79; 443 testexchange\user 172.24.0.51 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10.15;+rv:73.0)+Gecko/20100101+Firefox/73.0 - 302 0 0 0

2020-02-27 16:23:01 172.24.0.11 GET /ecp/ &CorrelationID=;&cafeReqId=242a7cc1-b320-466d-af4c-5f2212509a9a; 443 testexchange\user 172.24.0.51 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10.15;+rv:73.0)+Gecko/20100101+Firefox/73.0 - 200 0 0 78

2020-02-27 16:23:01 172.24.0.11 GET /ecp/default.aspx &CorrelationID=;&cafeReqId=01f49b9c-2fd9-498a-9092-7dcb7b344940; 443 testexchange\user 172.24.0.51 python-requests/2.23.0 - 200 0 0 15

2020-02-27 16:23:02 172.24.0.11 GET /ecp/default.aspx __VIEWSTATEGENERATOR=B97B4E27&__VIEWSTATE=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%2BDQoJIDxPYmplY3REYXRhUHJvdmlkZXIgeDpLZXk9IiIgT2JqZWN0VHlwZSA9ICJ7IHg6VHlwZSBEaWFnOlByb2Nlc3N9IiBNZXRob2ROYW1lID0gIlN0YXJ0IiA%2BDQogICAgIDxPYmplY3REYXRhUHJvdmlkZXIuTWV0aG9kUGFyYW1ldGVycz4NCiAgICAgICAgPFN5c3RlbTpTdHJpbmc%2BY2FsYy5leGU8L1N5c3RlbTpTdHJpbmc%2BDQogICAgIDwvT2JqZWN0RGF0YVByb3ZpZGVyLk1ldGhvZFBhcmFtZXRlcnM%2BDQogICAgPC9PYmplY3REYXRhUHJvdmlkZXI%2BDQo8L1Jlc291cmNlRGljdGlvbmFyeT4LKJT2EDKmhAvFcl3ptWKG6YNkbYw%3D&CorrelationID=;&cafeReqId=006227a0-2591-4b6a-b505-004c65649d15; 443 testexchange\user 172.24.0.51 python-requests/2.23.0 - 500 0 0 46

• PROCESS EXECUTION
زمانی که Exploit، payload خود را به سمت سرور ارسال می کند، IIS WORKER دستورات مخرب را با پروسسی زیر مجموعه پروسس w3wp.exe اجرا می کند. در تصویر زیر می تواند مشاهده کنید که پروسس مخرب! calc.exe به عنوان یک پروسس زیر مجموعه (child) پروسس w3wp.exe با سطح دسترسی SYSTEM در حال اجرا است.

رویداد های دیگر و محل دستیابی به آن ها
Exchange Server استثنائات (Exception) را در مسیر دایرکتوری زیر ثبت می کند:
c:\ program Files\Microsoft\Exchange Server\V15\Logging\ECP\ServerException\
این فهرست شامل درخواست های GET مخرب به همراه String query مربوطه است. محتوای این پرونده می تواند شامل پرونده های log هنگام اجرای POC باشد.

14 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫آسیب‌پذیری جدید #GhostCat با شدت بحرانی بر روی سرور‌های Apache Tomcat تاثیر می‌گذارد. در این گزارش به بررسی این آسیب‌پذیری می‌پردازیم.
اگر وب سروری روی ‌Apache Tomcat اجرا می‌شود، باید برای جلوگیری از کنترل غیرمجاز هکرها، فوراً به آخرین نسخه موجود آن ارتقا داده شود. همه‌ی نسخه‌های (9.x/8.x/7.x/6.x) منتشر شده در 13 سال گذشته در Apache Tomcat، نسبت به آسیب‌پذیری « file read and inclusion» با شدت بحرانی (CVSS 9.8) آسیب‌پذیر هستند که امکان بهره‌برداری از آن در صورتی که پیکربندی پیش‌فرض تغییر نکرده باشد وجود دارد.این موضوع از آن جهت قابل توجه است که چندین بهره‌برداری از این آسیب‌پذیری در اینترنت منتشر شده ‌است و دسترسی مهاجمان به وی سرورهای آسیب‌پذیر را از همیشه آسان‌تر می‌سازد.
این آسیب‌پذیری موسوم به GhostCat و با شناسه CVE-2020-1938 به مهاجمان اجازه می‌‌دهد که بدون نیاز به احراز هویت به محتوای هر فایل موجود در سرور‌های آسیب‌پذیر دسترسی پیدا کنند، فایل‌های پیکر‌بندی حساس یا سورس کد را بدست آورند، یا اگر سرور اجازه آپلود فایل دهد، کد دلخواه خود را اجرا کنند.
1 آسیب‌پذیری GhostCat چیست و چگونه کار می‌کند؟
به گفته محققان در شرکت چینی Chaitin Tech، این آسیب‌پذیری در پروتکل AJP در نرم افزار Apache Tomcat وجود دارد که از مدیریت نادرست یک attribute ناشی می‌شود. اگر سایت به کاربران اجازه آپلود فایل دهد، مهاجم ابتدا می‌تواند با آپلود یک اسکریپت کد مخرب JSP به سرور (فایل آپلود شده می‌تواند از نوع تصاویر، فایل‌های متنی ساده و غیره باشد)، آن را به GhostCat آلوده کند که در نهایت می‌تواند منجر به اجرای کد از راه دور شود.
پروتکل Apache JServ(AJP) در اصل یک نسخه بهینه شده از پروتکل HTTP است که به Tomcat امکان برقراری ارتباط با یک وب سرور Apache را می‌دهد.
2 هک Apache Tomcat
پروتکل AJP به طور پیش فرض فعال است و به پورت TCP 8009 گوش می‌دهد، که محدود به آدرس IP 0.0.0.0 است و فقط مشتریان غیر قابل اعتماد می‌توانند از راه دور از آن بهره‌برداری کنند.
بر اساس موتور جستجو onyphe (مربوط به داده‌های هوش تهدید سایبری و متن باز)، بیش از 170،000 دستگاه وجود دارد که در زمان نوشتن یک AJP Connector از طریق اینترنت، در معرض دید همه قرار می‌گیرند.
3 نسخه های Tomcat تحت تاثیر :

• Apache Tomcat 9.x < 9.0.31
• Apache Tomcat 8.x < 8.5.51
• Apache Tomcat 7.x < 7.0.100
• Apache Tomcat 6.x

4 وصله کردن آسیب‌پذیری Apache Tomcat
محققان Chaitin این نقص را در ماه گذشته به پروژه Apache Tomcat گزارش کردند و اکنون نسخه‌های 9.0.31، 8.5.51 و 7.0.100 از Apache Tomcat برای وصله کردن این آسیب‌پذیری منتشر شده است.
آخرین نسخه منتشر شده از این محصول دو مشکل دیگر از قاچاق (Smuggling) درخواست HTTP (CVE-2020-1935 و CVE-2019-17569) را رفع کرده‌اند.
به آدمین وب اکیداً توصیه می‌کنند که هر چه سریع‌تر نرم‌افزار خود را به روز‌رسانی کرده و هرگز پورت AJP را افشا نکنند چراکه AJP درحالیکه باید در یک شبکه قابل اعتماد ارتباط برقرار کند از طریق کانال نا‌امن ارتباط برقرار می‌کند.
کاربران باید توجه داشته باشند که در تنظیمات پیش‌فرض AJP Connector در نسخه 9.0.31 تغییراتی ایجاد شده‌است که تنظیمات پیش‌فرض را مشکل‌تر کند. احتمال دارد کاربران در به روز‌رسانی 9.0.31 یا نسخه‌های بعد از آن نیاز به ایجاد تغییرات کوچکی در تنظیمات خود داشته باشند.
اگر به دلایلی نتوانید سرور وب خود را فوراً به روز‌رسانی کنید، می‌توانید اتصال AJP را مستقیماً غیرفعال کرده یا آدرس گوش دادن آن را به localhost تغییر دهید.


5 مرجع
[1] https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html

14 اسفند 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫گوگل به روزرسانی جدیدی برای مرورگر کروم برای کاربران دسکتاپ منتشر کرده است. نسخه جدید این مرورگر (80.0.3987.122) سه آسیب‌پذیری مهم را برطرف می‌کند که یکی از آنها با شناسه CVE-2020-6418 توسط مهاجمان نیز مورد بهره‌برداری قرار گرفته بود. خلاصه‌ای از سه آسیب پذیری برطرف شده به شرح زیر است:
1. سرریز داخلی در ICU
2. دسترسی خارج از محدوده‌ی حافظه در جریان‌ها (CVE-2020-6407)
3. Type confusion در V8 با شناسه CVE-2020-6418
مهاجم با بهره‌برداری از آسیب‌پذیری‌های سرریز داخلی و دسترسی خارج از محدوده‌ی حافظه می‌تواند سیستم آلوده قربانی را تحت کنترل بگیرد؛ به طوری که با فریب کاربر برای بازدید از یک سایت مخرب که از بهره‌برداری دو آسیب پذیری مذکور کمک می‌گیرد امکان اجرای کد دلخواه در سیستم قربانی وجود دارد.آسیب‌پذیری Type confusion نیز در موتور تفسیر جاوااسکریپ V8 وجود داشت که همزمان بصورت فعال مورد بهره‌برداری مهاجمان قرار گرفته بود. لازم به ذکر است که جزییات فنی این آسیب‌پذیری تا کنون به صورت دقیق منتشر نشده است.
آسیب‌پذیری سرریز داخلی توسط André Bargull کشف و بصورت خصوصی به گوگل گزارش شده بود درحالیکه دو آسیب‌پذیری دیگر توسط تیم امنیتی گوگل شناسایی شده بودند.
گوگل جزییات سه آسیب‌پذیری مذکور را منتشر نکرده است تا کاربرانی که تحت تاثیر این آسیب‌پذیری‌ها هستند به روزرسانی منتشر شده را دریافت کنند. درنتیجه به کاربران مرورگر Google Chrome توصیه می‌شود هر چه سریع‌تر به به‌روزرسانی از طریق لینک زیر اقدام کنند:
https://support.google.com/chrome/answer/95414?co=GENIE.Platform%3DDesktop&hl=en

12 اسفند 1398 برچسب‌ها: اخبار
سوءاستفاده هکرها از ترس مردم از ویروس کرونا

با توجه به شیوع ویروس #‫کرونا که در این روزها بسیار مردم را وحشت زده کرده است هکرهای کلاه سیاه نیز از این موقعیت سوءاستفاده‌های خود را انجام داده و با استفاده از حملات گسترده مهندسی اجتماعی اقدام به سرقت اطلاعات و ... می‌کنند.
ترس از این ویروس باعث شده که مردم به مطالعه مستندات مختلف بپردازند تا اطلاعات خود را در مورد این ویروس و روشهای پیشگیری و ... آن افزایش دهند. حال هکرها از این موقعیت با ارسال ایمیل‌ها و مستندات آلوده انبوه مختلف با موضوعات تحریک‌آمیز و استفاده از شبکه‌های اجتماعی می‌توانند سوءاستفاده‌های لازم را به منظور دستیابی به اهداف خود داشته باشند که در زیر سعی می‌کنیم این روش‌ها را همراه با روش‌های مقابله نام ببریم:
• ایجاد مستندات Microsoft Office آلوده به بدافزار
• ایجاد مستندات PDF آلوده به بدافزار
• ایجاد لینک‌های آلوده به بدافزار
• ایجاد اپلیکیشن‌های آلوده
• ایمیل‌های آلوده و یا جعلی
• آسیب‌پذیری‌های سیستم‌عامل و نرم‌افزارها

• ایجاد مستندات Microsoft Office آلوده به بدافزار
در صورتی که در فایل Word از کدهای VBA استفاده شده باشد پیغامی به شکل زیر برای کاربران نمایش داده می‌شود که از کاربر درخواست فعال کردن محتوای کدهای ماکرو را دارد. این کدها ممکن است که توسط هکر نوشته شده و حاوی یک کد مخرب باشد. پس در صورت اجرای فایل‌های مجموعه Microsoft Office به هیچ عنوان ماکروها را فعال نکنید.

دانلود پیوست

12 اسفند 1398 برچسب‌ها: اخبار
ObliqueRAT RAT جدیدی که از طریق اسناد office توزیع شده و سازمان‌های دولتی را هدف قرار می‌دهد.

اخیراً #‫بدافزار مخرب جدیدی به‌نام ObliqueRAT با استفاده از اسناد مخرب مایکروسافت آفیس سازمان‌های دولتی در جنوب شرقی آسیا را هدف قرار داده است. محققان بر این باورند که کمپین گسترش ObliqueRAT با کمپین CrimsonRAT مرتبط است زیرا همان ناهنجاری‌ها و کد‍‌ها‌ی مخرب را به اشتراک می‌گذارند.
در این کمپین، مهاجمان برای ارائه بدافزار ObliqueRAT از پیام‌هایی در قالب ایمیل فیشینگ با اسناد مخرب پیوست شده به فایل‌های مایکروسافت آفیس استفاده می‌کنند.

گسترش ObliqueRAT
این بدافزار در قالب اسناد مخرب پیوست شده به فایل‌های مایکروسافت آفیس با نام فایل‌های
" Company-Terms.doc& DOT_JD_GM.doc " به سیستم کاربر می‌رسد.
اگر کاربر این اسناد را باز کند، برای مشاهده‌ محتویات سند به رمز عبور نیاز دارد. پس از وارد کردن رمز عبور صحیح، اسکریپت VB در اسناد مخرب فعال می‌شود.

اسکریپت مخرب سپس میانبری را در دایرکتوری Start-Up ایجاد می‌کند تا در صورت راه‌اندازی مجدد دستگاه، به ماندگاری دست یابد.
مرحله دوم payload، ObliqueRAT است که دارای ویژگی‌ها و کارکردهای مختلفی‌ست، RAT با سرور C&C ارتباط برقرار می‌کند و سپس دستورات را اجرا می‌کند.
این بدافزار فرآیندی به نام “Oblique” را که بر روی دستگاه آلوده اجرا می‌شود، بررسی می‌کند و اگر فرآیند درحال اجرا باشد، RAT اجرا را قطع می‌کند.
در مرحله بعد، اطلاعات سیستم را جمع‌آوری کرده و به سرور C&C ارسال می‌شود. همچنین، این بدافزار فهرستی از نام‌های کاربری و نام‌های رایانه‌هایی که در لیست‌سیاه هستند، دارد.
اگر مقادیر لیست‌سیاه مطابقت یابد، اجرای آن بر روی رایانه آلوده متوقف می‌شود. این بررسی برای جلوگیری از اجرای بدافزار در سیستم تشخیص مبتنی بر Sandbox است.
ارتباط بین سرور C&C بصورت کدگذاری شده‌است که آدرس‌IP C&C و شماره پورت را مخفی می‌کند. همچنین کدهای مختلف فرمان را از سرور کنترل دریافت می‌کنند و عملکردهایی را انجام می‌دهند.
محققان Cisco Talos همچنین "نوع دیگری از حمله ObliqueRAT که از طریق یک dropper مخرب توزیع شده‌است را کشف کرده‌اند. dropper مخرب شامل دو فایل EXE تعبیه شده در آن است که در حین اجرا در دیسک دانلود می‌شوند تا تکثیر و فاعلیت مخرب را تکمیل کنند. "

قابلیت‌های ObliqueRAT:
• قادر به اجرای دستورات بر روی سیستم آلوده
• جمع‌آوری اطلاعات و دریافت فایل‌ها از سیستم کاربر
• توانایی یک مهاجم برای افزودن فایل‌های مختلف در سیستم قربانی
• قادر به غیرفعال کردن هر فرآیند در حال اجرا در سیستم قربانی

12 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

نزدیک به ده ماه طول کشید تا محققان امنیتی موفق به کشف روشی برای پاکسازی دستگاه‌های هوشمند اندرویدی از این بدافزار#xHepler شدند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.
درباره‌ی بدافزار
بدافزار xHelper نخستین بار در مارس 2019 زمانی که کاربران از برنامه‌ای ناشناخته روی گوشی اندرویدی خود خبر دادند که حتی با برگشتن به تنظیمات کارخانه نیز حذف نمی‌شد، شناسایی شد. این برنامه مخرب روی گوشی تلفن همراه تبلیغات ناخواسته نمایش می‌دهد. منابعی که xHelper ممکن از آن بارگیری شده باشد بطور دقیق مشخص نیست اما طبق گفته محققان امنیتی منبع اصلی، «web redirect»هایی بودند که کاربران را به صفحات وب مخرب هدایت می‌کردند. این صفحات مخرب امکان دانلود برنامه‌های اندرویدی مخرب را فراهم می‌کردند. درنهایت این برنامه‌های مخرب اندرویدی تروجان xHelper را دانلود و نصب می‌کنند.
بدافزار xHelper با هر بار بازگشتن دستگاه اندرویدی به تنظیمات کارخانه حذف می‌شود اما بعد از چند ساعت بدون نیاز به تعامل با کاربر مجدداً به صورت خودکار نصب می‌شود. تنها راه برای پاکسازی دستگاه از این بدافزار flash کردن دستگاه و نصب مجدد سیستم عامل اندروید بر روی آن است که البته اعمال این روش برای همه‌ی کاربران امکان پذیر نیست چراکه اکثرا به طور صحیح به firmware image سیستم عامل اندرویدی دسترسی ندارند.
روش پاکسازی
به گزارش Malwarebytes این بدافزار از فرآیندی در برنامک Google Play Store برای نصب مجدد خود استفاده می‌کند؛ همچنین به کمک دایرکتوری‌های خاصی که در دستگاه اندرویدی می‌سازد فایل APK خود را روی دیسک ذخیره می‌کند تا امکان حذف آن از طریق بازگشت به تنظیمات کارخانه وجود نداشته باشد چرا که با بازگشت به تنظیمات کارخانه برنامه‌های دستگاه اندرویدی حذف می‌شود اما فایل‌ها و دایرکتوری‌ها باقی می‌مانند.
به گفته‌ی Nathan Collier محقق امنیتی در Malwarebytes، زمانی که برنامه Google Play Store عملیاتی شبیه به اسکن را شروع می‌کند، بدافزار، مجدداً و به صورت خودکار خود را نصب می‌کند.
با پنج قدم زیر می‌توان از نصب مجدد این بدافزار جلوگیری کرد:
1. نصب برنامه مدیریت فایلی (file manager) که امکان جستجوی فایل‌های و دایرکتوری‌ها را دارد.
2. متوقف کردن موقت برنامه‌ی Google Play Store برای جلوگیری از نصب مجدد xHelper
• مراجعه به قسمت تنظیمات -> برنامه‌ها -> Google Play Store
• فشردن دکمه غیرفعال (Disable)
3. جستجوی عبارت com.mufc در برنامه مدیریت فایل
4. در صورت یافتن، فایل‌ها را به ترتیب تاریخ مرتب کرده و هر گروهی از فایل‌ها را که با com.mufc آغاز می‌شود و تاریخ یکسان دارند (به جز دایرکتوری‌های اصلی core مانند Download) حذف کنید.
5. فعال کردن مجدد برنامه Google Play Store

12 اسفند 1398 برچسب‌ها: اخبار
صفحات: « 1 2 3 4 5 ... » »»