فا

‫ اخبار

صفحات: «« « ... 2 3 4 5 6 ... » »»
نتایج جستجو براساس برچسب: «اخبار»
هشدار مايکروسافت در خصوص وجود يک آسيب‌پذيری روزصفرم وصله نشده‌ی تحت حملات فعال در Internet Explorer

#‫مایکروسافت به‌تازگی یک توصیه‌نامه امنیتی با شماره ADV200001منتشر ساخته است که حاوی راه‌حل‌های مقابله با یک آسیب‌پذیری روزصفرم اجرای کد راه دور در مرورگر Internet Explorerاست. هنوز وصله‌ای برای این آ‌سیب‌پذیری دردسترس نیست.

این آسیب‌‌پذیری که با شناسه‌ی CVE-2020-0674ردیابی می‌شود و دارای رتبه‌بندی «متوسط» است، یک نقص اجرای کد راه‌دور است و در روشی که موتور اسکریپت‌نویسی، اشیا را داخل حافظه‌ی Internet Explorerمدیریت می‌کند وجود دارد. این نقص از طریق کتابخانه‌ی JScript.dllراه‌اندازی می‌شود.

یک مهاجم راه دور می‌تواند کد دلخواه را در رایانه‌‌های هدف اجرا کند و با متقاعدکردن قربانیان به بازکردن یک صفحه‌وب ساختگی مخرب در مرورگر آسیب‌‌پذیر مایکروسافت، کنترل کامل آن‌ها را در متن کاربر فعلی به‌دست آورد. اگر کاربر فعلی یک مدیر سیستم باشد، مهاجم می‌تواند پس از سوءاستفاده‌ی موفق، کنترل کامل سیستم را به‌دست آورد و در نتیجه‌ی آن، در سیستم برنامه نصب کند؛ داده‌ها را مشاهده کند، حذف نماید و نیز آن‌ها را تغییر دهد؛ یا حساب کاربری جدید با حقوق کاربری کامل ایجاد نماید.

آسیب‌پذیری CVE-2020-0674، نسخه‌های 8، 9 و 10 ازInternet Explorer ، زمانی که در نسخه‌های Windows 10، Windows 8.1و Windows 7(که به تازگی پشتیبانی از آن متوقف شده است) اجرا می‌شوند، Server 2008، Server 2012، Server 2016و Server 2019را تحت‌تأثیر قرار می‌دهد. البته خطر این آسیب‌پذیری در Server 2008کاهش یافته است، زیراInternet Explorer در آن به صورت پیش‌فرض در حالت محدودی به نام Enhanced Security Configurationاجرا می‌شود که این حالت، شانس اینکه یک کاربر یا مدیر محتوای مخرب بر روی سیستم دانلود یا اجرا کند را کاهش می‌دهد.

مایکروسافت اعلام کرده است که در حال کار بر روی وصله‌ی این نقص جهت برطرف ساختن آن است و از انجاییکه این آسیب‌پذیری تحت حملات فعال است احتمال دارد یک به‌روزرسانی خارج از محدوده‌ی زمانی همیشگی منتشر سازد. اما تا زمان انتشار یک وصله، برای کاربران متأثر راه‌حل‌ها و راه‌های مقابله با آن به‌منظور جلوگیری از حملات سایبری به سیستم‌‌های آسیب‌پذیر، ارائه شده است.

در همین حین، 0Patchکه ریزوصله‌ی شخص ثالث برای آسیب‌‌پذیری‌های جدی فراهم می‌کند قول داده است که به زودی نقص CVE-2020-0674را برطرف سازد. این رفع نقص مانع از بارگذاری Jscript.dllخواهد شد.

متخصصان امنیتی به کاربران توصیه می‌کنند که استفاده از Internet Explorerرا متوقف سازند؛ اما بنا به توصیه‌نامه‌ی منتشرشده توسط مایکروسافت، برخی از برنامه‌ها تنها در Internet Explorerاجرامی‌شوند.

راه‌حل‌ها‌ی مقابله با آسیب‌پذیری CVE-2020-0674

طبق توصیه‌نامه‌ی منتشرشده توسط مایکروسافت، جلوگیری از بارگیری کتابخانه‌ی JScript.dllمی‌تواند به صورت دستی مانع از سوءاستفاده از این آسیب‌پذیری شود.

به‌منظور محدودکردن دسترسی به Jscript.dll، باید دستورات زیر را در سیستم ویندوزی با امتیازات مدیریتی اجرا کرد:

برای سیستم‌های 32 بیتی:

takeown / f% windir% \ system32 \ jscript.dll

cacls% windir% \ system32 \ jscript.dll / E / P everyone: N

برای سیستم‌های ۶۴ بیتی:

takeown / f% windir% \ syswow64 \ jscript.dll

cacls% windir% \ syswow64 \ jscript.dll / E / P everyone: N

takeown / f% windir% \ system32 \ jscript.dll

cacls% windir% \ system32 \ jscript.dll / E / P everyone: N

پس از انتشار وصله، باید پیش از نصب آن، بااستفاده از دستورات زیر، این راه‌حل‌ها را بازگرداند:

برای سیستم‌های 32 بیتی:

cacls %windir%\system32\jscript.dll /E /R everyone

برای سیستمهای ۶۴ بیتی:

cacls %windir%\system32\jscript.dll /E /R everyone

cacls %windir%\syswow64\jscript.dll /E /R everyone

لازم به ذکر است که برخی از وب‌سایت‌ها یا ویژگی‌ها که به کتابخانه‌ی آسیب‌پذیر JScript.dllمتکی هستند ممکن است بعد از غیرفعال‌کردن آن، دچار مشکلاتی شوند. بنابراین، لازم است کاربران بلافاصله پس از اننتشار وصله‌ی این آسیب‌پذیری، به‌روزرسانی را اعمال نمایند.

5 بهمن 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

محققان امنیتی، مجموعه‌ای از برنامه‌های #Fleeceware را در فروشگاه Play کشف کردند که توسط بیش از 600 میلیون کاربر اندرویدی نصب شده‌اند.
اصطلاح Fleeceware برای اولین بار در ماه سپتامبر سال 2019 توسط شرکت امنیت سایبری «سوفوس»، در پی تحقیقاتی که منجر به نوعی کلاه‌برداری مالی در فروشگاه معتبر Google Play شده بود، ارایه شد.
Fleeceware به برنامه‌هایی اطلاق می‌شود که از توانایی برنامه‌های اندروید برای اجرای دوره‌های آزمایشی قبل از پرداخت هزینه از حساب کاربر، سوءاستفاده می‌کنند.
به‌طور معمول، کاربرانی که برای دوره‌ی آزمایشی یک برنامه اندرویدی ثبت‌نام می‌کنند، برای جلوگیری از شارژ مجدد، لازم است آن‌را به صورت دستی لغو کنند، اما اکثر کاربران علاقه‌ای به حذف برنامه‌های خود ندارند.
بسیاری از توسعه‌دهندگان برنامه‌ها، دوره‌ی آزمایشی را لغو می‌کنند، اما برخی دیگر، پس از حذف برنامه، دوره‌ی آزمایشی برنامه را لغو نمی‌کنند و درخواست خاصی از کاربر دریافت نمی‌کنند و به این ترتیب می‌توانند مبالغ زیادی را برای کاربران اندرویدی شارژ ‌کنند.
طبق گزارش منتشرشده توسط صفحه‌ی رسمی گوگل، تعداد کاربران کل این برنامه‌ها زیاد است (نزدیک به 600 میلیون کاربر در کمتر از 25 برنامه).
محققان بیش از دوهزار برنامه‌ی اندرویدی حاوی Fleeceware را شناسایی كردند. این برنامه‌ها بین 100 تا 240 دلار در سال توسط برنامه‌هایی مانند باركدخوان‌ها، ماشین‌حساب‌ها و اسكنرهای QR شارژ می‌شوند.
برنامه‌های Feeceware تعداد نصب بالایی دارند. برخی از آن‌ها دارای ده‌ها میلیون نصب هستند که نشان می‌دهد بازیگران تهدید در پشت این برنامه‌ها ممکن است از خدمات پرداخت شخص ثالث برای افزایش تعداد برنامه‌های نصب‌شده استفاده کنند و نظرات پنج ستاره را برای تقویت رده‌بندی خود در فروشگاه Play جعل کرده و تعداد زیادی کاربر جذب کنند.
راه‌کارهای امنیتی
• به کاربران دستگاه‌های اندروید که از فروشگاه Play برای نصب برنامه‌ها استفاده می‌کنند، توصیه می‌شود از نصب برنامه‌های «آزمایشی رایگان» که هزینه‌های مبتنی بر اشتراک را بعد از یک آزمایش کوتاه ارایه می‌دهند، خودداری کنند.
• در صورت داشتن برنامه‌ای با دوره‌ی آزمایشی، مطمئن شوند که حذف برنامه، نه‌تنها موجب حذف دوره‌ی آزمایشی، بلکه کل برنامه خواهد شد.
• در صورت مشکوک بودن به برنامه‌ای و دریافت مکاتبات توسط توسعه‌دهنگان آن، کپی مکاتبات را حفظ کرده و آن‌را با گوگل به اشتراک بگذارند.

5 بهمن 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

#Adobe اولین نسخه‌ی سال 2020 خود را برای ویندوز منتشر کرد که چندین آسیب‌پذیری در محصولات Illustrator و Experience Manager را برطرف می‌کند.
به‌روزرسانی‌های امنیتی برای Illustrator CC 2019 در ویندوز، به پنج مسئله‌ی فساد حافظه‌ (CVE-2020-3710 ، CVE-2020-3711 ، CVE-2020-3712 ، CVE-2020-3713 و CVE-2020-3714) می‌پردازد که می‌تواند منجر به اجرای کد دلخواه در زمینه‌ی کاربر هدف شوند. این آسیب‌پذیری‌های امنیتی دارای شدت «بحرانی» هستند و همه‌ی آن‌ها بر نسخه‌های 24.0 و قبل از آن Adobe Illustrator CC تأثیر می‌گذارند.
به این آسیب‌پذیری‌ها رتبه‌ی اولویت 3 داده شده است، بدین معنی که Adobe انتظار ندارد که هیچ یک از آن‌ها در حملات گسترده مورد سوء‌استفاده قرار گیرند.
این شرکت همچنین به‌روزرسانی‌های امنیتی برایAdobe Experience Manager (AEM) منتشر کرد که به چهار موضوع مهم و متوسط (CVE-2019-16466 ، CVE-2019-16467 ، CVE-2019-16468 ، CVE-2019-16469) می‌پردازد. این نقص‌ها بر روی نسخه‌های 6.3 ، 6.4 و 6.5 Experience Manager تأثیر می‌گذارند.
نقص‌های مهم رتبه‌بندی‌شده مربوط به نقص‌های اجرای اسکریپت مخرب (XSS) یا تزریق Expression Language هستند. یک حفره‌ی امنیتی با درجه‌ی متوسط نیز به‌عنوان یک مسئله‌ی تزریق رابط کاربری توصیف شده است. تمامی این نقص‌ها می‌توانند در صورت سوءاستفاده، منجر به افشای اطلاعات حساس شوند.
Adobe به کاربران نهایی و سرپرستان توصیه می‌کند که در اسرع وقت، آخرین وصله‌های امنیتی را نصب کنند تا از سیستم‌ها و مشاغل خود در برابر حملات سایبری محافظت نمایند.

5 بهمن 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫اوراکل، دومین شرکت بزرگ نرم‌افزاری جهان، در اولین به‌روزرسانی Critical Patch Update (CPU) سال 2020 ماه ژانویه خود، 334 نقص برطرف ساخته است که با تعداد وصله‌های منتشرشده‌اش در ماه جولای سال 2018 برابر است.
دلیل این تعداد زیاد انتشار وصله امنیتی این است که اوراکل بر خلاف دیگر رقبای خود مانند مایکروسافت، هر سه ماه یک بار وصله امنیتی منتشر می‌سازد. عامل دیگر آن حجم بالای محصولاتی (صدها محصول و اجزای محصولات) است که در به‌روزرسانی ماه ژانویه رفع نقص شده‌اند.
بسترهای که در این به‌روزرسانی برایشان وصله منتشر شده است عبارتند از:
Oracle Database Server: شامل 12 وصله‌ که 3 مورد از نقص‌های وصله‌شده از راه دور قابل سوءاستفاده هستند. 5 مورد از آنها از نظر شدت «بالا» رتبه‌بندی شده‌اند و دارای حداکثر امتیاز CVSS 7.7 از 10 هستند.
Oracle Communications Applications: شامل 25 وصله که 23 مورد از نقص‌های وصله‌شده می‌توانند از راه دور بدون احرازهویت مورد سوءاستفاده قرار گیرند. 6 مورد از نقص‌های رفع‌شده در این 25 وصله، از نظر شدت «بحرانی» رتبه‌بندی شده‌اند و دارای امتیاز CVSS بالاتر از 9 از 10 هستند.
Oracle E-Business Suite: شامل 23 وصله که 21 مورد از نقص‌های وصله‌شده از راه‌ دور قابل سوءاستفاده هستند.
Oracle Enterprise Manager: شامل 50 وصله که 10 مورد از نقص‌های وصله‌شده می‌توانند از راه دور و بدون احرازهویت مورد سوءاستفاده قرار گیرند، از جمله 4 آسیب‌پذیری با شدت بحرانی دارای امتیاز CVSS بالاتر از 9 از 10.
Fusion Middleware: شامل 38 وصله که 30 مورد از نقص‌های وصله‌شده از راه دور و بدون احرازهویت قابل سوءاستفاده هستند، از جمله 3 آسیب‌پذیری با شدت «بحرانی» و دارای امتیاز CVSS بیشتر از 9 از 10.
Java SE: شامل 12 وصله‌ی رفع نقص است که تمامی نقص‌ها می‌توانند از راه دور و بدون احرازهویت مورد سوءاستفاده قرار گیرند.
JD Edwards: شامل 9 وصله است.
MySQL: شامل 19 وصله که 6 مورد از نقص‌های وصله‌شده از راه دور قابل سوءاستفاده هستند.
Siebel CRM: شامل 5 وصله است.
Oracle Virtualization: شامل 22 وصله که 3 مورد از نقص‌های وصله‌شده از راه دور و با احرازهویت قابل سوءاستفاده هستند. این وصله‌ها دو نقص با بالاترین شدت CVE-2020-2674 و CVE-2020-2682 که VM VirtualBox را تحت‌تأثیر قرار می‌دهند و هر دوی آن‌ها برای اینکه مورد سوءاستفاده قرار گیرند نیاز به دسترسی محلی دارند را شامل نمی‌شود.
PeopleSoft: شامل 15 وصله که 12 مورد از نقص‌های وصله‌شده از راه دور قابل سوءاستفاده هستند.
دو نقصی که Oracle Human Resources را تحت‌تأثیر قرار می‌دهند دارای درجه شدت 9.9 از 10 هستند و نمی‌توانند بدون احرازهویت از راه دور مورد سوءاستفاده قرار گیرند.
31 نقص دیگر دارای درجه شدت 9.8 درOracle WebLogic Server ، Oracle Communications Instant Messaging Server ، Enterprise Manager Ops Center ، Oracle Application Testing Suite، Hyperion Planning و JD Edvard Enterprise One Orchestrator هستند.
به طور کلی، در میان نقص‌های وصله‌شده در این به‌روزرسانی، 191 مورد از آن‌ها از راه دور قابل سوءاستفاده هستند.
به دلیل گزارش مداوم مشتریان اوراکل از حملات موفقیت‌آمیز بر روی سیستم‌هایی که با وصله‌های موجود به‌روز نشده‌اند، اوراکل از همه مشتریان خود می‌خواهد بلافاصله به‌روزرسانی‌های CPU ماه ژانویه سال 2020 را اعمال کنند.

5 بهمن 1398 برچسب‌ها: اخبار
کشف بسته‌ی مخرب npm توسط مایکروسافت که منجر به سرقت اطلاعات از سیستم‌های UNIX می‌شود

تیم امنیتی #npm# (Node Package Manager)، مدیر بسته‌ی de-Facto برای اکوسیستم جاوااسکریپت، بسته‌ی مخربی که اطلاعات حساس را از سیستم‌های UNIX به سرقت می‌برد، از بین برد.
این بسته‌ی مخرب که 1337qq-js نامیده می‌شود، در 30ام دسامبر سال 2019 در مخزن npm بارگذاری شده است و حداقل 32 بار طی دو هفته‌ی گذشته و پیش از آنکه توسط تیم تحقیقات آسیب‌پذیری مایکروسافت کشف شود، دانلود شده است.
طبق تجزیه و تحلیل‌های تیم امنیتی npm، این بسته اطلاعات حساس را از طریق نصب اسکریپت‌ها استخراج می‌کند و تنها سیستم‌های UNIX را هدف قرار می‌دهد. نوع داده‌‌هایی که این بسته جمع‌آوری می‌کند شامل موارد زیر است:
• متغیرهای محیطی
• فرایندهای در حال اجرا
• /etc/hosts
• Uname-a
• فایل npmrc
سرقت متغیرهای محیطی نقص امنیتی بزرگی است، زیرا اطلاعاتی همچون گذرواژه‌های سخت‌ کد‌شده یا نشانه‌های (token) دسترسی API اغلب به عنوان متغیرهای محیطی در برخی وب‌ها یا برنامه‌های کاربردی تلفن همراه جاوااسکریپت، ذخیره می‌شوند.
Npm توصیه می‌کند تمامی توسعه‌دهندگانی که این بسته‌ی جاوااسکریپت را دانلود کرده‌اند یا از آن در پروژه‌های خود استفاده کرده‌اند، آن را از سیستم خود حذف و هرگونه اعتبارنامه‌ در معرض خطر را بازنشانی کنند.
این ششمین باری است که بسته‌های مخرب در فهرست مخازن npm جای گرفته است. بسته‌ی مخرب 1337qq-js دارای کمترین شدت بوده است، در درجه‌ی اول بدین دلیل که تحلیل‌گران امنیتی مایکروسافت این کتابخانه را دو هفته پس از انتشار و پیش از آن‌که عواقب جدی ایجاد کند، شناسایی کردند.
حوادث پیشین ناشی از بسته‌های مخرب npm عبارت‌اند از:
• ماه ژوئن سال 2019: یک هکر به کتابخانه‌ی اطلاع‌رسانی الکترونیکی بومی برای درج کد مخربی که به کیف پول رمزنگاری Agama دست یافته بود، حمله‌ی درب‌پشتی کرد.
• ماه نوامبر سال 2018: یک هکر به یک بسته‌ی npm جریان مبتنی بر رخداد (event-stram) به‌منظور بارگذاری کد مخرب درون میزکار BitPay Copay و برنامه‌های کیف پول تلفن همراه و نیز سرقت ارز رمزمبنا حمله‌ی درب‌پشتی کرد.
• ماه جولای سال 2018: یک هکر، کتابخانه‌ی ESLint را با کد مخربی که برای سرقت اعتبارنامه‌های npm توسعه‌دهندگان دیگر طراحی شده بود، در معرض خطر قرار داد.
• ماه می سال 2018: یک هکر سعی کرد یک درب‌پشتی را در یک بسته npm محبوب به نام getcookies پنهان کند.
• ماه آوریل سال 2017: یک هکر از typosquatting برای بارگذاری 38 کتابخانه JavaScript مخرب در npm استفاده کرد. این کتابخانه‌های مخرب برای سرقت جزئیات محیط پروژه‌هایی که در آن‌ها مورد استفاده قرار می‌گرفتند، تنظیم شده بودند.

29 دی 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

این آسیب پذیری در یک مؤلفه #‫ویندوز موسوم به crypt32.dllقرار دارد که وظیفه کنترل گواهینامه ها و پیغام های رمزنگاری در CryptoAPIرا دارد. CryptoAPIسرویسی را به توسعه دهندگان ارائه میدهد که میتوانند با آن عملیاتی مانند رمزگذاری و رمزگشایی را با استفاده ازگواهینامه دیجیتال انجام دهند.

ضعف امنیتی در قسمتی از crypto32.dllاست که سعی بر تایید گواهی نامه های Elliptic Curve Cryptography (ECC)دارد و در تمامی بستر های کلید عمومی و گواهی نامه های SSL/TLSاستفاده می شود.

این آسیب پذیری بحرانی میتواند تعداد زیادی از عملکرد های ویندوز را تحت الشعاع قرار دهد. از جمله تایید اعتبار در سیستم عامل های ویندوز مبتنی بر دسکتاپ یا سرور، یا امنیت اطلاعات حساس ذخیره شده توسط مرورگر Internet Explorer/Edge Microsoftو حتی تعداد زیادی از نرم افزار ها و ابزار های شخص ثالث تحت ویندوز در خطر سو استفاده از این آسیب پذیری هستند.

مهاجمان میتوانند با سوءاستفاده از crypt32.dllبدافزار ها و کد های مخرب خود را با امضای دیجیتال جعلی یک شرکت معتبر و امضا کنند، بطوری که بدافزار مخرب بصورت نرم افزار مجاز به سیستم عامل معرفی می شود.

یکی از پتانسیل های حمله، ارتباطات HTTPSمی باشد. مهاجم می تواند با جعل گواهی نامه ارتباط SSLکلاینت را به اشتباه انداخته و تمامی ارتباطات SSL/TLSرا شنود کند.

شرکت مایکروسافت وصله امنیتی را برای سیستم عامل ویندوز منتشر کرده است. اکیدا توصیه می شود در اسرع وقت اقدام به بروز رسانی سیستم های عامل نمایید.

نسخه های آسیب پذیر :

به دلیل معرفی مولفه crypt32.dllدر هسته ویندوز نسخه NT 4.0 خود این نسخه و تمامی نسخه های بعد از آن مستعد آسیب پذیری هستند.

راه حل:

در لینک زیر وصله های امنیتی برای مرتفع سازی این آسیب پذیری ارائه شده است.

https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-Jan

سرویس هایی که در اولین فرصت باید بروز رسانی و وصله شوند :

  • وب سرور ها
  • Domain Controllerها
  • سرور های DNS
  • سرور هایی که ارتباطات TLSدارند (از جمله تمامی سرور هایی که از RDPبرای مدیریت استفاده می کنند)

منبع:

https://msrc-blog.microsoft.com/2020/01/14/january-2020-security-updates-cve-2020-0601/

25 دی 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها


در ساعات اولیه بامداد روز ۲۲ دی ۹۸ ادعایی در شبکه‌های اجتماعی مبنی بر دیفیس شدن برخی از زیردامنه‌های ict.gov.ir از سوی یک گروه هکری مطرح گردید.
با تکیه بر همکاران، ابزارها و فناوری‌های مورد استفاده، در چند دقیقه موضوع توسط مرکز ماهر رصد شد و مشخص شد که مهاجم با سواستفاده از یک فرم گزارش‌دهی، اقدام به بارگزاری یک فایل متنی در وبسایت نموده است. این موضوع در همان زمان پیگیری شده و محدودیت‌های لازم بر این قابلیت گزارش دهی اعمال شد.
در این رویداد هیچ گونه نفوذ و دسترسی غیرمجاز ویا اعمال تغییری در محتوای وبسایت صورت نگرفت. لازم به به توضیح است این قابلیت بارگذاری فایل صرفا اجازه بارگذاری فایل‌های بی خطر جهت ارائه خدمت به کاربران را ارائه می نمود.
از سوی دیگر ادعای مطرح شده درخصوص از دسترس خارج شدن وبسایت پس از این رخداد نیز مطلقا صحت نداشته و دسترسی با وبسایت بطور پیوسته برقرار بوده است.

24 دی 1398 برچسب‌ها: اخبار
سوءاستفادهی فعال از آسيب‌پذيری روزصفرم CVE-2019-2215

برای اولین بار از یک #‫آسیب‌‌پذیری استفاده پس از آزادسازی #(use-after-free) به‌طور گسترده در حملات استفاده شده است. این آسیب‌پذیری که با شناسه‌ی CVE-2019-2215 ردیابی می‌شود در ماه اکتبر سال 2019 توسط محققان Google Project Zero به عنوان یک آسیب‌پذیری روزصفرم افشا شد. این نقص ابتدا در ماه دسامبر سال 2017 در هسته‌ی Linux 4.14، هسته‌ی 3.18 پروژه‌ی متن‌باز اندروید (AOSP)، هسته‌ی AOSP 4.4 و هسته‌ی AOSP 4.9 برطرف شده بود. دو سال بعد، این آسیب‌پذیری همچنان Pixel 2؛ Pixel 1؛ Huawei P20؛ Xiaomi Redmi 5A؛ Redmi Note 5 و A1؛ Oppo A3؛ گوشی‌های LG دارای اندروید Oreo و گوشی‌های سامسونگ مدل‌های Galaxy S7,S8 و S9 را تحت‌تأثیر قرار می‌داد.
گوگل وصله‌هایی برای این نقص در مجموعه اصلاحات اندرویدی ماه اکتبر سال 2019 منتشر ساخت.
بنا به اطلاعات جمع‌آوری شده توسط کارشناسان، از این آسیب‌پذیری سوءاستفاده شده است. این آسیب‌پذیری توسط شرکت باج‌افزاری اسرائیل، NSO (معروف به ساختن بدافزار iOS مشهور Pegasus) سوءاستفاده شده است و از آن برای نصب یک نسخه از Pegasus سوءاستفاده می‌کند.
اکنون محققان دریافته‌اند سه برنامه‌ی مخرب که از ماه مارس سال 2019 در فروشگاه Google Play در دسترس بوده است، به‌منظور به خطر انداختن دستگاه کاربر و جمع‌آوری اطلاعات با هم کار می‌کنند. یکی از این برنامه‌ها که Camero نامیده می‌شود از آسیب‌پذیری CVE-2019-2215 سوءاستفاده می‌کند. این آسیب‌پذیری در Binder (اصلی‌ترین سیستم ارتباطی درون‌فرایندی اندروید) وجود دارد. بررسی‌های بیشتر نشان می‌دهد که هر سه‌ی این برنامه‌ها مربوط به گروه تهدید SideWinder (فعالیت خود را از سال 2012 آغاز کرده و ماشین‌های ویندوزی موجودیت‌های ارتش را هدف قرار می‌دهد) هستند. این سه برنامه از این جهت به گروه SideWinder نسبت داده شده‌اند که به نظر می‌رسد کارگزارهای C&C استفاده شده مربوط به بخشی از ساختار SideWinder باشند. علاوه‌براین، یک URL که به یکی از صفحات Google Play این برنامه‌ها لینک می‌خورد نیز در یکی از این کارگزارهای C&C یافت شده است.

دانلود پیوست

23 دی 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

محققان امنیتی هشدار داده‌اند كه يك #‫آسيب‌پذيری شناخته‌شده که بر محصول #VPN از شرکت Pulse Secure تأثیر می‌گذارد، توسط مجرمان سایبری برای ارایه‌ی يك قطعه باج‌افزار با نام REvil، مورد استفاده قرار گرفته است.
این نقص که با شناسه‌ی " CVE-2019-11510" ردیابی می‌شود، یک حفره‌ی امنیتی است که به مهاجمین راه دور و بدون اعتبار اجازه می‌دهد تا از راه دور به شبکه‌ی شرکت‌ها متصل شوند، تأیید هویت چندعاملی را غیرفعال کنند و از راه دور سیاهه‌ها و گذرواژه‌های ذخیره‌شده در متن ازجمله گذرواژه‌های حساب کاربری Active Directory را مشاهده کنند.
باج‌افزارREvil (Sodinokibi) در ماه دسامبر سال 2019 کشف شد و طی یک ماه، به چندین درگاه ارائه‌دهنده‌ی خدمات و همچنین بیش از 400 مطب دندانپزشکی نفوذ کرد.
محققان این باج‌افزار را به‌عنوان یکی از باج‌افزارهای خطرناک طبقه‌بندی کرده‌اند؛ چراکه قادر به ایجاد ویرانی‌های شدید در سیستم میزبان است. به‌گفته‌ی آنان، مهاجمان دائماً از این باج‌افزار برای رمزگذاری سیستم‌های تجاری بسیار حساس استفاده و مبلغ هنگفتی را به‌عنوان باج درخواست می‌كنند. در ابتدا، این باج افزار از آسیب‌پذیری Oracle WebLogic در برابر سیستم‌های آلوده استفاده می‌کرد، اما این‌بار هکرها به‌دنبال غیرفعال کردن سیستم‌های ضد ویروس و نفوذ از راه سرورهای Pulse Secure VPN وصله‌نشده هستند.
مهاجمان به‌راحتی و با استفاده از موتور جستجوی Shodan.io، قادر به شناسایی سرورهای آسیب‌پذیر این VPN هستند.
هکرها برای دستیابی به شبکه از همان استراتژی باج‌افزار استفاده می‌کنند. آن‌ها متعاقباً کنترل دامنه را به‌دست گرفته و از نرم‌افزار دسترسی از راه دور برای حرکت در سیستم استفاده می‌کنند. در این مرحله، باج‌افزار REvil می‌تواند ابزارهای امنیتی را غیرفعال کند و از طریق پیام‌های فرمان "PsExec"، به تمام سیستم‌ها نفوذ کند. این فرمان معمولاً یک دستور پنهان است که سیستم قادر به اعمال آن نخواهد بود و تنها باج‌افزار، توانایی انجام آن را دارد.
طبق تحقیقات انجام‌شده، حدود 3820 سرور Pulse Secure VPN وجود دارند که هنوز در برابر این نقص امنیتی به‌روز نشده‌اند. از این تعداد، بیش از 1300 مورد، سرورهای آسیب‌پذیر مستقر در ایالات متحده هستند.
خوشبختانه بسیاری از مشتریان Pulse به‌طور مؤثری از وصله‌ی صادر‌شده در ماه آوریل سال گذشته استفاده کرده‌اند، اما برخی از سازمان‌ها هنوز این وصله‌ها را اعمال نکرده‌اند. این سازمان‌ها، آسیب‌پذیرترین سیستم‌ها در برابر حمله‌ی این باج افزار هستند.
Pulse از مشتریان خود خواسته است كه سیستم‌های خود را سریعاً وصله كنند و در صورت نیاز به کمک به صفحه‌ی پشتیبانی این شرکت با آدرس "https://support.pulsesecure.net/support/support-contacts" مراجعه نمایند.

https://www.securityweek.com/pulse-secure-vpn-vulnerability-exploited-deliver-ransomware
https://www.zdnet.com/article/vpn-warning-revil-ransomware-targets-unpatched-pulse-secure-vpn-servers/

23 دی 1398 برچسب‌ها: اخبار
آسیب‌پذیری بحرانی مرورگر فایرفاکس و لزوم بروزرسانی آن

این نقص بحرانی با شناسه "CVE-2019-17026"، ناشی از نوعی #‫آسیب‌پذیری 'type confusion vulnerability' در کامپایلر IonMonkey just-in-time (JIT) در SpiderMonkey موتور جاوااسکریپت است.
به طور کلی این نوع آسیب‌پذیری زمانی رخ می‌دهد که کد برنامه، از objectsهای ارسالی، کورکورانه و بدون بررسی نوع آن‌ها استفاده کرده و به مهاجمان اجازه می‌دهد تا موجب از کار افتادن این برنامه یا اجرای کد موردنظر خود شوند.
پیش از این نیز، موزیلا نسخه‌های Firefox 72.0.1 و Firefox ESR 68.4.1 را جهت رفع یک آسیب‌پذیری در این مرورگر منتشر کرده بود.

موزیلا بدون آشکار ساختن جزئیات و نیز حملات احتمالی این نقص امنیتی اذعان داشت: "اطلاعات غلط در کامپایلر
IonMonkey JIT جهت تنظیم عناصر آرایه، می‌تواند علت این نوع از آسیب‌پذیری باشد."
این بدان معناست که این مسئله در موتور آسیب‌پذیر جاوااسکریپت، می‌تواند توسط یک مهاجم از راه دور برای فریب کاربر به بازدید از یک صفحه وب مخرب و سپس اجرای کد دلخواه خود بر روی سیستم و در چارچوب برنامه، مورد اکسپلویت قرار گیرد.
این آسیب‌پذیری توسط محققان امنیت سایبریِ ATA360 Qihoo به موزیلا گزارش شده است و هنوز هیچ اطلاعاتی از آن‌ها درباره تحقیقات، یافته‌ها و اکسپلویت این آسیب‎‌پذیری منتشر نشده است.
اگرچه مرورگر فایرفاکس به طور پیش فرض و خودکار بروزرسانی‌ها را اعمال می‌کند و پس از راه‌اندازی مجدد آن، نسخه جدید در دسترس می‌باشد، اما می‌توانید از مسیر زیر نیز مرورگر خود را بروزرسانی نمایید:
Menu > Help > About Mozilla Firefox

22 دی 1398 برچسب‌ها: اخبار
صفحات: «« « ... 2 3 4 5 6 ... » »»