‫ اخبار

مایکروسافت در 13 اکتبر، اطلاعیه ای در خصوص یک #‫آسیب‌پذیری بحرانی در IPv6 stack منتشر کرد. این آسیب پذیری با شناسهCVE-2020-16898 دارای امتیاز 9.8 براساس CVSSv3 است. نفوذگران می توانند با اکسپلویت این آسیب پذیری کد دلخواه خود را از راه دور در سیستم های تحت تاثیر آسیب پذیری هدف اجرا نمایند یا موجب انکار سرویس در آن ها شوند. مایکروسافت در به روزرسانی اکتبر 2020 وصله این آسیب پذیری را منتشر کرده است. جهت مطالعه لیست محصولات تحت تاثیر آسیب پذیری اینجا کلیک کنید.

مایکروسافت برای #‫آسیب‌پذیری ‌های مربوط به نسخه‌های نرم‌افزاری خود به‌روزرسانی‌هایی را ارائه کرده است. مهاجم می‌تواند با بهره‌برداری از برخی از این آسیب پذیری ها، از راه دور، کنترل سیستم های تحت تأثیر آسیب پذیری را در دست بگیرد. برای مطالعه بیشتر اینجا کلیک کنید.

شرکت نرم‌افزاری Apache اصلاحیه‌های امنیتی جدیدی را در راستای رفع #‫آسیب‌پذیری ‌های Apache Tomcat منتشر کرده است. این آسیب پذیری که با شناسه CVE-2020-13943 معرفی شده، دارای شدت متوسط (Moderate) است. در جدول زیر نسخه‌های مختلف تحت تأثیر آسیب پذیری، به همراه اصلاحیه آن ها آورده شده است.
آسیب پذیری CVE-2020-13943 از نوع HTTP/2 Request mix-up است. با توجه به معماری پروتکل HTTP نسخه 2.0 که پاسخ های ارسال شده به کلاینت از طرف وب سرور قابلیت تقسیم بندی و ارسال موازی را دارند، این امکان وجود دارد که اگر تعداد درخواست های موازی از حد مجاز توافق شده تخطی کند، بخشی از دنباله درخواست های موازی صورت گرفته از سمت کاربر از طریق پروتکل HTTP نسخه 1.1 درخواست گردد و در سرآیند درخواست ها به جای HTTP نسخه 2.0 از HTTP نسخه 1.1 استفاده گردد که در اینصورت پاسخ های ارسالی وب سرور Apache Tomcat به سایر کاربران با اخلال مواجه شده و کاربران پاسخ های صحیحی به ازای درخواست های صورت گرفته به این وب سرور دریافت نمی کنند.

منبع:

سیسکو در 7 اکتبر سال 2020 چندین به‌روزرسانی امنیتی برای رفع 14 #‫آسیب‌پذیری منتشر کرده است. نفوذگران با بهره‌برداری از برخی از این آسیب‌پذیری‌ها می توانند، کنترل سیستم را در اختیار بگیرند. 11 مورد از این آسیب‌پذیری‌ها دارای شدت متوسط و 3 مورد از این موارد دارای شدت بالا هستند. در پیوست لیست آسیب‌‌پذیری‌های رفع شده نمایش داده می‌شود.

گوگل نسخه 86.0.4240.75 از کروم را برای ویندوز، لینوکس و MacOS منتشر کرد. در این نسخه 35 #‫آسیب‌پذیری رفع شده است که نفوذگران با بهره‌برداری از این آسیب‌پذیری‌ها می توانند، کنترل سیستم را در اختیار بگیرند.
نسخه 86 از کروم توجه ویژه‌ای به امنیت در هر دو نسخه دستکتاپ و موبایل داشته است؛ از جمله این موارد می‌توان به افزایش امنیت پسورد، محافظت در برابر دانلود و ارسال فرم ناامن و محافظت بیومتریک در برابر پسوردهای ذخیره شده با قابلیت auto-filling اشاره کرد.
گرچه این مرورگر به صورت خودکار، درباره آخرین نسخه موجود به کاربران اطلاع می‌دهد؛ اما توصیه می‌شود با رفتن به منوی Help → About Google Chrome، روند به‌روزرسانی را به صورت دستی شروع کنید.

منبع

https://chromereleases.googleblog.com/2020/10/stable-channel-update-for-desktop.html?m=1

محققان جزئیات چندین نقص امنیتی در #‫آنتی‌ویروس ‌های مشهور را افشاء کرده‌اند که اکسپلویت این نقص‌های امنیتی، امکان افزایش مجوز دسترسی را برای هکرها فراهم می‌آورد. آنتی‌ویروس‌ها که باید از آلوده شدن سیستم‌ها جلوگیری کنند، ممکن است ناخواسته به بدافزار اجازه افزایش مجوز دسترسی در سیستم را بدهند. از آنجایی‌که آنتی‌ویروس‌ها با مجوز دسترسی بالا اجرا می‌شوند؛ بنابراین هرگونه بهره‌برداری از نقص این محصولات می‌تواند منجر به افزایش مجوز دسترسی و انجام افعال مخربانه متعدد شود.
چندین محصول ضد بدافزار (anti-malware) از جمله آنتی‌ویروس‌هایKaspersky ،McAfee ،Symantec ، Check Point، Fortinet، Trend Micro، Avira و Microsoft Defender تحت تاثیر این نقص‌ها قرار دارند.
لیست‌ کنترل دسترسی اختیاری (DACL) پیش‌فرض دایرکتوری C:\ProgramData یکی از دلایل اصلی بسیاری نقص‌ها در این آنتی‌ویروس‌ها است. برنامه‌ها برای ذخیره داده در ویندوز از دایرکتوری ProgramData استفاده می‌کنند. هر کاربری حق دسترسی نوشتن/خواندن در این دایرکتوری را دارد؛ برعکس دایرکتوری %LocalAppData% که تنها توسط کاربر احراز هویت قابل دسترس است.
افزایش مجوز دسترسی زمانی رخ می‌دهد که فرایند غیر‌مجاز (non-privileged) دایرکتوری جدیدی در ProgramData ایجاد می‌کند که بعدها توسط فرایند دارای مجوز مورد استفاده قرار می‌گیرد. دقیقا شبیه روالی که در آنتی‌ویروس‌ها رخ می‌دهد.
محققان آزمایشگاه CyberArk نشان دادند که چگونه در آنتی¬ویروس Avira یک فایل لاگ مشترک که توسط دو فرایند مختلف اجرا می‌شد، منجر به اکسپلویت فرایند با مجوز بالا شده است که در نتیجه این اکسپلویت امکان حذف فایل و ایجاد لینک نمادین (Symbolic Link) به هر فایل اختیاری با محتویات مخرب فراهم شده است. همچنین این متخصصان نشان دادند که اکسپلویت آنتی¬ویروس‌های Trend Micro، Fortinet و چند آنتی‌ویروس دیگر اجازه قرار دادن فایل DLL مخرب در دایرکتوری application و افزایش حق دسترسی را می‌دهد.
جدول زیر لیست تمام آسیب‌پذیری‌های شناسایی شده در آنتی ویروس‌ها را نشان می‌دهد. خوشبختانه، تمام آسیب‌پذیری‌های گزارش شده توسط تولیدکنندگان این آنتی‌ویروس‌ها رفع شده است. بنابراین کاربران آنتی ویروس‌ها ذکر شده کافیست از به‌روز بودن آنتی‌ویروس خود اطمینان حاصل کنند.

منبع

https://securityaffairs.co/wordpress/109115/hacking/antivirus-solutions-flaws.html?utm_source=rss&utm_medium=rss&utm_campaign=antivirus-solutions-flaws

محققان تیم کسپرسکی یک #‫بدافزار مبتنی بر UEFI را کشف کرده‌اند که برای هدف قرار دادن نهادهای دیپلماتیک در آسیا، آفریقا و اروپا ساخته شده است. میان‌افزار UEFI یک مولفه اساسی برای هر کامپیوتر است. این میان‌افزار مهم در داخل یک حافظه فلش به مادربرد متصل می‌شود و تمام اجزای سخت‌افزاری کامپیوتر را کنترل می‌کند و به بوت سیستم‌عامل نهایی (ویندوز، لینوکس، macOS و موارد مشابه) که کاربر با آن تعامل دارد، کمک می‌کند.
حمله به میان‌افزارها برای هر گروه هکری بسیار ارزشمند است. اگر کدهای آلوده بتوانند در میان‌افزار قرار بگیرند، حتی پس از حذف و نصب مجدد سیستم‌عامل، سیستم همچنان آلوده خواهد بود. با این حال، علی‌رغم این مزایا، حملات به میان‌‌افزارها نادر هستند؛ چرا که حمله‌کنندگان یا باید دسترسی فیزیکی به دستگاه داشته باشند و یا اهداف خود را از طریق حملات زنجیره‌ای پیچیده آلوده کنند. در واقع این بدافزار، دومین بدافزاری است که به صورت گسترده میان‌افزار UEFI را هدف قرار داده است. اولین بدافزار، یک بدافزار روسی بود که در سال 2018 توسط ESET شناسایی شد.
تیم کسپرسکی مدعی است که این حمله را از طریق ماژول اسکنر میان‌افزار کسپرسکی شناسایی کرده است. کد آلوده موجود در میان‌افزار به نوعی طراحی شده است تا بتواند هر بار که کامپیوتر آلوده کار خود را شروع می‌کند، برنامه خودکار مخرب را نصب کند. این برنامه خودکار اولیه به عنوان یک ابزار دانلود عمل کرده و مولفه‌های دیگر بدافزار را دانلود می‌کند. کسپرسکی این مولفه‌ها را MosaicRegressor نام گذاری کرده است. محققان تیم کسپرسکی هنوز نتوانستن به طور کامل MosaicRegressor را تحلیل کنند. محققان کسپرسکی بیان کردند که با وجود اینکه بوتکیت UEFI را تنها در دو سیستم یافته‌اند اما MosaicRegressor در تعداد زیادی سیستم دیده شده است.
کسپرسکی ضمن تجزیه و تحلیل این حملات دریافته است که کد مخرب UEFI مبتنی بر VectorEDK است که یک ابزار هک برای حمله به میان‌افزار UEFI می‌باشد. VectorEDK به نوعی طراحی شده است که برای اجرا نیازمند دسترسی فیزیکی دارد.

مدیران سیستم‌ها و مدیران شبکه سازمان‌های دولتی برای حفاظت از سیستم‌های خود لازم است، موارد زیر را مد نظر داشته باشند.

• با توجه به اینکه امکان آلوده کردن UEFI در صورت دسترسی فیزیکی به سیستم بیشتر می‌شود؛ لذا اولا کامپیوترها (بویژه در مراکز حساسی مثل تاسیسات هسته‌ای و ...) از مبادی امن تهیه شوند. ثانیا از قرار گرفتن آن‌ها در اختیار افراد نامطمئن (با هدف تعمیر و ارتقا و ...) جدا پرهیز شود.
• از اسکنر مختص میان‌افزارهاییUEFI از قبیل KUEFI کسپرسکی برای اسکن سیستم خود استفاده نمایید.
• میان افزار UEFIسیستم خود را به‌روزرسانی نمایید.

منبع:

سیسکو در 24 سپتامبر به منظور رفع 42 #‫آسیب‌پذیری درچندین محصول مختلف خود، به‌روزرسانی امنیتی منتشر کرده است. 29 مورد از این آسیب‌پذیری‌ها دارای درجه شدت بالا و 13 مورد دارای درجه شدت متوسط هستند. نفوذگران با اکسپلویت برخی از این آسیب‌پذیری‌ها می‌توانند کنترل سیستم‌های تحت تاثیر را در اختیار بگیرند.
مهمترین آسیب‌پذیری‌های رفع شده در به‌روزرسانی اخیر در جدول زیر نمایش داده شده است. توصیه می‌شود کاربران و مدیران با بررسی سایت سیسکو محصولات خود را به‌روزرسانی نمایند.

منبع خبر:

[1] https://us-cert.cisa.gov/ncas/current-activity/2020/09/25/cisco-releases-security-updates-multiple-products
[2] https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=100#~Vulnerabilities