فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
ایجاد‌کننده اطلاع‌رسانی‌ها

یک #‫آسیب‌پذیری روز صفرم بحرانی که سرویس‌های Verisign و IaaS متعددی مانند گوگل، آمازون DeigitalOcean را تحت تاثیر قرار می‌دهد امکان ثبت دامنه‌های مخرب homograph توسط مهاجمان را فراهم می‌کند. ثبت موفقیت‌آمیز این دامنه‌ها که ظاهری مشابه دامنه‌ها و زیردامنه های شناخته شده دارند، منجر به حملاتی مشابه IDN Homograph attack و یا مهندسی اجتماعی کاربران خواهد شد.
به گفته محققان دامنه‌های homograph متعددی که گواهینامه‌های HTTPS نیز دارند، از سال 2017 فعال بوده و اغلب ظاهری مشابه دامنه‌های مربوط به خرید اینترنتی، تکنولوژی و غیره دارند. تعداد زیادی از این دامنه‌ها را می‌توان با استفاده از کاراکترهایی که ظاهر مشابه و معنی متفاوت دارند، تولید کرد. محقق امنیتی در Soluble به نام Matt Hamilton دامنه‌های زیر را به ثبت رسانده است:
amɑzon.com
chɑse.com
sɑlesforce.com
ɡmɑil.com
ɑppɩe.com
ebɑy.com
ɡstatic.com
steɑmpowered.com
theɡuardian.com
theverɡe.com
washinɡtonpost.com
pɑypɑɩ.com
wɑlmɑrt.com
wɑsɑbisys.com
yɑhoo.com
cɩoudfɩare.com
deɩɩ.com
gmɑiɩ.com
gooɡleapis.com
huffinɡtonpost.com
instaɡram.com
microsoftonɩine.com
ɑmɑzonɑws.com
ɑndroid.com
netfɩix.com
nvidiɑ.com
ɡoogɩe.com
دامنه های homograph فوق تا حد زیادی مشابه دامنه‌های اصلی هستند و این موضوع می‌تواند موجب گمراهی کاربر شود؛ همچنین با به کارگیری مهندسی اجتماعی توسط مهاجمان می‌تواند برای نصب بدافزار و یا سرقت اطلاعات مورد استفاده قرار گیرد. ثبت دامنه‌های فوق نشان می‌دهد که ثبت دامنه‌هایی که ترکیبی از کاراکترهای لاتین و Unicode هستند درصورت لاتین بودن خود کاراکتر Unicode امکان‌پذیر است.
این آسیب‌پذیری همه‌ی Verisignهایی که از هر نوع سرویس TLD (با امکان پشتیبانی از کاراکترهای لاتین IPA نظیر gTLD) استفاده می‌کنند را تحت تاثیر قرار می‌دهد. از آنجایی که موارد متعددی از گواهینامه HTTPS از طریق Certificate Transparency شناسایی شدند و یک کتابخانه غیررسمی جاوااسکریپت نیز به عنوان یک دامنه حساس به ثبت رسیده، می‌توان این آسیب‌پذیری را یک آسیب‌پذیری روز صفرم تلقی کرد.
1 مراجع
[1] https://gbhackers.com/homograph-domains/

19 اسفند 1398 برچسب‌ها: اخبار
آسیب‌پذیری بحرانی در سرویس PPP لینوکس

نقض بحرانی در سرویس PPP Daemon لینوکس، اجرای دستورات مخرب از راه دور را برای مهاجم فراهم می‌کند.
اخیراً سازمان US-CERT در مورد یک آسیب‌پذیری اجرای کد از راه دور 17 ساله خطرناک در نرم افزار PPP daemon (pppd) که روی بیشتر سیستم‌عامل‌های مبتنی بر لینوکس به طور پیش‌فرض نصب شده است و همچنین سخت‌افزار بسیاری از دستگاه‌های متصل به شبکه دیگر را به خود اختصاص می‌دهد، هشدار داد.
نرم‌افزار pppd تحت تاثیر، پیاده سازی پروتکل (PPP)Point-to-Point است که ارتباط و انتقال داده را بین نودهای شبکه امکان‌پذیر می‌کند و در درجه اول برای ایجاد لینک‌های اینترنتی مانند مودم‌هایdial-up، اتصالات پهن باند DSL و شبکه‌های خصوصی مجازی (VPN) استفاده می‌شود.
این آسیب‌پذیری بحرانی توسط محقق امنیتی Ilja Van Sprundel کشف شده است، و یک نوع سرریز بافر در پشته است که به دلیل یک خطای منطقی در تجزیه کننده در پشته پروتکلExtensible Authentication Protocol (EAP) موجود در نرم‌افزار pppd اتفاق می‌افتد.
این آسیب‌پذیری، به عنوان CVE-2020-8597 با شدت CVSS 9.8 محاسبه شده است و می‌تواند توسط مهاجمان غیرمجاز مورد سوءاستفاده قرار گیرد تا از راه دور کد دلخواه را روی سیستم‌های آسیب دیده اجرا کرده و کنترل کامل آن‌ها را به دست گیرند.


1 درباره آسیب‌پذیری
مهاجم با ارسال یک بسته EAP ناخواسته به یک کلاینت یا یک سرور آسیب‌پذیرکنترل سیستم را به دست می‌گیرد. علاوه بر این، از آنجا که pppd اغلب با امتیازات بالا اجرا شده و در رابطه با درایورهای kernel کار می‌کند، این نقص می‌تواند به مهاجمان اجازه دهد کد‌های مخرب را به طور بالقوه با امتیازات سطح root اجرا کنند.


طبق گفته محققان، این آسیب‌پذیری به دلیل خطا در اعتبارسنجی اندازه ورودی قبل از کپی کردن داده‌های ارسال شده به حافظه است. نادرست بودن اعتبارسنجی اندازه داده‌ها، باعث اجرای کد ناخواسته، کپی داده‌های دلخواه در حافظه و ایجاد فساد حافظه خواهد شد. این آسیب‌پذیری در منطق کد تجزیه EAPاست، به ویژه در توابع eap_ Ask () و eap_response () در eap.c که توسط یک کنترل کننده ورودی شبکه فراخوانی می‌شود.
تصور اینکه اگر EAP فعال نباشد pppd آسیب‌پذیر نیست، یا اینکه EAP با یک شخص از راه دور با استفاده از یک عبارت رمز شده یا یک عبارت، مبادله نشده است، نادرست است. این مسئله به این دلیل است که یک مهاجم اعتبارسنجی شده می‌تواند قادر به ارسال بسته EAP ناخواسته برای ایجاد سرریز بافر باشد.
1-1 باگ pppd: سیستم‌های عامل و دستگاه‌های تحت تأثیر
به گفته این محقق، نسخه‌های 2.4.2 تا 2.4.8 از نرم‌افزار Daemon Protokoll Point-to-Point (همه نسخه‌های منتشر شده در 17 سال گذشته)، در برابر این آسیب‌پذیری جدید اجرای کد از راه دور آسیب‌پذیر هستند.
برخی از توزیع‌های پرکاربرد و محبوب لینوکس، که در زیر ذکر شده است، در حال حاضر تحت تاثیر این آسیب‌پذیری قرار گرفته و بسیاری دیگر نیز به احتمال زیاد تحت تأثیر قرار خواهند گرفت.
Debian
Ubuntu
SUSE Linux
Fedora
NetBSD
Red Hat Enterprise Linux
علاوه بر این، سایر برنامه‌ها و دستگاه‌های آسیب‌پذیر (برخی از آنها در زیر ذکر شده است) که نرم افزار pppd را ارسال می‌کنند نیز گسترده است و احتمال حمله مهاجمان را افزایش می‌دهد.
Cisco CallManager
TP-LINK products
OpenWRT Embedded OS
Synology products
به کاربران دارای سیستم عامل و دستگاه‌های آسیب‌دیده توصیه می‌شود هرچه سریع‌تر وصله‌های امنیتی را اعمال کنند.
2 مراجع
[1] https://thehackernews.com/2020/03/ppp-daemon-vulnerability.html?m=1

19 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

اهداف مالی، همواره یکی از محرک های جدی برای مجرمان سایبری بوده است و همچنین همواره مهاجمان برای استخراج رمزارزها، اقدام به سوءاستفاده از قدرت محاسباتی سیستم های کاربران و سرورها کرده اند. استخراج رمزارزها از جمله روش هایی است که منجر به تولید آسان و بدون ریسک پول می شود؛ از این رو بدافزارهای استخراج کننده روی دستگاه ها در حال افزایش و روش ها و تکنیک های مورد استفاده برای این کار، در حال پیشرفت هستند. در این گزارش به بررسی یك بدافزار جدید برای استخراج رمزارزها به نام Lemon_Duck می پردازیم که از اکسپلویت Eternalblue برای انتشار در شبكه استفاده می کند.

دانلود پیوست

19 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

اخیرا محققان یک آسیب پذیری بحرانی در مودم های کابلی پیدا کرده اند که ممکن است صدها میلیون مودم را در سراسر جهان تحت تاثیر قرار دهد. این آسیب پذیری مربوط به سیستم های روی یک تراشه Broadcom است که در بسیاری از مودم های کابلی مورد استفاده قرار می گیرد، به ویژه در نرم افزارهایی برای مقاومت در برابر افزایش قدرت سیگنال، تحلیلگر spectrum را اجرا می کنند. در ادامه به بررسی بیشتر این آسیب پذیری خواهیم پرداخت.

دانلود پیوست

19 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

سازمان #NVIDIA در تاریخ 28 فوریه یک به‌روزرسانی امنیتی برای درایور GPU Display ارائه کرده که آسیب‌پذیری‌های مهم و بحرانی را برطرف می‌کند و در سیستم‌های ویندوزی آسیب‌پذیر می‌تواند منجر به حملات اجرای کد مخرب، ارتقای سطح دسترسی، افشای اطلاعات و منع سرویس شود. بهره‌برداری از حفره‌های امنیتی برطرف شده در این به‌روز‌رسانی فقط توسط کاربران محلی امکان‌پذیر است و مهاجمان از راه دور امکان بهره‌برداری از آسیب‌پذیری را ندارند.
همچنین به‌روزرسانی منتشر شده شامل دو آسیب‌پذیری با حساسیت متوسط درGPU Display و سه آسیب پذیری در نرم‌افزار گرافیکی vGPU است که می‌تواند منجر به حملات منع سرویس شود.

دانلود پیوست

17 اسفند 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

مهاجمان با بهره‌برداری از چندین #‫آسیب‌پذیری روز صفرم در سه افزونه مشهور وردپرسی، وبسایت‌های وردپرسی را هدف قرار دادند. این سه افزونه عبارت است از:
1. Async JavaScript: این افزونه با افزودن خاصیت Async به لینک‌های خارجی جاوا اسکریپت باعث به تاخیر افتادن لود آنها می‌شود و این امر سبب افزایش سرعت سایت وردپرسی خواهد شد.
2. Modern Events Calendar Lite: یک سیستم مدیریت رویداد و رزرواسیون که توانایی ایجاد بی‌نهایت رویداد در روزهای مختلف را دارد. از ویژگی‌های این افزونه می‌توان به طبقه‌بندی رویدادها، سیستم تکرار رویداد، تعیین مکان و سیستم شمارش معکوس رویداد اشاره کرد.
3. 10Web Map Builder for Google Maps: این افزونه امکان افزودن نقشه به سایت وردپرسی را فراهم می‌کند.
مهاجمان سایت‌های وردپرسی را از طریق بهره‌برداری از آسیب‌پذیری‌های متعدد XSS در سه افزونه‌های مذکور و با تزریق کد جاوا اسکریپت هدف قرار دادند. آسیب‌پذیری Cross-site scripting (XSS) به مهاجم اجازه تزریق کد مخرب جاوا اسکریپت را می‌دهد که با بازدید قربانی از وب سایت هدف، اجرا می‌شود. با اجرای کد مخرب، مهاجم با ساخت یک حساب آدمین و به نوعی ایجاد بکدور زمینه را برای حملات آینده فراهم می‌کند.
1 آسیب‌پذیری‌های روز صفرم در افزونه‌ها
اخیراً آسیب‌پذیری روز صفرم مشابه‌ی از نوع XSS در افزونه Flexible Checkout Fields for WooCommerce که به مهاجم اجازه تغییر تنظیمات افزونه را می‌داد، وصله شده است. آسیب‌پذیری XSS دیگری در افزونه Async JavaScript با تزریق یک payload مخرب، کدهای جاوا اسکریپت را زمانی که آدمین از قسمت‌های خاصی از داشبورد بازدید می‌کند، اجرا می‌کند. توسعه دهنده این افزونه که بیش از 100.000 نصب فعال دارد، بعد از گزارش این آسیب‌پذیری توسط Wordfence، وصله امنیتی آن را منتشر کرد.
به گزارش Wordfence سومین مورد آسیب‌پذیری XSS در افزونه 10Web Map Builder for Google Maps که بیش از 20.000 نصب فعال دارد، فرآیند نصب افزونه وجود دارد. توابع مربوط به نصب و راه‌اندازی افزونه در «admin_init» که بدون نیاز به احراز هویت در دسترس کاربران است، فراخوانی می‌شود. درنتیجه اگر مهاجم به مقدار مشخصی در تنظیمات افزونه، کد مخرب جاوا اسکریپت تزریق کند، با بازدید داشبورد توسط آدمین و یا بازدید سایت توسط خود کاربران کد مخرب اجرا می‌شود. به کاربران این افزونه توصیه می‌شود تا در اسرع وقت به به‌روزرسانی به نسخه 1.0.64 اقدام کنند.
آسیب‌پذیری گزارش شده در افزونه Modern Events Calendar Lite که بیش از 40.000 نصب فعال دارد، نیز از نوع XSS است. این افزونه actionهای AJAX متعددی برای کاربران لاگین شده ثبت می‌کند که به کاربران با دسترسی پایین امکان دستکاری داده‌ها و تزریق payloadهای XSS را فراهم می‌کند. این آسیب‌پذیری در در نسخه 5.1.7 برطرف شده است.
2 مراجع
[1] https://gbhackers.com/plugin-zeroday/

17 اسفند 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
وصله آسیب‌پذیری بحرانی در تراشه‌های MediaTek rootkit

شرکت #‫گوگل یک آسیب‌پذیری بحرانی را در تراشه‌های MediaTek rootkit وصله کرده است که میلیون‌ها دستگاه دارای این تراشه را تحت تآثیر قرار می‌دهد.
MediaTek یک شرکت بزرگ تولید کننده تراشه در تایوان است که تراشه‌هایی را برای ارتباطات بی‌سیم، تلویزیون‌های با وضوح بالا و دستگاه‌هایی مانند تلفن‌های هوشمند و تبلت‌ها تولید می‌کند.
آسیب‌پذیری MediaTek
این آسیب‌پذیری با شناسه "CVE-2020-0069" اولین بار توسط اعضای انجمن XDA کشف و شناسایی شد. این باگ از آوریل سال 2019 در اینترنت قرار گرفت و اکنون مهاجمان اکسپلویت آن را آغاز کرده‌اند.
سال گذشته شرکت MediaTek، وصله امنیتی را جهت رفع این آسیب‌پذیری منتشر کرد اما مهاجمان با نصب یک برنامه مخرب بر روی دستگاه، همچنان توانستند آن را مورد اکسپلویت قرار دهند. این اکسپلویت، تمام چیپست‌های 64 بیتی MediaTek شامل Motorola، OPPO، Sony، Alcatel، Amazon، ASUS، Blackview، Realme، Xiaomi و سایر دستگاه‌ها را تحت تآثیر قرار می‌دهد.


آسیب‌پذیری ذکر شده به هر کاربر اجازه می‌دهد تا دسترسی روت داشته باشد و به راحتی و تنها با کپی کردن این اسکریپت در یک پوشه موقت، ارائه مجوز اجرا و سپس اجرای آن، ماژول امنیتی SELinux لینوکس را در دستگاه خود نصب کند.
آسیب‌پذیری دیگری که توسط گوگل وصله شده است دارای شناسه اختصاصی " CVE-2020-0032" است که می‌تواند با استفاده از یک فایل ساختگی مخرب برای اجرای کد دلخواه در چارچوب یک فرآیند خاص، مورد اکسپلویت قرار گیرد.

17 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

به گفته محققان آزمایشگاه های تحقیقاتی #ESET، اخیراً یک آسیب پذیری جدی در تراشه های Wi-Fi کشف شده است که میلیاردها دستگاه در سراسر جهان را تحت تأثیر قرار می دهد. آسیب پذیری KrØØk مربوط به یک کلید رمزگذاری تمام صفر در تراشه های Wi-Fi است که ارتباطات دستگاه های آمازون، اپل، گوگل، سامسونگ و دیگر دستگاه ها را افشا می کند. این آسیب پذیری، به مهاجمان امکان می دهد تا بتوانند ارتباطات Wi-Fi را شنود کنند. در ادامه به بررسی بیشتر این آسیب پذیری خواهیم پرداخت.

برای دریافت پیوست کلیک نمایید

14 اسفند 1398 برچسب‌ها: مستندات مرجع
آسیب پذیری اجرای کد از راه دور در ZyXEL NAS

شرکت #Zyxel اعلام کرد که یک آسیب پذیری به شناسه CVE-2020-9054 در دستگاه ذخیره ساز متصل به شبکه یا NAS کشف کرده است که به مهاجم اجازه می دهد تا از راه دور و بدون احراز هویت کدهای مخرب را در دستگاه آسیب پذیر اجرا کند.
کد بهره برداری از این آسیب پذیری به صورت عمومی منتشر شده است.
دستگاه های ZyXEL NAS با استفاده از برنامه weblogin.cgi احراز هویت انجام می دهند. آسیب پذیری در این برنامه که در قسمت وارد کردن نام کاربری وجود دارد باعث می شود که مهاجم بتواند کاراکترهای خاصی را در این قسمت وارد کند و به این ترتیب کدهای مخرب را از این طریق به دستگاه تزریق کند. با اینکه در این حالت وب سرور با دسترسی root فعال نیست ولی مهاجم می تواند با تنظیم uid، دسترسی خود را به کاربر root تغییر دهد و با بالاترین سطح دسترسی کدهای دلخواه خود را اجرا کند.
به طور کلی دستگاه های NAS که نسخه firmware آن ها 5.21 و قبل از آن می باشد آسیب پذیر هستند. ZyXEL برای مدل¬های زیر به روز رسانی منتشر کرده است بنابراین به کاربران این مدل از NAS ها توصیه می شود تا هرچه سریع¬تر این به روز رسانی را نصب کنند:
• NAS326
• NAS520
• NAS540
• NAS542
اما ZyXEL برای مدل های زیر به روز رسانی منتشر نکرده است چون دیگر از این مدل ها پشتیبانی نمی کند. بنابراین به کاربران این مدل از NAS ها که در زیر نام برده شده توصیه می شود تا در صورت امکان دسترسی این تجهیزات از اینترنت را قطع کنند و یا برای امن سازی، آن را در پشت فایروال قرار دهند.
• NSA210, NSA220, NSA220+, NSA221, NSA310, NSA310S, NSA320, NSA320S, NSA325 and NSA325v2

منبع
https://www.zyxel.com/support/remote-code-execution-vulnerability-of-NAS-products.shtml

14 اسفند 1398 برچسب‌ها: اخبار
آسیب پذیری در Microsoft Exchange ( CVE-2020-0688 ) و روش های تشخیص نفوذ

شرکت #‫مایکروسافت اخیراً وصله امنیتی را برای تمامی نسخه های Microsoft Exchange انتشار داده است که این وصله امنیتی یک نقص اجرای کد از راه دور (RCE) را مرتفع می سازد. این نقص به مهاجم این امکان را می دهد تا با ارسال payload دستکاری شده بتواند دستورات خود را در سرور اجرا کند. محققین اکسپلویت و کد مخرب بهره برداری از این آسیب پذیری را در تاریخ 24 فوریه 2020 منتشر کرده اند.
این آسیب پذیری بر روی Exchange Control Panel(ECP) تاثیرگذار خواهد بود و در تمامی نسخه های Exchange Server به دلیل داشتن کلید اعتبارسنجی و الگوریتم یکسان بر روی فایل web.config صدق می کند. آسیب پذیری بصورت authenticated است و مهاجم برای اجرا، نیازمند اطلاعات ورود به یک حساب کاربری می باشد.
نحوه عملکرد Exploit
ابتدا Exploit از طریق یک درخواست post از طریق /owa/auth.owa احراز هویت می شود. این درخواست post حاوی نام کاربری و رمز عبور معتبر است. پس از احراز هویت موفق، Exploit از صفحه ecp/default.aspx/ درخواست می کند تا محتوای --VIEWSTATEGENERATOR و ASP.NET.SessionID را بدست آورد. با استفاده از اطلاعات به دست آمده از --VIESTATEGNERATOR این بار Exploit یک payload سریالی را که حاوی دستورات مخرب است ساخته و سپس به /ecp/default.aspx ارسال می کند.
لیست زیر صفحاتی هستند که تحت تاثیر این آسیب پذیری قرار می گیرند:
• /ecp/default.aspx
• /ecp/PersonalSettings/HomePage.aspx
• /ecp/PersonalSettings/HomePage.aspx4E
• /ecp/Organize/AutomaticReplies.slab
• /ecp/RulesEditor/InboxRules.slab
• /ecp/Organize/DeliveryReports.slab
• /ecp/MyGroups/PersonalGroups.aspx
• /ecp/MyGroups/ViewDistributionGroup.aspx
• /ecp/Customize/Messaging.aspx
• /ecp/Customize/General.aspx
• /ecp/Customize/Calendar.aspx
• /ecp/Customize/SentItems.aspx
• /ecp/PersonalSettings/Password.aspx
• /ecp/SMS/TextMessaging.slab
• /ecp/TroubleShooting/MobileDevices.slab
• /ecp/Customize/Regional.aspx
• /ecp/MyGroups/SearchAllGroups.slab
• /ecp/Security/BlockOrAllow.aspx
نحوه تشخیص نفوذ
• Event Logs
این Exploit یک رویدادSYSMON با شماره 4 را در لیست رویدادهای برنامه (Application logs) ایجاد می کند. پیام ERROR که در لیست رویدادها وجود دارد، شامل صفحه هدف و همچنین Payload سریالی می باشد. از آنجا که می تواند چندین صفحه را مورد هدف قرار دهد، هشدار بر روی آدرس های /ecp/root که دارای متغیر بزرگ _VIEWSTATE باشد می تواند برای شناسایی آن مثمر ثمر واقع شود.


• IIS Logs
اولین شاخص شناسایی، گروهی از درخواست ها در log می باشد که با درخواست های post به مقصد /owa/auth.owa شروع می-شود و پس از آن درخواست های متعدد GET به یکی از URL های هدف که پیش تر لیستی از آنها آورده شده اتفاق می افتد که یکی از آن ها حاوی متغیر --VIEWSTATE می باشد. _VIEWSTATE هرگز نباید به عنوان بخشی از درخواست های GET ارسال شود.


2020-02-27 16:23:01 172.24.0.11 POST /owa/auth.owa &CorrelationID=;&cafeReqId=9cbf6d69-3637-4259-8156-af22cd591e77;&encoding=; 443 testexchange\user 172.24.0.51 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10.15;+rv:73.0)+Gecko/20100101+Firefox/73.0 - 302 0 0 0

2020-02-27 16:23:01 172.24.0.11 GET /ecp &CorrelationID=;&cafeReqId=bbdc52ec-fc63-44e5-8c04-ece4e94dcc79; 443 testexchange\user 172.24.0.51 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10.15;+rv:73.0)+Gecko/20100101+Firefox/73.0 - 302 0 0 0

2020-02-27 16:23:01 172.24.0.11 GET /ecp/ &CorrelationID=;&cafeReqId=242a7cc1-b320-466d-af4c-5f2212509a9a; 443 testexchange\user 172.24.0.51 Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10.15;+rv:73.0)+Gecko/20100101+Firefox/73.0 - 200 0 0 78

2020-02-27 16:23:01 172.24.0.11 GET /ecp/default.aspx &CorrelationID=;&cafeReqId=01f49b9c-2fd9-498a-9092-7dcb7b344940; 443 testexchange\user 172.24.0.51 python-requests/2.23.0 - 200 0 0 15

2020-02-27 16:23:02 172.24.0.11 GET /ecp/default.aspx __VIEWSTATEGENERATOR=B97B4E27&__VIEWSTATE=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%2BDQoJIDxPYmplY3REYXRhUHJvdmlkZXIgeDpLZXk9IiIgT2JqZWN0VHlwZSA9ICJ7IHg6VHlwZSBEaWFnOlByb2Nlc3N9IiBNZXRob2ROYW1lID0gIlN0YXJ0IiA%2BDQogICAgIDxPYmplY3REYXRhUHJvdmlkZXIuTWV0aG9kUGFyYW1ldGVycz4NCiAgICAgICAgPFN5c3RlbTpTdHJpbmc%2BY2FsYy5leGU8L1N5c3RlbTpTdHJpbmc%2BDQogICAgIDwvT2JqZWN0RGF0YVByb3ZpZGVyLk1ldGhvZFBhcmFtZXRlcnM%2BDQogICAgPC9PYmplY3REYXRhUHJvdmlkZXI%2BDQo8L1Jlc291cmNlRGljdGlvbmFyeT4LKJT2EDKmhAvFcl3ptWKG6YNkbYw%3D&CorrelationID=;&cafeReqId=006227a0-2591-4b6a-b505-004c65649d15; 443 testexchange\user 172.24.0.51 python-requests/2.23.0 - 500 0 0 46

• PROCESS EXECUTION
زمانی که Exploit، payload خود را به سمت سرور ارسال می کند، IIS WORKER دستورات مخرب را با پروسسی زیر مجموعه پروسس w3wp.exe اجرا می کند. در تصویر زیر می تواند مشاهده کنید که پروسس مخرب! calc.exe به عنوان یک پروسس زیر مجموعه (child) پروسس w3wp.exe با سطح دسترسی SYSTEM در حال اجرا است.

رویداد های دیگر و محل دستیابی به آن ها
Exchange Server استثنائات (Exception) را در مسیر دایرکتوری زیر ثبت می کند:
c:\ program Files\Microsoft\Exchange Server\V15\Logging\ECP\ServerException\
این فهرست شامل درخواست های GET مخرب به همراه String query مربوطه است. محتوای این پرونده می تواند شامل پرونده های log هنگام اجرای POC باشد.

14 اسفند 1398 برچسب‌ها: اخبار
صفحات: « 1 2 3 4 5 ... » »»