فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫آسیب‌پذیری جدید #GhostCat با شدت بحرانی بر روی سرور‌های Apache Tomcat تاثیر می‌گذارد. در این گزارش به بررسی این آسیب‌پذیری می‌پردازیم.
اگر وب سروری روی ‌Apache Tomcat اجرا می‌شود، باید برای جلوگیری از کنترل غیرمجاز هکرها، فوراً به آخرین نسخه موجود آن ارتقا داده شود. همه‌ی نسخه‌های (9.x/8.x/7.x/6.x) منتشر شده در 13 سال گذشته در Apache Tomcat، نسبت به آسیب‌پذیری « file read and inclusion» با شدت بحرانی (CVSS 9.8) آسیب‌پذیر هستند که امکان بهره‌برداری از آن در صورتی که پیکربندی پیش‌فرض تغییر نکرده باشد وجود دارد.این موضوع از آن جهت قابل توجه است که چندین بهره‌برداری از این آسیب‌پذیری در اینترنت منتشر شده ‌است و دسترسی مهاجمان به وی سرورهای آسیب‌پذیر را از همیشه آسان‌تر می‌سازد.
این آسیب‌پذیری موسوم به GhostCat و با شناسه CVE-2020-1938 به مهاجمان اجازه می‌‌دهد که بدون نیاز به احراز هویت به محتوای هر فایل موجود در سرور‌های آسیب‌پذیر دسترسی پیدا کنند، فایل‌های پیکر‌بندی حساس یا سورس کد را بدست آورند، یا اگر سرور اجازه آپلود فایل دهد، کد دلخواه خود را اجرا کنند.
1 آسیب‌پذیری GhostCat چیست و چگونه کار می‌کند؟
به گفته محققان در شرکت چینی Chaitin Tech، این آسیب‌پذیری در پروتکل AJP در نرم افزار Apache Tomcat وجود دارد که از مدیریت نادرست یک attribute ناشی می‌شود. اگر سایت به کاربران اجازه آپلود فایل دهد، مهاجم ابتدا می‌تواند با آپلود یک اسکریپت کد مخرب JSP به سرور (فایل آپلود شده می‌تواند از نوع تصاویر، فایل‌های متنی ساده و غیره باشد)، آن را به GhostCat آلوده کند که در نهایت می‌تواند منجر به اجرای کد از راه دور شود.
پروتکل Apache JServ(AJP) در اصل یک نسخه بهینه شده از پروتکل HTTP است که به Tomcat امکان برقراری ارتباط با یک وب سرور Apache را می‌دهد.
2 هک Apache Tomcat
پروتکل AJP به طور پیش فرض فعال است و به پورت TCP 8009 گوش می‌دهد، که محدود به آدرس IP 0.0.0.0 است و فقط مشتریان غیر قابل اعتماد می‌توانند از راه دور از آن بهره‌برداری کنند.
بر اساس موتور جستجو onyphe (مربوط به داده‌های هوش تهدید سایبری و متن باز)، بیش از 170،000 دستگاه وجود دارد که در زمان نوشتن یک AJP Connector از طریق اینترنت، در معرض دید همه قرار می‌گیرند.
3 نسخه های Tomcat تحت تاثیر :

• Apache Tomcat 9.x < 9.0.31
• Apache Tomcat 8.x < 8.5.51
• Apache Tomcat 7.x < 7.0.100
• Apache Tomcat 6.x

4 وصله کردن آسیب‌پذیری Apache Tomcat
محققان Chaitin این نقص را در ماه گذشته به پروژه Apache Tomcat گزارش کردند و اکنون نسخه‌های 9.0.31، 8.5.51 و 7.0.100 از Apache Tomcat برای وصله کردن این آسیب‌پذیری منتشر شده است.
آخرین نسخه منتشر شده از این محصول دو مشکل دیگر از قاچاق (Smuggling) درخواست HTTP (CVE-2020-1935 و CVE-2019-17569) را رفع کرده‌اند.
به آدمین وب اکیداً توصیه می‌کنند که هر چه سریع‌تر نرم‌افزار خود را به روز‌رسانی کرده و هرگز پورت AJP را افشا نکنند چراکه AJP درحالیکه باید در یک شبکه قابل اعتماد ارتباط برقرار کند از طریق کانال نا‌امن ارتباط برقرار می‌کند.
کاربران باید توجه داشته باشند که در تنظیمات پیش‌فرض AJP Connector در نسخه 9.0.31 تغییراتی ایجاد شده‌است که تنظیمات پیش‌فرض را مشکل‌تر کند. احتمال دارد کاربران در به روز‌رسانی 9.0.31 یا نسخه‌های بعد از آن نیاز به ایجاد تغییرات کوچکی در تنظیمات خود داشته باشند.
اگر به دلایلی نتوانید سرور وب خود را فوراً به روز‌رسانی کنید، می‌توانید اتصال AJP را مستقیماً غیرفعال کرده یا آدرس گوش دادن آن را به localhost تغییر دهید.


5 مرجع
[1] https://thehackernews.com/2020/02/ghostcat-new-high-risk-vulnerability.html

14 اسفند 1398 برچسب‌ها: اخبار, هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

بدافزار جدید Mozartکه دستورات را گرفته و ترافیک را با استفاده از DNS پنهان می‌کند.

یک بدافزار دربِ‌پشتی جدید به نام #Mozart با استفاده از پروتکل DNS با مهاجمین از راه دور ارتباط برقرار می‌کند تا از شناسایی‌شدن توسط نرم‌افزارهای امنیتی و سیستم‌های تشخیص نفوذ، جلوگیری کند.
معمولاً وقتی یک بدافزار برای دریافت دستوراتی که باید اجرا شود با سرور ارتباط می‌گیرد، این کار را با استفاده از پروتکل‌های HTTP/S برای سهولت استفاده و ارتباط انجام می‌دهد.
با این وجود، استفاده از ارتباط HTTP/S برای برقراری ارتباط، اشکالاتی دارد، زیرا نرم‌افزارهای امنیتی معمولاً ترافیک را برای فعالیت‌های مخرب نظارت می‌کنند. در صورت شناسایی توسط نرم‌افزار امنیتی، اتصال و بدافزاری که درخواست HTTP/S را دارد، مسدود می‌کند.
در دربِ‌پشتی جدید Mozart که توسط MalwareHunterTeam کشف شده است، این بدافزار از DNS برای دریافت دستورالعمل از مهاجمین و جلوگیری از شناسایی‌شدن، استفاده می‌کند.

دانلود پیوست

12 اسفند 1398 برچسب‌ها: گزارشات تحلیلی
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫گوگل به روزرسانی جدیدی برای مرورگر کروم برای کاربران دسکتاپ منتشر کرده است. نسخه جدید این مرورگر (80.0.3987.122) سه آسیب‌پذیری مهم را برطرف می‌کند که یکی از آنها با شناسه CVE-2020-6418 توسط مهاجمان نیز مورد بهره‌برداری قرار گرفته بود. خلاصه‌ای از سه آسیب پذیری برطرف شده به شرح زیر است:
1. سرریز داخلی در ICU
2. دسترسی خارج از محدوده‌ی حافظه در جریان‌ها (CVE-2020-6407)
3. Type confusion در V8 با شناسه CVE-2020-6418
مهاجم با بهره‌برداری از آسیب‌پذیری‌های سرریز داخلی و دسترسی خارج از محدوده‌ی حافظه می‌تواند سیستم آلوده قربانی را تحت کنترل بگیرد؛ به طوری که با فریب کاربر برای بازدید از یک سایت مخرب که از بهره‌برداری دو آسیب پذیری مذکور کمک می‌گیرد امکان اجرای کد دلخواه در سیستم قربانی وجود دارد.آسیب‌پذیری Type confusion نیز در موتور تفسیر جاوااسکریپ V8 وجود داشت که همزمان بصورت فعال مورد بهره‌برداری مهاجمان قرار گرفته بود. لازم به ذکر است که جزییات فنی این آسیب‌پذیری تا کنون به صورت دقیق منتشر نشده است.
آسیب‌پذیری سرریز داخلی توسط André Bargull کشف و بصورت خصوصی به گوگل گزارش شده بود درحالیکه دو آسیب‌پذیری دیگر توسط تیم امنیتی گوگل شناسایی شده بودند.
گوگل جزییات سه آسیب‌پذیری مذکور را منتشر نکرده است تا کاربرانی که تحت تاثیر این آسیب‌پذیری‌ها هستند به روزرسانی منتشر شده را دریافت کنند. درنتیجه به کاربران مرورگر Google Chrome توصیه می‌شود هر چه سریع‌تر به به‌روزرسانی از طریق لینک زیر اقدام کنند:
https://support.google.com/chrome/answer/95414?co=GENIE.Platform%3DDesktop&hl=en

12 اسفند 1398 برچسب‌ها: اخبار
سوءاستفاده هکرها از ترس مردم از ویروس کرونا

با توجه به شیوع ویروس #‫کرونا که در این روزها بسیار مردم را وحشت زده کرده است هکرهای کلاه سیاه نیز از این موقعیت سوءاستفاده‌های خود را انجام داده و با استفاده از حملات گسترده مهندسی اجتماعی اقدام به سرقت اطلاعات و ... می‌کنند.
ترس از این ویروس باعث شده که مردم به مطالعه مستندات مختلف بپردازند تا اطلاعات خود را در مورد این ویروس و روشهای پیشگیری و ... آن افزایش دهند. حال هکرها از این موقعیت با ارسال ایمیل‌ها و مستندات آلوده انبوه مختلف با موضوعات تحریک‌آمیز و استفاده از شبکه‌های اجتماعی می‌توانند سوءاستفاده‌های لازم را به منظور دستیابی به اهداف خود داشته باشند که در زیر سعی می‌کنیم این روش‌ها را همراه با روش‌های مقابله نام ببریم:
• ایجاد مستندات Microsoft Office آلوده به بدافزار
• ایجاد مستندات PDF آلوده به بدافزار
• ایجاد لینک‌های آلوده به بدافزار
• ایجاد اپلیکیشن‌های آلوده
• ایمیل‌های آلوده و یا جعلی
• آسیب‌پذیری‌های سیستم‌عامل و نرم‌افزارها

• ایجاد مستندات Microsoft Office آلوده به بدافزار
در صورتی که در فایل Word از کدهای VBA استفاده شده باشد پیغامی به شکل زیر برای کاربران نمایش داده می‌شود که از کاربر درخواست فعال کردن محتوای کدهای ماکرو را دارد. این کدها ممکن است که توسط هکر نوشته شده و حاوی یک کد مخرب باشد. پس در صورت اجرای فایل‌های مجموعه Microsoft Office به هیچ عنوان ماکروها را فعال نکنید.

دانلود پیوست

12 اسفند 1398 برچسب‌ها: اخبار
ObliqueRAT RAT جدیدی که از طریق اسناد office توزیع شده و سازمان‌های دولتی را هدف قرار می‌دهد.

اخیراً #‫بدافزار مخرب جدیدی به‌نام ObliqueRAT با استفاده از اسناد مخرب مایکروسافت آفیس سازمان‌های دولتی در جنوب شرقی آسیا را هدف قرار داده است. محققان بر این باورند که کمپین گسترش ObliqueRAT با کمپین CrimsonRAT مرتبط است زیرا همان ناهنجاری‌ها و کد‍‌ها‌ی مخرب را به اشتراک می‌گذارند.
در این کمپین، مهاجمان برای ارائه بدافزار ObliqueRAT از پیام‌هایی در قالب ایمیل فیشینگ با اسناد مخرب پیوست شده به فایل‌های مایکروسافت آفیس استفاده می‌کنند.

گسترش ObliqueRAT
این بدافزار در قالب اسناد مخرب پیوست شده به فایل‌های مایکروسافت آفیس با نام فایل‌های
" Company-Terms.doc& DOT_JD_GM.doc " به سیستم کاربر می‌رسد.
اگر کاربر این اسناد را باز کند، برای مشاهده‌ محتویات سند به رمز عبور نیاز دارد. پس از وارد کردن رمز عبور صحیح، اسکریپت VB در اسناد مخرب فعال می‌شود.

اسکریپت مخرب سپس میانبری را در دایرکتوری Start-Up ایجاد می‌کند تا در صورت راه‌اندازی مجدد دستگاه، به ماندگاری دست یابد.
مرحله دوم payload، ObliqueRAT است که دارای ویژگی‌ها و کارکردهای مختلفی‌ست، RAT با سرور C&C ارتباط برقرار می‌کند و سپس دستورات را اجرا می‌کند.
این بدافزار فرآیندی به نام “Oblique” را که بر روی دستگاه آلوده اجرا می‌شود، بررسی می‌کند و اگر فرآیند درحال اجرا باشد، RAT اجرا را قطع می‌کند.
در مرحله بعد، اطلاعات سیستم را جمع‌آوری کرده و به سرور C&C ارسال می‌شود. همچنین، این بدافزار فهرستی از نام‌های کاربری و نام‌های رایانه‌هایی که در لیست‌سیاه هستند، دارد.
اگر مقادیر لیست‌سیاه مطابقت یابد، اجرای آن بر روی رایانه آلوده متوقف می‌شود. این بررسی برای جلوگیری از اجرای بدافزار در سیستم تشخیص مبتنی بر Sandbox است.
ارتباط بین سرور C&C بصورت کدگذاری شده‌است که آدرس‌IP C&C و شماره پورت را مخفی می‌کند. همچنین کدهای مختلف فرمان را از سرور کنترل دریافت می‌کنند و عملکردهایی را انجام می‌دهند.
محققان Cisco Talos همچنین "نوع دیگری از حمله ObliqueRAT که از طریق یک dropper مخرب توزیع شده‌است را کشف کرده‌اند. dropper مخرب شامل دو فایل EXE تعبیه شده در آن است که در حین اجرا در دیسک دانلود می‌شوند تا تکثیر و فاعلیت مخرب را تکمیل کنند. "

قابلیت‌های ObliqueRAT:
• قادر به اجرای دستورات بر روی سیستم آلوده
• جمع‌آوری اطلاعات و دریافت فایل‌ها از سیستم کاربر
• توانایی یک مهاجم برای افزودن فایل‌های مختلف در سیستم قربانی
• قادر به غیرفعال کردن هر فرآیند در حال اجرا در سیستم قربانی

12 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

یک آسیب‌پذیری بحرانی با شناسه CVE-2020-8794 از نوع اجرای کد از راه دور (RCE) در OpenSMTPD کشف شده است. این آسیب‌پذیری به مهاجمان از راه دور این امکان را می‌دهد تا سیستم‌عامل‌های لینوکس و سرورهای ایمیلی که BSD را اجرا می‌کنند، تحت کنترل بگیرند. OpenSMTPD که به نام OpenBSD SMTP نیز معروف است یک پیاده‌سازی متن باز سمت سرور از پروتکل SMTP است که به سیستم‌هایی که از SMTP پشتیبانی نمی‌کند امکان تبادل ایمیل با سرورهای ایمیل SMTP را می‌دهد.
این پیاده‌سازی در ابتدا به عنوان بخشی از پروژه OpenBSD توسعه داده شد اما در حال حاضر به صورت جداگانه روی تعداد زیادی از سیستم‌های مبتنی بر UNIX به صورت از قبل نصب شده عرضه می‌شود.
درباره‌ی آسیب‌پذیری
محققان امنیتی در آزمایشگاه تحقیقاتی Qualys که پیش‌تر آسیب‌پذیری مشابه‌ی با شناسه CVE-2020-7247 را کشف کرده بودند، هم اکنون آسیب‌پذیری دیگری در کامپوننت سمت کاربر OpenSMTPD که پنج سال پیش معرفی شده بود، کشف کردند. مشابه آسیب‌پذیری قبلی که مهاجمان درست یک روز بعد از انتشار آن بهره‌برداری از آن را آغاز کردند، این آسیب‌پذیری نیز امکان اجرای دستور از راه دور با هر سطح دسترسی (روت یا غیره) در سرورهای آسیب‌پذیر را فراهم می‌کند.
از آنجایی که این آسیب‌پذیری در کد سمت کاربر وجود دارد، دو سناریو زیر برای بهره‌برداری وجود دارد:
1. بهره‌برداری در سمت کاربر: آسیب‌پذیری در تنظیمات پیش فرض OpenSMTPD، از راه دور قابل بهره‌برداری است. چراکه OpenSMTPD به صورت پیش فرض ایمیل‌های دریافتی از سمت کاربران محلی (local users) را پذیرفته و به سرور ارسال می‌کند درنتیجه اگر سرور تحت کنترل مهاجم باشد (با حملات مرد میانی، DNS، یا حملات BGP)، مهاجم می‌تواند دستورات دلخواه خود را روی OpenSMTPD آسیب‌پذیر اجرا کند.
2. بهره‌برداری در سمت سرور: در ابتدا مهاجم باید به سرور OpenSMTPD متصل شود و با ارسال یک ایمیل یک bounce تولید کند؛ سپس زمانیکه سرور OpenSMTPD به سرور ایمیل مهاجم متصل می‌شود تا bounce مذکور را تحویل دهد، مهاجم می‌تواند از آسیب‌پذیری سمت کاربر استفاده کند. در آخر برای اجرای دستورات شل، مهاجم باید با اختلال در کارکرد OpenSMTPD موجب راه‌اندازی مجدد آن شود.
بهره‌برداری
محققان امنیتی بهره‌برداری ساده‌ای برای این آسیب‌پذیری تهیه کرده‌اند که در موارد زیر موفقیت‌آمیز بوده است:
• OpenBSD 6.6 (نسخه حال حاضر)
• OpenBSD 5.9 (اولین نسخه آسیب‌پذیر)
• Debian 10
• Debian 11
• Fedora 31
نتیجه آزمایش بهره‌برداری مذکور روی OpenSMTPD 6.6.3p1 به شرح زیر است:
اگر تابع «mbox» برای تحویل محلی ایمیل‌ها (که پیش فرض OpenBSD است) استفاده شود، اجرا دستورات دلخواه با سطح دسترسی روت همچنان امکان‌پذیر است. اما در صورتی که به عنوان مثال تابع maildir استفاده شود اجرای دستورات از راه دور فقط توسط کاربران غیر روت امکان‌پذیر است.
محققان Qualys دو روز به کاربرانی که نسخه‌های آسیب‌پذیر را اجرا می‌کنند مهلت داده تا نسبت به اعمال وصله امنیتی اقدام کنند. درنتیجه اگر از نسخه‌های آسیب‌پذیر سرورهای لینوکس یا BSD استفاده می‌کنید نسبت به دانلود و نصب OpenSMTPD 6.6.4 و وصله امنیتی اقدام کنید.

12 اسفند 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
ایجاد‌کننده اطلاع‌رسانی‌ها

نزدیک به ده ماه طول کشید تا محققان امنیتی موفق به کشف روشی برای پاکسازی دستگاه‌های هوشمند اندرویدی از این بدافزار#xHepler شدند؛ بدافزاری که تا به حال حذف آن غیرممکن بود.
درباره‌ی بدافزار
بدافزار xHelper نخستین بار در مارس 2019 زمانی که کاربران از برنامه‌ای ناشناخته روی گوشی اندرویدی خود خبر دادند که حتی با برگشتن به تنظیمات کارخانه نیز حذف نمی‌شد، شناسایی شد. این برنامه مخرب روی گوشی تلفن همراه تبلیغات ناخواسته نمایش می‌دهد. منابعی که xHelper ممکن از آن بارگیری شده باشد بطور دقیق مشخص نیست اما طبق گفته محققان امنیتی منبع اصلی، «web redirect»هایی بودند که کاربران را به صفحات وب مخرب هدایت می‌کردند. این صفحات مخرب امکان دانلود برنامه‌های اندرویدی مخرب را فراهم می‌کردند. درنهایت این برنامه‌های مخرب اندرویدی تروجان xHelper را دانلود و نصب می‌کنند.
بدافزار xHelper با هر بار بازگشتن دستگاه اندرویدی به تنظیمات کارخانه حذف می‌شود اما بعد از چند ساعت بدون نیاز به تعامل با کاربر مجدداً به صورت خودکار نصب می‌شود. تنها راه برای پاکسازی دستگاه از این بدافزار flash کردن دستگاه و نصب مجدد سیستم عامل اندروید بر روی آن است که البته اعمال این روش برای همه‌ی کاربران امکان پذیر نیست چراکه اکثرا به طور صحیح به firmware image سیستم عامل اندرویدی دسترسی ندارند.
روش پاکسازی
به گزارش Malwarebytes این بدافزار از فرآیندی در برنامک Google Play Store برای نصب مجدد خود استفاده می‌کند؛ همچنین به کمک دایرکتوری‌های خاصی که در دستگاه اندرویدی می‌سازد فایل APK خود را روی دیسک ذخیره می‌کند تا امکان حذف آن از طریق بازگشت به تنظیمات کارخانه وجود نداشته باشد چرا که با بازگشت به تنظیمات کارخانه برنامه‌های دستگاه اندرویدی حذف می‌شود اما فایل‌ها و دایرکتوری‌ها باقی می‌مانند.
به گفته‌ی Nathan Collier محقق امنیتی در Malwarebytes، زمانی که برنامه Google Play Store عملیاتی شبیه به اسکن را شروع می‌کند، بدافزار، مجدداً و به صورت خودکار خود را نصب می‌کند.
با پنج قدم زیر می‌توان از نصب مجدد این بدافزار جلوگیری کرد:
1. نصب برنامه مدیریت فایلی (file manager) که امکان جستجوی فایل‌های و دایرکتوری‌ها را دارد.
2. متوقف کردن موقت برنامه‌ی Google Play Store برای جلوگیری از نصب مجدد xHelper
• مراجعه به قسمت تنظیمات -> برنامه‌ها -> Google Play Store
• فشردن دکمه غیرفعال (Disable)
3. جستجوی عبارت com.mufc در برنامه مدیریت فایل
4. در صورت یافتن، فایل‌ها را به ترتیب تاریخ مرتب کرده و هر گروهی از فایل‌ها را که با com.mufc آغاز می‌شود و تاریخ یکسان دارند (به جز دایرکتوری‌های اصلی core مانند Download) حذف کنید.
5. فعال کردن مجدد برنامه Google Play Store

12 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

#‫گوگل یک به‌روزرسانی جدید جهت رفع سه نقص امنیتی در مرورگر کروم منتشر ساخته است که در آن یک آسیب‌پذیری روز صفرم را که تحت حملات فعال است، برطرف ساخته است.
این سه آسیب‌پذیری که در آخرین نسخه‌ی کروم، 80.03987.122، برطرف شده‌اند عبارتند از آسیب‌پذیری سرریز عدد صحیح در ICU ، دسترسی خارج از محدوده به حافظه در جریان‌ها با شناسه‌ی CVE-2020-6407 و آسیب‌پذیری به همریختگی نوع در V8 (مؤلفه‌ای در کروم که مناسب پردازش کد جاوااسکریپت است) با شناسه‌ی CVE-2020-6418.
آسیب‌پذیری به همریختگی نوع در V8، یک نقص روز صفرم است که متأسفانه پیش از آنکه گوگل آن را ردیابی و برطرف کند، توسط کلاهبردان مورد سوءاستفاده قرار گرفته است و تحت حملات فعال است.
به همریختگی نوع به اشکالات کدگذاری اشاره می‌کند که در طی آن، یک برنامه، عملیات اجرای داده‌ها را بااستفاده از ورودی یک «نوع» خاص مقداردهی اولیه می‌کند، اما به گونه‌ای فریب میخورد که با ورودی به عنوان یک «نوع» متفاوت رفتار می‌کند. به همریختگی نوع منجر به خطاهای منطقی در حافظه‌ی برنامه‌ی کاربردی می‌شود و می‌تواند موقعیتی درست کند که مهاجم بتواند کد مخرب نامحدودی را درون یک برنامه‌ی کاربردی اجرا کند. به گفته‌ی گوگل، اطلاعات فنی مربوط به این آسیب‌پذیری در حال حاضر محدود است.
سوءاستفاده‌ی موفق از آسیب‌پذیری‌های سرریز عدد صحیح و نوشتن خارج از محدوده، یک مهاجم راه دور را قادر می‌سازد تا یک سیستم آسیب‌پذیر را با فریب‌دادن کاربر به بازدید یک صفحه وب ساختگی خاص که از این سوءاستفاده برای اجرای کد دلخواه استفاده می‌کند، به خطر اندازد.
این به‌روزرسانی برای کاربران ویندوز، MacOS و لینوکس موجود است؛ اما برای iOS، Chrome OS و اندروید هنوز وصله منتشر نشده است.
به کاربران ویندوز، لینوکس و MacOS توصیه می‌شود آخرین نسخه‌ی کروم را با رفتن به قسمت Help-> About Chrome از منوی تنظیمات، دانلود و نصب کنند.

12 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

محققان امنیتی، گونه‌ی جدیدی از بدافزار اندرویدی را کشف کردند که می‌تواند رمزهای یک‌بارمصرف (OTP) تولید‌شده توسط "Google Authenticator" را استخراج و به‌سرقت ببرد.
Google Authenticator یک برنامه‌ی تلفن همراه است که از سال 2020 به‌عنوان یک لایه‌ی احراز هویت دو عاملی (2FA) برای بسیاری از حساب‌های آنلاین استفاده می‌شود. کار این برنامه، تولید کدهای منحصربه‌فرد شش تا هشت‌رقمی است که کاربران باید هنگام دسترسی به حساب‌های برخط و فرم‌های ورود به سیستم، آن‌ها را وارد کنند.
گوگل، Authenticator را به‌عنوان گزینه‌ای برای رمزهای یک‌بار مصرف مبتنی بر پیام کوتاه راه‌اندازی کرد. از آنجایی که کدهای Google Authenticator در تلفن هوشمند کاربر ایجاد می‌شوند و هرگز از شبکه‌های تلفن همراه ناامن عبور نمی‌کنند، حساب‌های برخطی که از کدهای Authenticator به‌عنوان لایه‌های 2FA استفاده می‌کنند، امنیت بالایی دارند.
اما محققان امنیتی اخیراً در نمونه‌های جدید تروجان Cerberus که یک تروجان نسبتاً جدید بانکی اندرویدی است، قابلیت سرقت رمزهای یک‌بار مصرف را کشف کرده‌اند.
این تروجان که از ماه ژوئن سال 2019 شروع به‌کار کرده است، اکنون می‌تواند با سوءاستفاده از امتیازات دسترسی، کدهای 2FA را نیز از برنامه‌ی Google Authenticator به‌سرقت ببرد.
به‌گفته‌ی محققان، وقتی برنامه‌ی Authenticator در حال اجرا است، این تروجان می‌تواند محتوای رابط را دریافت کند و آن‌را به کارگزار کنترل و فرمان ارسال کند.
نسخه‌های فعلی تروجان بانکی Cerberus بسیار پیشرفته هستند. این تروجان دارای همان ویژگی‌هایی است که معمولاً در تروجان‌های دسترسی از راه دور (RATها)، یافت می‌شوند. این ویژگی‌های RAT به اپراتورهای Cerberus اجازه می‌دهند تا از راه دور به یک دستگاه آلوده متصل شوند، از اعتبارنامه‌ی بانکی مالک استفاده کنند تا به یک حساب بانکی برخط دسترسی پیدا کنند و سپس از ویژگی Authenticator OTP-stealing برای دورزدن محافظت 2FA بر روی حساب استفاده کنند.
این تروجان همچنین دارای ویژگی گرفتن قفل صفحه است که از هم‌پوشانی استفاده می‌کند و این امکان را برای مهاجمین فراهم می‌کند که از RAT داخلی برای بازکردن قفل دستگاه‌های اندرویدی قربانیان خود استفاده کنند.
Cerberus حتی می‌تواند خودش را در قالب یک لینک مربوط به نرم‌افزار TeamViewer نیز درآورد؛ بنابراین هکرها می‌توانند گوشی قربانی را بررسی کنند و هر زمانی که بلااستفاده بود، کنترل آن‌را به‌دست بگیرند. این بدان معناست که پیام‌های متنی، حساب‌های کاربری شبکه‌های اجتماعی، تصاویر و همه‌چیز کاملاً در معرض دید هکرها قرار می‌گیرد.
به‌نظر می رسد این ویژگی جدید در نسخه‌ی Cerberus هنوز در مرحله‌ی آزمایش است اما به‌زودی منتشر می‌شود و در تالارهای هک به‌فروش خواهد رسید.
گوگل هنوز وصله‌ای را برای رفع این مشکل در برنامه‌ی Authenticator منتشر نکرده است، اما انتظار می‌رود تا هر چه زودتر، امنیت اندروید را در مقابل این نوع خطر افزایش دهد.

12 اسفند 1398 برچسب‌ها: اخبار
ایجاد‌کننده اطلاع‌رسانی‌ها

محققان در Ruhr-Universität Bochum، از حفره امنیتی در #LTE خبر دادند که از ناتوانی در رسیدگی به payloadهای رمزنگاری شده ارسالی در جریان‌های داده ناشی می‌شود. این آسیب‌پذیری موجود در استاندارهای ارتباطی 4G، امکان جعل هویت کاربر گوشی هوشمند را فراهم می‌کند؛ درنتیجه مهاجمان می‌توانند به عنوان مثال مدارک محرمانه یک سازمان را به نام شخص دیگری افشا کنند.
حملات صورت گرفته با استفاده از این آسیب‌پذیری موسوم به IMP4GT (حملات جعل هویت در شبکههای 4G) همه‌ی دستگاه‌هایی که از طریق تکنولوژی LTE ارتباط برقرار می‌کنند که در واقع همه‌ی گوشی‌های هوشمند، تبلت‌ها و تعدادی از دستگاه‌های اینترنت اشیا را شامل می‌شود، تحت تاثیر قرار می‌دهد.
رادیوهای نرم‌افزاری (Software-defined radio) یکی از عناصر کلیدی در حملات IMP4GT هستند. این دستگاه قادر به شنود کانال‌های ارتباطی بین دستگاه موبایل و ایستگاه پایه (base station) است و با استفاده از آن امکان فریب گوشی هوشمند و جا زدن رادیو نرم‌افزاری به عنوان ایستگاه پایه و برعکس فراهم وجود دارد. به محض اینکه امکان شنود کانال ارتباطی با فریب دادن ایستگاه پایه و گوشی هوشمند فراهم شد می‌توان داده‌های ارسالی بین گوشی هوشمند و ایستگاه پایه را دستکاری کرد.
اگرچه بسته‌های داده برای جلوگیری از استراق سمع به صورت رمزنگاری شده بین ایستگاه پایه و گوشی هوشمند تبادل می‌شوند اما امکان تغییر و دستکاری محتوای بسته‌های مبادله شده وجود دارد. در واقع مهاجم از محتویات بسته‌های داده مطلع نیست ولی می‌تواند با تغییر بیت‌های صفر، به یک و بالعکس موجب بروز خطا شود. این خطا ایستگاه پایه و گوشی هوشمند را وادار به رمزگشایی یا رمزنگاری پیام‌ها یا ایجاد شرایطی که در آن مهاجم می‌تواند دستورات را بدون نیاز به مجوز خاصی ارسال کند، می‌کند.
به گفته‌ی Holz، با استفاده از این دستورات مهاجم می‌تواند با هویت شخصی دیگر از یک سایت بازدید کند، شخص دیگری را به عنوان کسی که مرتکب جرم شده جلوه دهد و یا با هویت او اقدام به افشای اطلاعات کند. لازم به ذکر است که مهاجمان برای بهره‌برداری از این آسیب‌پذیری باید موقعیت مکانی نزدیک به قربانی داشته باشند.
طبقه گفته محققان تنها راه کاهش یا از بین بردن این مخاطره تغییر سخت‌افزار استفاده شده است که باید در تکنولوژی 5G نیز مورد توجه قرار گیرد. با توجه به اینکه با محافظت بیشتر، داده‌ی بیشتری نسبت به قبل هنگام ارسال تولید می‌شود، اپراتورهای تلفن همراه نیز باید هزینه‌ی بیشتری نسبت به قبل متقبل شوند. به علاوه همه‌ی گوشی‌های موبایل باید جایگزین شوند و همچنین ایستگاه‌های پایه نیز گسترش یابند.

12 اسفند 1398 برچسب‌ها: اخبار
صفحات: « 1 2 3 4 5 ... » »»