فا

‫ اخبار

صفحات: « 1 2 3 4 5 ... » »»
سوءاستفاده‌ی باج‌افزار Sodin از يک نقص افزايش امتياز ويندوز

به تازگی #‫باج‌_افزار جدیدی به نام #‫SodinoKibi (همچنین معروف به Sodin یا REvil) کشف شده است که از آسیب‌پذیری روزصفرم ویندوز با شناسه‌ی CVE-2018-8453 به‌منظور افرایش امتیاز سوءاستفاده می‌کند تا در میزبان‌های آلوده به امتیاز مدیریتی دست یابد.
این آسیب‌‌پذیری که توسط محققان آزمایشگاه کسپرسکی کشف شده است، در به‌روزرسانی‌های امنیتی ماه اکتبر سال 2018 مایکروسافت وصله شده است. این آسیب‌پذیری پیش از وصله‌شدن، در ماه اوت سال 2018، توسط یک گروه هک دولتی به نام FruityArmor که هدف اصلی آن کاربران خاورمیانه بود، مورد سوءاستفاده قرار گرفته بود. حال محققان کسپرسکی همان آسیب‌پذیری را در باج‌افزار sodin کشف کرده‌اند که به گفته‌ی آنها، به ندرت چنین آسیب‌پذیری در باج‌افزار استفاده می‌شود.
در حال حاضر این باج‌افزار در سراسر جهان در حال گسترش است و عمده‌ی آلودگی‌های آن در منطقه آسیا و اقیانوس آرام مشاهده شده است، به ویژه در تایوان (17.56%)، هنگ‌کنگ و کره‌جنوبی (8.78%). کشورهای دیگری که Sodinokibi در آن‌ها شناسایی شده‌ است عبارتند از ژاپن (8.05%)، ایتالیا (5.12%)، اسپانیا (4.88%)، ویتنام (2.93%)، ایالات‌متحده امریکا (2.44%) و مالزی (2.2%).
با آمدن باج‌افزار Sodin، باج‌افزار GandCrab تمامی فعالیت‌های اداری خود را در ماه گذشته متوقف ساخته است. GandCrab فعال‌ترین باج‌افزار تاکنون بوده است (نه تنها در سال جاری، بلکه در سال گذشته). برخی از اعضای جامعه‌ی امنیت اطلاعات، Sodin را وارث GandCrab و عده‌ای آن را مکمل GandCrab می‌دانند که به احتمال زیاد توسط همان گروه از توسعه‌دهندگان ایجاد شده است.
محققان یک تجزیه و تحلیل فنی از فرایند افزایش امتیاز که به این تهدید اجازه می‌دهد به امتیاز سیستمی دست یابد را منتشر ساخته‌اند. Sodin به‌منظور افزایش امتیاز از یک آسیب‌پذیری روزصفرم در win32k.sys سوءاستفاده می‌کند. بدنه‌ی هر نمونه Sodin شامل یک قطعه‌ پیکربندی رمزنگاری‌‌شده است که تنظیمات و داده‌‌های استفاده‌شده توسط بدافزار را ذخیره می‌سازد. پس از راه‌اندازی، Sodin قطعه‌ی پیکربندی را بررسی می‌کند که آیا گزینه‌ای که سوءاستفاده را به کار می‌گیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازنده‌ای که اجرا می‌کند را بررسی می‌کند و سپس یکی از دو shellcode گنجانده‌شده در بدنه‌ی این تروجان را بسته به معماری پردازنده، اجرا می‌کند. این shellcode تلاش می‌کند یک سری خاص از توابع WinAPI با آرگومان‌های ساختگی مخرب را به‌منظور راه‌اندازی آسیب‌پذیری فراخوانی کند. بدین ترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست می‌یابد. در اینجا هدف این است که راه‌حل‌های امنیتی نتوانند به راحتی این بدافزار را شناسایی کنند.
Sodin یک طرح ترکیبی را برای رمزگذاری داده‌ها پیاده‌سازی می‌کند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایل‌ها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده می‌کند.
کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار کد سخت (hardcoded) شده است رمزگذاری و نتیجه در رجیستری ذخیره می‌شود.
پس از رمزگذاری فایل‌ها، sodinokibi یک افزونه‌ی تصادفی که برای هر رایانه‌ای که آلوده کرده است متفاوت است را ضمیمه می‌کند.
کد مخرب Sodin فایل‌های با پوسته‌های صفحه‌کلید مخصوص کشورهای خاصی از جمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهد کرد.
پیکربندی Sodin شامل فیلدهای کلید عمومی، شماره ID برای کمپین و توزیع‌کننده و برای بازنویسی داده‌‌ها، نام مسیرها و فایل‌ها، لیست افزونه‌هایی که رمزگشایی نشده‌اند، نام فرایندهایی که باید به آن‌ها خاتمه دهد، آدرس‌های کارگزار C2، قالب نوشته‌ی باج و یک فیلد برای استفاده از سوءاستفاده‌ به‌منظور دستیابی به امتیاز بالاتر در ماشین است.
آنچه مهاجمان Sodin را پیچیده‌تر می‌سازد، استفاده‌ی آن‌ها از تکنیک Heaven’s Gate است. Heaven’s Gate تکنیکی است که به یک فرایند 32 بیتی تروجان اجازه می‌دهد تکه کدهای 64 بیتی را اجرا کند. بسیاری از debuggerها از چنین معماری پشتیبانی نمی‌کنند؛ در نتیجه استفاده از این تکنیک، تجزیه و تحلیل بدافزار را برای محققان دشوار می‌سازد. همچنین تکنیک قدیمی Heaven’s Gate ممکن است به‌منظور دورزدن راه‌حل‌های امنیتی مانند دیواره‌های آتش و برنامه‌های آنتی‌ویروس نیز مورد استفاده قرار گیرد.
Heaven’s Gate در انواع مختلف بدافزارها از جمله کاونده‌های سکه مشاهده شده است؛ اما این اولین باری است که محققان کسپرسکی استفاده‌ی این تکنیک را در یک کمپین باج‌افزاری مشاهده کرده‌اند.
Sodin به عنوان یک باج‌افزار-به عنوان-یک-سرویس (RaaS) طراحی شده است؛ بدین معنی که اپراتورها می‌توانند روش گسترش را انتخاب کنند و به گفته‌ی محققان، این طرح به مهاجمان اجازه می‌دهد به توزیع باج‌افزار از طریق کانال‌ها ادامه دهند. این باج‌افزار در حال حاضر از طریق نرم‌افزار کارگزار آسیب‌پذیر به کارگزار آسیب‌پذیر و همچنین از طریق malvertising و ابزارگان سوءاستفاده به نقطه پایانی‌ها (endpoints) در حال گسترش است.

23 تیر 1398 برچسب‌ها: اخبار
محمد موسوی ایجاد‌کننده اطلاع‌رسانی‌ها

#‫دژفا مجموعه از سامانه ها است که برای رصد وضعیت تهدیدات و افزایش توان مقابله با آسیب ها در فضای سایبری کشور توسط مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌‌ای کشور که نقش certملی ایران را بر عهده دارد در دست توسعه می باشد. اجزای این سامانه عبارتند از:

سامانه ملی تله افزار

سامانه بومی کاوشگر

سامانه بومی سمات

سامانه بومی بینا

سامانه بومی چکاپ

سامانه بومی سایمان

سامانه بومی دانا

سامانه عمومی سینا (PTAAS)

سامانه بومی سویه (IDS)

سامانه چتر امن

19 تیر 1398
اپلیکیشن جعلی اندرویدی (Updates for Samsung) با بیش از 30 هزار کاربر ایرانی

اپلیکیشن جعلی به‌روزرسانی #‫اندروید با عنوان #‫Updates_for_Samsung که از طریق فروشگاه گوگل پلی منتشر شده است تا به حال بیش از 10 میلیون تلفن همراه اندرویدی را آلوده کرده است. این اپلیکیشن در فروشگاه‌های اپلیکیشن ایرانی نیز منتشر شده و توسط حدود ۳۰ هزارنفر دریافت شده است. این اپلیکیشن هیچ ارتباطی با شرکت سامسونگ ندارد.

کاربران می‌توانند در این اپلیکیشن نسخه خاص Firmware خود را جستجو کنند و اپلیکیشن در ازای ارائه به‌روزرسانی مربوطه، درخواست پرداخت پول می‌کند.


محققی از گروه امنیتی CSIS، جزئیات این اپلیکیشن جعلی را منتشر کرده است و آن را به فروشگاه گوگل پلی گزارش داده است. در حال حاضر این اپلیکیشن از فروشگاه گوگل پلی حذف شده است. اطلاع رسانی جهت حذف این اپلیکیشن به فروشگاه‌های ایرانی نیز صورت گرفته است.

منبع:

https://medium.com/csis-techblog/updates-for-samsung-from-a-blog-to-an-android-advertisement-revenue-goldmine-of-10-000-000-166585e34ad0

https://gbhackers.com/androidfake-samsung-updates-app/

17 تیر 1398 برچسب‌ها: اخبار
هک شدن موتور جستجوی یاندکس یا گوگل روسی توسط هکرهای غربی با استفاده از نوعی نادر از بدافزار به نام Regin

هکرهای آژانس‌های جاسوسی غربی با استفاده از نوع نادری از بدافزار به نام #‫Regin، موتور جستجوی یاندکس را هک کرده‌اند تا بتوانند از کاربران این موتور جستجوی روسی جاسوسی کنند.
یاندکس یک موتور جستجوی روسی است که در زمینه محصولات اینترنتی و سرویس‌هایی از جمله تجارت، حمل و نقل، ناوبری، اپلیکیشن‌های کاربردی موبایل و تبلیغات آنلاین فعالیت می‌کند.
طبق گزارش رویترز، بدافزار Regin یکی از پیچیده‌ترین و نادرترین بدافزارهایی است که توسط “Five Eyes” یا اتحادیه اطلاعاتی کشورهای ایالات متحده، بریتانیا، استرالیا، نیوزیلند و کانادا استفاده می‌شود. هدف این حملات واحد تحقیق و توسعه یاندکس بوده و این حملات بیشتر به دلیل اهداف جاسوسی انجام شده و هیچ اختلال یا سرقت اطلاعات خاصی صورت نگرفته است.
به دلیل اینکه حملات توسط متخصصان امنیتی این موتور جستجو شناسایی نشد در نتیجه جهت انجام تحقیقات بیشتر از شرکت امنیتی کاسپر اسکای درخواست کمک شد که بعد از انجام تحقیقات مربوطه توسط این شرکت امنیتی، مشخص شد که هدف حمله گروهی از توسعه‌دهندگان داخلی یاندکس بوده است و مهاجمانی که این حملات را انجام داده‌اند، حداقل به مدت چند هفته و بدون شناسایی شدن دسترسی پایداری را به یاندکس داشته‌اند.
طبق گزارش رویترز، هکرها به دنبال اطلاعات فنی مربوط به چگونگی احراز هویت حساب‌های کاربری توسط یاندکس بوده‌اند. چنین اطلاعاتی می‌تواند به جعل حساب‌های کاربری یاندکس و دسترسی به پیام‌های خصوصی کاربران منجر شود.

لینک خبر:
https://gbhackers.com/russian-yandex-hacked-regin/

17 تیر 1398 برچسب‌ها: اخبار
آسیب‌پذیری‌های چندگانه اجرای کد در زیرساخت سرور Lenovo

محققان اخیراً چندین #‫آسیب‌پذیری را در زیرساخت‌های نرم‌افزاری #‫Lenovo کشف کرده‌اند. Lenovo یکی از شرکت‌های فناوری چند ملیتی است که کار فروش و توسعه رایانه‌های شخصی، تبلت‌ها، گوشی‌های هوشمند، سرورها و دستگاه‌های ذخیره‌سازی اطلاعات الکترونیکی را انجام می‌دهد.
شرکت امنیتی ایتالیایی Swascan که این آسیب‌پذیری‌ها را کشف کرده است، تابحال هیچ جزئیاتی از نرم‌افزار‌ها و محصولات تحت‌تاثیر این آسیب‌پذیری‌های Lenovo را منتشر نکرده است و تمام این آسیب‌پذیری‌های گزارش داده شده توسط تیم امنیتی Lenovo مورد ارزیابی قرار گرفته و همچنین رفع شده است.
در مجموع 9 آسیب‌پذیری شناسایی شده است که دو مورد آن بحرانی و هفت مورد آن در سطح متوسط طبقه‌بندی شده است.
مهاجمان می‌توانند از این آسیب‌پذیری‌ها برای اجرای کد دلخواه و خواندن اطلاعات حساس کاربران در سیستم استفاده کنند. این آسیب‌پذیری‌ها شامل محدودسازی نامناسب عملیات‌ها در محدوده بافرهای حافظه، دسترسی به مقدار یک آدرس اشاره‌گر تهی، اعتبارسنجی ورودی نامناسب، خنثی‌سازی و بیطرف کردن نامناسب عناصر خاص استفاده شده در خط فرمان سیستم‌عامل، احراز هویت نامناسب و آسیب‌پذیری use After Free می‌باشد.

لینک خبر:
https://gbhackers.com/lenovo-server-infrastructure/
و
https://latesthackingnews.com/2019/07/03/multiple-vulnerabilities-spotted-in-lenovo-server-infrastructure/

17 تیر 1398 برچسب‌ها: اخبار
رحیمی ایجاد‌کننده اطلاع‌رسانی‌ها

اخیراً چندین #‫آسیب‌پذیری‌ در سیستم‌عامل #‫اندروید کشف شده است که مهاجم با بهره‌برداری از آنها می‌تواند یک کد راه دور را بر روی سیستم‌عامل اجرا نماید و همچنین توانایی نصب، مشاهده، تغییر، حذف اطلاعات و داده‌های حساس و یا ایجاد حساب‌های جدید با مجوزهای کامل کاربری را بدست ‌آورد. لازم به ذکر است که این آسیب‌پذیری‌ها در سیستم‌عامل اندروید، با اعمال به‌روزرسانی امنیتی در تاریخ 5 جولای 2019 وصله شده است. به تمام کاربران این سیستم‌عامل توصیه می‌شود که وصله امنیتی ارائه شده را نصب کنند و به یاد داشته باشند که نصب برنامه‌های مورد نیاز را همیشه از طریق فروشگاه‌های معتبر برنامه‌های اندرویدی انجام دهند.

لیست این آسیب‌پذیری‌ها به شرح زیر است:
• یک آسیب‌پذیری‌ اجرای کد دلخواه در سیستم. CVE-2019-2111
• یک آسیب‌پذیری‌ افشای اطلاعات در فریم‌ورک. CVE-2019-2104
• یک آسیب‌پذیری‌ اجرای کد دلخواه در کتابخانه. CVE-2019-2105
• آسیب‌پذیری‌های چندگانه‌ اجرای کد دلخواه در فریم‌ورک رسانه‌ای. CVE-2019-2106, CVE-2019-2107, CVE-2019-2109
• آسیب‌پذیری‌های چندگانه‌ ارتقاء سطح دسترسی در سیستم. CVE-2019-2112, CVE-2019-2113
• آسیب‌پذیری‌های چندگانه‌ افشای اطلاعات در سیستم. CVE-2019-2116, CVE-2019-2117, CVE-2019-2118, CVE-2019-2119
• آسیب‌پذیری‌های چندگانه در کامپوننت‌های منبع بسته Qualcomm. CVE-2019-2235, CVE-2019-2236, CVE-2019-2237, CVE-2019-2238, CVE-2019-2239, CVE-2019-2240, CVE-2019-2241, CVE-2019-2253, CVE-2019-2254, CVE-2019-2322, CVE-2019-2327, CVE-2019-2334, CVE-2019-2346
• آسیب‌پذیری‌های چندگانه در کامپوننت‌های Qualcomm. CVE-2019-2276, CVE-2019-2278, CVE-2019-2305, CVE-2019-2307, CVE-2019-2308, CVE-2019-2330, CVE-2019-2326, CVE-2019-2328

منابع:
Google Android:
https://source.android.com/security/bulletin/2019-07-01.html

لینک خبر:
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-android-os-could-allow-for-arbitrary-code-execution_2019-069/

17 تیر 1398 برچسب‌ها: هشدارها و راهنمایی امنیتی
رفع نقص‌های بحرانی در نرم‌افزار مديريت شبکه‌ی مرکز داده‌ی سيسکو

#‫سیسکو به مشتریان خود اعلام کرد که محصول #‫DCNM این شرکت، تحت تأثیر آسیب‌پذیری‌های متعددی قرار دارد که برخی از آن‌ها «بحرانی» و «شدت بالا» طبقه‌بندی شده‌اند.
DCNM، سیستم مدیریت شبکه برای تمام سیستم‌های NX-OS است که از سخت‌افزار Nexus سیسکو در مراکز داده استفاده می‌کنند. این نرم‌افزار برای خودکارسازی ارائه، عیب‌یابی و شناسایی خطاهای پیکربندی استفاده می‌شود. به عبارت دیگر، این نرم‌افزار، یک بخش مهم نرم‌افزاری برای سازمان‌هایی است که از سوئیچ‌های Nexus استفاده می‌کنند.
طبق گفته‌ی سیسکو، رابط کاربری مبتنی بر وب مرکز پیکربندی مدیریت شبکه‌ی داده، تحت تأثیر دو حفره‌ی امنیتی بحرانی قرار دارند. یکی از آن‌ها که با شناسه‌ی "CVE-2019-1620" ردیابی می‌شود، به یک مهاجم ناشناخته‌ی از راه دور، اجازه‌ی بارگذاری فایل‌های دلخواه به یک وب سرولت (servlet) در دستگاه آسیب‌دیده و اجرای کد با امتیازات ریشه می‌دهد. یک وب سرولت، کلاسی است که به یک نوع خاص از درخواست شبکه (عموماً درخواست HTTP) پاسخ می‌دهد.
نسخه‌های نرم‌افزار DCNM قبل از (1)11.2 تحت تأثیر این آسیب‌پذیری قرار گرفتند. سیسکو اعلام کرد که وب سرولت تحت تأثیر قرارگرفته را در نسخه‌ی (1)11.2 حذف کرده است.
نقص مهم دوم با شناسه‌ی "CVE-2019-1619"، می‌تواند توسط یک مهاجم از راه دور مورد سوءاستفاده قرار گیرد تا احراز هویت را دور بزند و فعالیت‌های دلخواه ازجمله به‌دست آوردن یک جلسه‌ی کوکی معتبر را بدون داشتن نام کاربری و گذرواژه‌ی مدیر‌، مدیریت کند.
بهره‌برداری از این آسیب‌پذیری شامل ارسال یک درخواست HTTP به‌طور خاص ساخته‌شده به دستگاه آسیب‌دیده برای به‌دست آوردن جلسه‌ی کوکی است. پس از آن، مهاجمان می‌توانند بدون داشتن امتیازات مدیریتی، کنترل دستگاه را به دست آورند.
این نقص به دلیل مدیریت نامناسب جلسات در نسخه‌های قبل از (1)11.1 در نرم‌افزار DCNM وجود دارد. به‌گفته‌ی سیسکو، وب سرولت تحت تأثیر قرارگرفته به‌طور کامل از نسخه‌ی (1)11.1 حذف شده است و از کاربران خواسته شده است تا نرم‌افزار خود را به این نسخه ارتقا دهند.
آسیب‌پذیری جدی دیگر در DCNM، "CVE-2019-1621" است که به یک مهاجم از راه دور اجازه‌ی دسترسی به فایل‌های حساس و دانلود آن‌ها را می‌دهد. برای راه‌اندازی این حمله، نیاز به درخواست URL خاص، بدون احراز هویت است.
سیسکو همچنین اعلام کرد که DCNM تحت تأثیر یک مسئله‌ی افشای اطلاعات است که می‌تواند از راه دور و بدون احراز هویت برای دریافت فایل‌های ورودی و اطلاعات تشخیصی از دستگاه هدف مورد استفاده قرار گیرد. این حفره‌ی امنیتی با شناسه‌ی "CVE-2019-1622" دارای رتبه‌ی شدت متوسط است.
هنوز هیچ گزارشی مبنی بر سوءاستفاده‌ی گسترده از این آسیب‌پذیری‌ها منتشر نشده است و سه نقص مهم DCNM با به‌روزرسانی نرم‌افزارها برطرف شدند، اما به نظر می‌رسد که هیچ وصله یا راه‌حلی برای مسئله‌ی دارای شدت متوسط وجود ندارد.

17 تیر 1398 برچسب‌ها: اخبار
اطلاعیه مرکز ماهر درخصوص مشکلات پیش‌آمده برای محصولات UTM سوفوس و سایبروم

از اوایل سال جاری، شماری از تجهیزات #‫UTM نام‌های تجاری #‫سوفوس و #‫سایبروم مورد استفاده در کشور به دلیل اعمال تحریم شرکت مادر (سوفوس) دچار مشکلاتی نظیر انقضای مجوز و محدودیت در خدمات شده‌اند. این موضوع و راه‌هکارهای برخورد با آن طی جلساتی با شرکت‌های وارد کننده و خدمات‌دهنده‌ی عمده‌ی این محصولات مورد بررسی قرار گرفت. لذا سازمان‌ها و شرکت‌های مصرف کننده‌ی این تجهیزات توجه‌ داشته باشند که این موضوع سراسری بوده و بهره‌برداران مختلف را تحت تاثیر قرار داده است. بنابراین توصیه می‌گردد حداکثر همکاری بین شرکت‌های تامین‌کننده و مصرف کننده جهت اتخاذ راهکارهای جایگزین صورت پذیرد.

12 تیر 1398 برچسب‌ها: اخبار
رفع دو آسيب‌‌پذيری روز صفرم موزيلا

#‫موزیلا درروزهای پایانی ماه ژوئن سال 2019 و به فاصله‌ی دو روز، دو به‌روزرسانی امنیتی جهت رفع دو #‫آسیب‌پذیری روز صفرم بحرانی منتشر ساخته است. این آسیب‌پذیری‌ها به همراه یکدیگر کار می‌کنند و به طور گسترده‌ای در حمله به کارکنان Coinbase و سایر سازمان‌های رمزنگاری، مورد سوءاستفاده قرار گرفته‌اند.
اولین آسیب‌پذیری روز صفرم موزیلا، یک آسیب‌پذیری سردرگمی نوع (type confusion) است و زمانی رخ می‌دهد که اشیای JavaScript به دلیل اشکالاتی در Array.pop، دستکاری شوند. سوءاستفاده از این آسیب‌پذیری به مهاجمان راه دور اجازه می‌دهد کد مخرب را درون فرایند بومی فایرفاکس اجرا کنند؛ اما پس از آن نیاز دارند جعبه‌شنی را دور بزنند. این آسیب‌پذیری، علاوه بر اجرای کد دلخواه، به احتمال زیاد برای اسکریپت‌نویسی متقابل جهانی (UXSS) نیز می‌تواند مورد سوءاستفاده قرار گیرد؛ اما به هدف مهاجم بستگی دارد. این نقص (CVE-2019-11707)، در روز پانزدهم ماه آوریل سال 2019، توسط یک محقق Google Project Zero کشف و به موزیلا گزارش شد. موزیلا پس از گزارش تیم امنیتی Coinbase مبنی بر حملات سوءاستفاده از این آسیب‌پذیری به همراه دومین آسیب‌پذیری روز صفرم (CVE-2019-11708)، با انتشار Firefox 67.0.3 و Firefox ESR 60.7.1، اولین آسیب‌پذیری روز صفرم را وصله کرد.
دومین آسیب‌پذیری روز صفرم که موزیلا آن را با عنوان «دوزدن جعبه‌شنی» توصیف می‌کند، به عاملین مخرب اجازه می‌دهد فرایندهای حفاظت‌شده‌ی Firefox را دور بزنند و کد دلخواه را اجرا کنند. موزیلا دومین آسیب‌پذیری روزصفرم را دو روز پس از رفع اولین آسیب‌پذیری روز صفرم، با انتشار نسخه‌‌های Firefox 67.0.4 و Firefox ESR 60.7.2، وصله ساخت. این نسخه‌ها در حال حاضر از طریق مکانیزم به‌روزرسانی داخلی برای کاربران موزیلا در دسترس هستند.
این دو آسیب‌پذیری روز صفرم، توسط گروه هک ناشناخته‌ای استفاده شده‌اند تا کارمندان Coinbase را آلوده سازند. کارمندان Coinbase رایانامه‌های فیشینگ حاوی لینک‌هایی به سایت‌های مخرب را دریافت می‌کنند. اگر بر روی این لینک‌ها کلیک و از سایت بازدید کنند (در صورت استفاده از موزیلا)، آن صفحه‌ی سایت، یک سارق اطلاعاتی را در سیستم‌هایشان دانلود و اجرا می‌کند. سارق اطلاعاتی می‌تواند گذرواژه‌ها یا دیگر اطلاعات این مرورگر را جمع‌آوری و استخراج کند.
این حملات برای هر دو کاربران سیستم‌عامل‌های مک و ویندوز طراحی شده‌اند. برای هر سیستم‌‌عامل، جریان‌های بدافزاری متفاوتی ارایه شده است. این حملات، هفته‌ها، پیش از آنکه تشخیص داده شوند، جریان داشتند. به گفته‌ی Coinbase، این حملات تنها محدود به کارمندان آن نبوده‌اند و سازمان‌های رمزنگاری دیگر را نیز هدف قرار داده‌اند.
موزیلا هر دوی این آسیب‌پذیری‌ها را در سرویس‌گیرنده‌ی رایانامه‌ی Thunderbird، با انتشار Thunderbird 60.7.2، برطرف ساخته است.
پیش‌بینی می‌شود در روزهای آینده رفع دومین آسیب‌پذیری روز صفرم برای مرورگر Tor نیز منتشر شود. در حال حاضر، تیم مرورگر Tor با به‌روزرسانی به نسخه‌ی 8.5.2، فقط اولین آسیب‌پذیری روزصفرم را برطرف ساخته است.
از آنجاییکه این آسیب‌پذیری به طور گسترده‌ای مورد سوءاستفاده قرار گرفته اند، یک آسیب‌پذیری جدی برای کاربران مرورگر موزیلا محصسوب می‌شود و کابران باید مطمئن شوند سیستم‌هایشان به آخرین نسخه‌های Firefox و Thunderbird، به‌روزرسانی شده‌اند.

9 تیر 1398 برچسب‌ها: اخبار
به‌روزرسانی ماه ژوئن مايکروسافت و رفع چهار آسيب‌پذيری روز صفرم

#‫مایکروسافت به‌روزرسانی امنیتی خود در ماه ژوئن را منتشر کرد. این به‌روزرسانی شامل 4 هشدار امنیتی و رفع 88 آسیب‌پذیری است که 21 مورد از آن‌ها به‌عنوان «بحرانی» طبقه‌بندی شده‌اند. برخی از این هشدارهای امنیتی شامل درایورهای به‌روزشده و نرم‌افزاری هستند که آسیب‌پذیری‌های سخت‌افزاری و نرم‌افزاری شخص ثالث مانند Adobe Flash Player را رفع می‌کنند.
مایکروسافت با انتشار این به‌روزرسانی، چهار آسیب‌پذیری روز صفرم را رفع کرد که یک محقق امنیتی به نام "SandboxEscaper" طی یک ماه گذشته به‌صورت برخط آن‌ها را منتشر کرده بود. هر چهار آسیب‌پذیری، نقص‌های افزایش امتیاز هستند که بر روی ویندوز تأثیر می‌گذارند و عبارتند از:
• "CVE-2019-1069"- آسیب‌پذیری موجود در برنامه‌ی زمانبندی ویندوز (BearLPE).
• "CVE-2019-1064"- آسیب‌پذیری افزایش امتیاز در ویندوز (CVE-2019-0841-BYPASS) که مایکروسافت در ماه آوریل آن‌را وصله کرد، اما " SandboxEscaper" توانست وصله‌ی مایکروسافت را دور بزند و بار دیگر از آن سوءاستفاده کند. به‌نظر می‌رسد این اشکال در این به‌روزرسانی، به‌طور کامل رفع شده است.
• "CVE-2019-1053"- آسیب‌پذیری موجود در Windows Shell که می‌تواند با فرار از یک sandbox، منجر به افزایش امتیاز بر روی سیستم آسیب‌دیده شود (SandboxEscape).
• "CVE-2019-0973"- آسیب‌پذیری ارتقای مجوز در نصب‌کننده‌ی ویندوز (InstallerBypass).
مایکروسافت همچنین در این ماه، چهار نقص اجرای کد از راه دور (RCE) با شناسه‌های "CVE-2019-9500"، "CVE-2019-9501"، "CVE-2019-9502" و "CVE-2019-9503" را که بر روی تراشه‌های بی‌سیم "Broadcom" موجود در دستگاه‌های "HoloLens" تأثیر می‌گذارند، رفع کرد.
این شرکت همچنین هشدار داد که برخی از کلیدهای امنیتی مبتنی بر بلوتوث، پس از اعمال وصله‌های این ماه، از کار خواهند افتاد.
مایکروسافت در واقع به کلیدهای امنیتی "Feitian" و "Google Titan" اشاره دارد که حاوی تنظیمات غلط در پروتکل‌های جفت‌سازی بلوتوث هستند و به مهاجم اجازه می‌دهند تا با کلید ارتباط برقرار کند.
به‌روزرسانی مهم دیگری نیز برای رفع اشکال (CVE-2019-7845) در فلش‌پلیر منتشر شد. این اشکال می‌تواند منجر به اجرای کد دلخواه در دستگاه قربانی شود. Adobe همچنین وصله‌هایی برای سه آسیب‌پذیری مهم در "ColdFusion" و هفت اشکال در "Adobe Campaign" که یکی از آن‌ها بسیار مهم است، منتشر کرد.
به همه‌ی کاربران محصولات مایکروسافت توصیه می‌شود تا هرچه سریع‌تر این آسیب‌پذیری‌ها را با دریافت آخرین به‌روزرسانی وصله کنند تا از سوءاستفاده از این اشکالات توسط مهاجمان سایبری جلوگیری کنند. کاربران می‌توانند برای نصب به‌روزرسانی‌ها، مسیر " Settings → Update & security → Windows Update → Check for updates" را دنبال کرده یا به‌طور دستی به نصب آخرین به‌روزرسانی‌ها اقدام کنند.

9 تیر 1398 برچسب‌ها: اخبار
صفحات: « 1 2 3 4 5 ... » »»