اخبار
خلاصه آسیبپذیری:
یک #آسیبپذیری در IBM WebSphere Application Server کشف شده که مهاجم با سوءاستفاده از آن میتواند از راه دور کد دلخواه خود را اجرا کند. این آسیبپذیری ناشی از بررسی ناامن JAVA object deserialization از طریق اتصال SOAP است. مهاجم میتواند با ارسال یک شیء ساختگی خاص از طریق اتصال SOAP از این آسیبپذیری سوءاستفاده کند.
IBM WebSphere Application Server یک فریمورک نرمافزاری و میانافزار است که میزبان برنامههای کاربردی وب مبتنی بر جاوا است.
بهرهبرداری موفق از این آسیبپذیری میتواند به مهاجم اجازه دهد تا از راه دور کد جاوا را در محتوای برنامه تحتتأثیر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم میتواند برنامهای را نصب کند، به دادهها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. در سادهترین حالت بهرهبرداری ناموفق میتواند به حمله منع سرویس منجر گردد.
این آسیبپذیری که با شناسه CVE-2018-17481 معرفی شده ناشی از نقص use-after-free در PDFium میباشد.
سطح ریسک این آسیبپذیری برای سازمانهای دولتی و خصوصی در حد متوسط و زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیبپذیری دریافت نشده است.
نسخههای تحتتأثیر:
• IBM WebSphere Application Server 9.0 prior to 9.0.0.10
• IBM WebSphere Application Server 9.0 prior to 9.0.0.9 (Interim Fix PH04060)
• IBM WebSphere Application Server 8.5 prior to 8.5.5.15
• IBM WebSphere Application Server 8.5 prior to 8.5.5.14 (Interim Fix PH04060)
• IBM WebSphere Application Server 8.0 prior to 8.0.0.15 (Interim Fix PH04060)
• IBM WebSphere Application Server 7.0 prior to 7.0.0.45 (Interim Fix PH04060)
توصیهها
• نسخه IBM WebSphere Application Server را به آخرین نسخه بهروز رسانی کنید.
• قبل از اعمال پچ، بدون احراز اصالت هیچگونه تغییری در سیستم را تأیید نکنید.
• به کاربران خود یادآوری کنید که از وبسایتهای غیرقابل اعتماد بازدید نکرده و همچنین لینکهایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستمها و سرویسها
خلاصه آسیبپذیری:
#آسیبپذیری های چندگانه در Mozilla Firefox و Firefox Extended Support Release (ESR) کشف شده است که شدیدترین آنها میتواند به مهاجم اجازه دهد کد دلخواه را اجرا کند.
بهرهبرداری موفق از این آسیبپذیری میتواند منجر به اجرای کد دلخواه شود. بسته به امتیازات مربوط به برنامه مهاجم میتواند برنامهای را نصب کند، به دادهها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه با حقوق کاربری پایینتری پیکربندی شدهباشد بهرهبرداری از این آسیبپذیری میتواند تاثیر کمتری داشتهباشد، مگر اینکه با حقوق administrative تنظیم شود. سطح ریسک این آسیبپذیری برای سازمانهای دولتی و خصوصی متوسط و زیاد است.
نسخههای تحتتأثیر:
• Mozilla Firefox versions prior to 64
• Mozilla Firefox ESR version prior to 60.4
جزییات:
جزییات مربوط به این آسیبپذیریها در زیر آمده است.
شناسه آسیبپذیری |
توضیحات |
CVE-2018-17466 |
آسیبپذیریهای buffer overflowو out-of-bounds readدر TextureStorage11در داخل کتابخانه گرافیکی ANGLEکه برای محتوای WebGLاستفاده میشود، وجود دارند که میتوانند منجر به crashقابل بهرهبرداری شوند. |
CVE-2018-18493 |
آسیبپذیری buffer overflowدر کتابخانه Skia که میتواند منجر به crashقابل بهرهبرداری شود. |
CVE-2018-12407 |
آسیبپذیری buffer overflowهنگام استفاده از ماژول VertexBuffer11در اعتبارسنجی عناصر در داخل کتابخانه گرافیکی ANGLEکه برای محتوای WebGLاستفاده میشود، وجود دارند که میتوانند منجر به crashقابل بهرهبرداری شوند. |
CVE-2018-18498 |
یک آسیبپذیری احتمالی منجر به integer overflow میتواند در محاسبات اندازه بافر برای تصاویر زمانی که یک مقدار خام به جای مقدار چک شده استفاده میشود، رخ دهد. این آسیبپذیری میتواند منجر به نوشتن out-of-boundsشود. |
CVE-2018-18494 |
این آسیبپذیری به سرقت آدرسهایcross-origin منجر میشود که به دلیل استفاده از ویژگی جاوا اسکریپت برای ایجاد تغییر مسیر به سایت دیگری با استفاده از performance.getEntries()رخ میدهد که میتواند موجب سرقت اطلاعات شود. |
CVE-2018-18492 |
آسیبپذیری use-after-freeمیتواند بعد از حذف یک عنصر انتخابی ناشی از یک مرجع ضعیف رخ دهد که منجر به crashقابل بهرهبرداری شوند. |
CVE-2018-12406 |
آسیبپذیری فساد حافظه که با تغییردادن عمدی محتویات حافظه و به کارگیری آن توسط مهاجم منجر به اجرای کد دلخواه، حمله منع سرویس (DoS) و یا هرگونه رفتار عجیب دیگر توسط برنامه میشود. |
CVE-2018-12405 |
آسیبپذیری فساد حافظه که با تغییردادن عمدی محتویات حافظه و به کارگیری آن توسط مهاجم منجر به اجرای کد دلخواه، حمله منع سرویس (DoS) و یا هرگونه رفتار عجیب دیگر توسط برنامه میشود. |
CVE-2018-18497 |
این آسیبپذیری با دور زدن محدودیتهای URIها توسط تابع APIیی با نام browser.windows.createدر WebExtensions و با بکارگیری یک PIPEدر داخل extentionعمل میکند. مهاجم با بکارگیری یک PIPEمیتواند چندین صفحه را با استفاده از یک آرگومان بارگذاری کند و این به یک برنامه مخرب WebExtentionامکان دسترسی به مجوزهای about:و file:را میدهد. مهاجم حتی میتواند محتویات این صفحات را تغییر دهد. |
CVE-2018-18495 |
در شرایط خاص اسکریپتهای WebExtentionمیتوانند با نقض مجوز اعطا شده امکان دسترسی به محتویات About:را فراهم کند و در نتیجه نهاجم امکان بارگذاری محتویات این صفحه را داشته باشد. |
CVE-2018-18496 |
زمانی که RSS Feedپیش نمایش صفحه about:feedsرا برای صفحات دیگر نشان میدهد میتواند یک کد جهت اجرای حملات Clickjacking یا یک بدافزار یا کد مخرب را بارگذاری و در پوشههای Tempفایرفاکس اجرا کند. لازم به ذکر است که این آسیبپذیری فقط بر روی سیستم عامل ویندوز تاثیر میگذارد و سایر سیستمعاملها تحتتأثیر قرار نمیگیرند. |
توصیهها
• به کاربران Mozilla به شدت توصیه میشود تا آن را به آخرین نسخه به روزرسانی نمایند.
• برای کاهش اثر حملات، تمام نرمافزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وبسایتهای غیرقابل اعتماد بازدید نکرده و همچنین لینکهایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاعرسانی و آموزش کاربران در مورد خطرات لینکها یا فایلهای پیوست شده در ایمیلها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستمها و سرویسها
خلاصه آسیبپذیری:
یک #آسیبپذیری در کروم کشف شده که مهاجم با سوءاستفاده از آن میتواند کد دلخواه را اجرا کند.
بهرهبرداری موفق از این آسیبپذیری میتواند به مهاجم اجازه دهد تا کد دلخواه را در متن مرورگر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم میتواند برنامهای را نصب کند، به دادهها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه با حقوق کاربری پایینتری پیکربندی شدهباشد بهرهبرداری از این آسیبپذیری میتواند تاثیر کمتری داشتهباشد، مگر اینکه با حقوق administrative تنظیم شود.
این آسیبپذیری که با شناسه CVE-2018-17481 معرفی شده ناشی از نقص use-after-free در PDFium میباشد.
سطح ریسک این آسیبپذیری برای سازمانهای دولتی و خصوصی در حد متوسط و زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیبپذیری دریافت نشده است.
نسخههای تحتتأثیر:
• گوگلکروم نسخههای قبل از 71.0.3578.98
توصیهها
• به کاربران گوگل کروم به شدت توصیه میشود تا آن را به آخرین نسخه به روزرسانی نمایند.
• برای کاهش اثر حملات، تمام نرمافزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وبسایتهای غیرقابل اعتماد بازدید نکرده و همچنین لینکهایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاعرسانی و آموزش کاربران در مورد خطرات لینکها یا فایلهای پیوست شده در ایمیلها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستمها و سرویسها
یک #آسیبپذیری با شناسه CVE-2018-8653 در مایکروسافت اینترنت اکسپلورر کشف شده است که میتواند منجر به اجرای کد دلخواه شود. کد بهرهبرداری از این آسیبپذیری در آدرس https://github.com/p0w3rsh3ll/MSRC-data در دسترس عموم قرار دارد.
این آسیبپذیری میتواند منجر به اجرای کد دلخواه در محتوای برنامه آسیبدیده شود. بسته به امتیازات مربوط به برنامه مهاجم میتواند برنامهای را نصب کند، به دادهها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
این آسیبپذیری میتواند حافظه را به گونهای تخریب کند که یک مهاجم بتواند کد دلخواه را در چارچوب کاربر فعلی اجرا کند. این مهاجم میتواند همان حقوق کاربر را به عنوان کاربر فعلی بدست آورد. اگر این برنامه در سیستم با حقوق کاربری کمتری پیکربندی شده باشد، بهرهبرداری از این آسیبپذیری میتواند تأثیر کمتری داشته باشد، مگر اینکه با حقوق administrative پیکربندی شود.
در یک سناریوی حمله مبتنی بر وب، مهاجم میتواند یک وب سایت مخصوص ساختگی را طراحی کند که از طریق اینترنت اکسپلورر از آسیبپذیری سوءاستفاده میکند و سپس کاربر را مجبور به مشاهده وبسایت میکند (به عنوان مثال از طریق ایمیل).
افرادی که بهروزرسانی ویندوز را فعال و آخرین بهروزرسانیهای امنیتی را اعمال کردهاند، به طور خودکار در برابر این آسیبپذیری محافظت میشوند در غیر این صورت میتوانند وصله امنیتی آن را در لینک زیر دانلود و نصب نمایند.
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8653
نسخههای تحتتأثیر:
• اینترنت اکسپلورر 8 برای Windows Embedded Standard 2009 XP، POSReady 2009
• اینترنت اکسپلورر 9 برای ویندوز سرور 2008
• اینترنت اکسپلورر 10 برای ویندوز سرور 2012
• اینترنت اکسپلورر 11 برای ویندوز 7، 8.1، RT 8.1، 10
• اینترنت اکسپلورر 11 برای ویندوز سرور 2008 R2، 2012 R2، 2016، 2019
توصیهها
• به کاربران مایکروسافت اینترنت اکسپلورر به شدت توصیه میشود تا آن را به آخرین نسخه به روزرسانی نمایند.
• برای کاهش اثر حملات، تمام نرمافزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وبسایتهای غیرقابل اعتماد بازدید نکرده و همچنین لینکهایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاعرسانی و آموزش کاربران در مورد خطرات لینکها یا فایلهای پیوست شده در ایمیلها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستمها و سرویسها
#آسیبپذیری های چندگانه در Adobe Acrobat و Adobe Reader کشف شده است که میتوانند منجر به اجرای کد دلخواه شود.
این آسیبپذیری میتواند منجر به کنترل سیستم آسیبدیده شود. بسته به امتیازات مربوط به کاربر، مهاجم میتواند برنامهای را نصب کند، به دادهها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند.
اگر این برنامه در سیستم با حقوق کاربری کمتری پیکربندی شده باشد، بهرهبرداری از این آسیبپذیری میتواند تأثیر کمتری داشته باشد، مگر اینکه با حقوق administrative پیکربندی شود. نام این آسیبپذیریها و شناسه آنها به شرح زیر است:
• آسیبپذیری چندگانه افزایش امتیاز Multiple security bypass privilege escalation با شناسه CVE-2018-16018
• آسیبپذیری چندگانه اجرای کد دلخواه Multiple use after free arbitrary code execution با شناسه CVE-2018-16011
سطح ریسک این آسیبپذیری برای سازمانهای دولتی و خصوصی متوسط و زیاد است. در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیبپذیری دریافت نشده است.
نسخههای تحتتأثیر:
• برنامه Acrobat DC برای ویندوز و مک نسخه 2019.010.20064 و قبل از آن
• برنامه Acrobat Reader DC برای ویندوز و مک نسخه 2019.010.20064 و قبل از آن
• برنامه Acrobat 20217 برای ویندوز و مک نسخه 2017.011.30110 و قبل از آن
• برنامه Acrobat Reader DC 2017 برای ویندوز و مک نسخه 2019.010.20064 و قبل از آن
• برنامه Acrobat DC برای ویندوز و مک نسخه 2015.006.30461 و قبل از آن
• برنامه Acrobat Reader DC برای ویندوز و مک نسخه 2015.006.30461 و قبل از آن
توصیهها
• به کاربران Adobe Acrobat و Adobe Reader به شدت توصیه میشود تا آن را به آخرین نسخه به روزرسانی نمایند.
• برای کاهش اثر حملات، تمام نرمافزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• اطلاعرسانی و آموزش کاربران در مورد خطرات لینکها یا فایلهای پیوست شده در ایمیلها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستمها و سرویسها
در چند ماه گذشته اطلاعات چندین #آسیبپذیری روزصفر در سیستمعامل ویندوز توسط تحلیلگری امنیتی با نام کاربری SandboxEscaper منتشر شده است. یکی از این آسیبپذیریها که poc آن در github و exploitdb با نام Deletebug1 در اختیار عموم قرار گرفته از نوع ارتقای سطح دسترسی به واسطه سرویس #Microsoft_Data_Sharing در سیستم عامل ویندوز است.
این آسیبپذیری قابلیت ارتقا سطح دسترسی را برای کاربران عضو گروههای مهمان و Users فراهم میسازد و میتواند تمام نسخههای ویندوز 10 و ویندوز سرور 2016 و 2019 را تحت شعاع خود قرار دهد. تاکنون مایکروسافت هیچگونه وصله امنیتی خاصی در رابطه با این آسیبپذیری محلی ارائه نداده است.
در گزارش پیوست به بررسی جزییات این آسیبپذیری و اکسپلویت مربوطه می پردازیم.
بازی های قدیمی کنسول، دسته ای از برنامه های موجود در فروشگاه های اندرویدی هستند که به دلیل خاطره انگیز بودن آن ها، در بین کاربران اندرویدی طرفداران زیادی دارد. برای اجرای این بازی های قدیمی در محیط اندروید لازم است شبیه سازی به منظور پیاده سازی و اجرای بازی وجود داشته باشد. این فایل شبیه ساز اغلب در فایل نصبی برنامه (فایل apk) قرار دارد و پس از نصب، از کاربر خواسته می شود تا برنامه شبیه ساز را نصب نماید. با تایید کاربر، فایل ثانویه شبیه ساز روی دستگاه نصب شده و کاربر می تواند بازی کنسول را روی دستگاه اندرویدی خود اجرا کند. متاسفانه همین فرآیند به ظاهر ساده، یکی از ترفندهای مهاجمان برای سواستفاده از دستگاه کاربران و مخفی کردن رفتار مخرب خود است.
از آنجا که در اغلب این برنامه ها، فایل مربوط به شبیه ساز، بدون پسوند apk در پوشه های جانبی برنامه اصلی قرار داده شده است، در بررسی های امنیتی برنامه، توسط فروشگاه های اندرویدی، به وجود چنین فایلی توجه نمی شود و فایل شبیه ساز مورد بررسی قرار نمی گیرد. در مجوزهای نمایش داده شده در فروشگاه های اندرویدی نیز، تنها به مجوزهای فایل اولیه اشاره شده است و مجوزهایی که شبیه ساز از کاربر می گیرد، ذکر نمی شود. این فرصتی است که مهاجم با استفاده از آن می تواند رفتار مخرب موردنظر خود را در این فایل مخفی کرده و بدافزار را در قالب برنامه ای سالم در فروشگاه اندرویدی منتشر سازد.
علاوه بر این، فایل شبیه ساز پس از نصب آیکون خود را مخفی کرده و کاربران عادی قادر به شناسایی و حذف آن نخواهند بود. حتی با حذف برنامه اصلی نیز، فایل شبیه ساز حذف نشده و پایگاه ثابتی روی دستگاه قربانی برای مهاجم ایجاد خواهد شد.
رفتار مخرب مربوط به این برنامه ها، که عموما ساختاری یکسان و تکراری دارند را می توان به سه دسته تقسیم کرد:
• استفاده از سرویس های تبلیغاتی، علاوه بر سرویس های تبلیغاتی موجود روی برنامه اصلی
• دانلود و نصب برنامه های دیگر (بدافزار یا برنامه های دارای سرویس های ارزش افزوده)
• جاسوسی و ارسال اطلاعات کاربر به مهاجم
در فایل پیوست به بررسی ۳۰۰ بازی از سه توسعه دهنده که جمعا حدود صد هزار نصب فعال دارند، پرداخته شده است.
نسخه جدید #اکسپلویت EternalBlue در حال گسترش بوده و کارشناسان امنیتی جهان مشاهده نمودهاند که این بدافزار اقدام به نصب نسخه جدید بدافزار استخراج رمزارز #NRSMiner نیز مینماید. اکسپلویت EternalBlue یکی از ابزارهای جاسوسی سازمان امنیت ملی امریکا (NSA) است که توسط گروه دلالان سایه افشا شد و در حمله باجافزاری واناکرای نقش اصلی را بازی مینمود. این اکسپلویت پروتکل SMB نسخه ۱ را که نسخه پرطرفداری بین هکرها است هدف قرار میدهد.
بررسیهای شرکت امنیتی F-Secure نشان میدهد که جدیدترین نسخه بدافزار NRSMiner از اواسط ماه نوامبر شروع به توزیع نموده و با استفاده از اکسپلویت EternalBlue در کامپیوترهای آسیبپذیر در یک شبکه محلی توزیع میشود. این بدافزار بیشتر در آسیا توزیع شده و بعد از ویتنام که 54 درصد این آلودگی را به خود اختصاص داده، کشور ایران رتبه دوم آلودگی به این بدافزار را با بیش از 16 درصد دارد.
این بدافزار نسخههای قبلی خود را نیز با استفاده از دانلود ماژولهای جدید و پاک کردن فایلهای قدیمی بهروز نموده است. این بدافزار به صورت چندنخی اجرا میشود تا بتواند همزمان قابلیتهای مختلفی مانند استخراج رمزارز و فشردهسازی اطلاعات را انجام دهد.
این بدافزار بقیه تجهیزات محلی در دسترس را اسکن نموده و اگر پورت TCP شماره 445 آنها در دسترس باشد، روی آن اکسپلویت EternalBlue را اجرا نموده و در صورت اجرای موفق درب پشتی DoublePulsar را روی سیستم قربانی جدید نصب مینماید.
این بدافزار از استخراج کننده رمزارز XMRig برای استخراج رمزارز استفاده میکند.
کاربرانی که بهروزرسانیهای مایکروسافت برای جلوگیری از حملات واناکرای را نصب نموده باشند از این طریق آلوده نمیشوند. اگر این وصلهها را به هر دلیلی نمیتوانید نصب نمائید، توصیه میشود که هرچه زودتر پروتکل SMB نسخه ۱ را غیرفعال کنید.
ایجادکننده اطلاعرسانیهامشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه جدیدی به نام Ghost خبر میدهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اواسط ماه نوامبر سال 2018 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. طبق بررسیهای صورت گرفته بر روی فایل باجافزار Ghost، به نظر میرسد فایلهای مختلفی در آن تعبیه شده است که پس از اجرای باجافزار، این فایلها در یک پوشه به نام Ghost، واقع در دایرکتوری Roaming ایجاد میشوند و سپس فرایند مربوط به فایل اصلی خاتمه پیدا میکند و یک سرویس جدید تحت عنوان GhostService جهت ادامهی فعالیت باجافزار، ایجاد میشود.
ایجادکننده اطلاعرسانیهامشاهده و رصد فضای سایبری در زمینه #باج_افزار، از شروع فعالیت نمونه جدیدی از خانوادهی InsaneCrypt به نام Mega Cryptorr خبر میدهد که پس از رمزگذاری فایلها، به انتهای آنها پسوند .bip را اضافه میکند. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 29 نوامبر سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد.
