‫ اخبار

#‫رمزگشا ی باج‌افزار HildaCryptتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

#‫باج‌افزار HildaCryptدر ابتدا به عنوان گونه جدیدی از باج‌افزار خانواده STOPشناخته می‌شد اما چیزی نگذشت که مشخص گردید نام این باج‌افزار در واقع HildaCryptاست. این باج‌افزار، فایل‌های قربانی را با الگوریتم‌های AES-256وRSA-2048 رمزگذاری نموده و پسوند .mikeو یا .HCY!را به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار HildaCryptطبق ادعای سازندگان آن، برای اهداف آموزشی و سرگرمی ساخته شده است.

تصویر زیر پیغام باج‌خواهی باج‌افزار HildaCryptرا نشان می‌دهد:

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .mikeو یا .HCY!می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/hildacrypt

#‫رمزگشا ی باج‌افزار GalactiCrypterتوسط پژوهشگران شرکت امنیتی Emsisoftارائه شد.

باج‌افزار GalactiCrypter، اولین بار در سال ۲۰۱۶ منتشر شد و ادامه فعالیت خود را در سال ۲۰۱۹ مجدداً از سر گرفت. این باج‌افزار که از الگوریتم رمزنگاری AES-256برای رمزگذاری فایل‌ها بهره می‌برد، رشته کاراکتر ENCx45cRرا مانند الگوی زیر به ابتدای فایل‌های رمز شده می‌چسباند.

ENCx45cR.

باج‌افزار مورد اشاره متن پیغام باج‌خواهی خود را در قالب یک پنجره و با مضمون موجود در تصویر در سیستم قربانی قرار می‌دهد.

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای رشته کاراکتر ENCx45cRدر ابتدای آن می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/galacticrypter

#‫رمزگشا ی باج‌افزار WannaCryFake توسط پژوهشگران شرکت امنیتی Emsisoft ارائه شد.
این باج‌افزار، با پسوند مشابه باج‌افزار مخرب و مشهور WannaCry پس از مدت کوتاهی از انتشار سراسری آن منتشر شد. باج‌افزار WannaCryFake فایل‌های قربانی را با الگوریتم AES-256 رمزگذاری نموده و پسوندی را با الگوی
.[][recoverydata54@protonmail.com].WannaCry
به انتهای فایل‌های رمزگذاری شده اضافه می‌کند. باج‌افزار مورد اشاره متن پیغام باج‌خواهی خود را در قالب یک پنجره و با مضمون موجود در تصویر زیر در سیستم قربانی قرار می‌دهد:

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند
.[][recoverydata54@protonmail.com].WannaCry
می‌باشند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.
لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:
https://www.emsisoft.com/ransomware-decryption-tools/wannacryfake

#‫رمزگشا ی باج‌افزارهای Yatron و FortuneCryptتوسط پژوهشگران شرکت امنیتی Kaspersky ارائه شد.
این باج‌افزار که شهرت خاصی ندارد و به علت بهره گیری از کد باج‌افزار HiddenTear از الگوریتم رمزنگاری ضعیفی استفاده می‌کند، توانسته است حداقل 600 قربانی را آلوده کند. این باج‌افزار، پسوند .Yatron را به انتهای فایل‌های رمزشده اضافه می‌کند. طبق گزارش شرکت Kaspersky، عمده قربانیان این باج‌افزار از کشورهای آلمان، چین، روسیه، هند و میانمار بوده‌اند.
تصویری از فایل‌های رمزشده توسط این باج‌افزار در تصویر زیر قابل مشاهده است:

باج‌افزار FortuneCrypt که عضو خانواده Crypren می‌باشد، توانسته است که 6000 قربانی را عمدتا از کشورهای روسیه، برزیل، آلمان، کره جنوبی و ایران آلوده کند. این باج‌افزار، پسوندی به فایل‌های رمزشده اضافه نمی‌کند و صرفا پنجره‌ای به صورت زیر به عنوان پیام باج‌خواهی باز می‌کند:

در صورتی که فایل‌های رمز شده شما توسط این دو باج‌افزار رمز شده‌اند، می‌توانید به وسیله این رمزگشا فایل‌های خود را رمزگشایی کنید.
شرکت Kaspersky ابزار رمزگشای این دو باج‌افزار را به ابزار رمزگشای خود به نام RakhniDecryptor اضافه کرده است.
لینک مستقیم دانلود ابزار رمزگشای RakhniDecryptor در سایت Kaspersky:
http://media.kaspersky.com/utilities/VirusUtilities/RU/RakhniDecryptor.zip

بار دیگر آسیب پذیری حیاتی در سرویس‌دهنده‌ی ایمیل #‫exim شناسایی شده است. با سواستفاده از آن مهاجم می تواند کد های مخرب را با دسترسی root بر روی میزبان اجرا کند. نسخه‌های 4.92 تا 4.92.2 آسیب‌پذیر هستند.در صورت استفاده از این سرویس دهنده سریعا نسبت به بروزرسانی اقدام نمایید.
بر اساس بررسی و رصد مرکز ماهر ۶۰۰۰ آدرس IP و ۳۳۰۰۰۰ دامنه تحت تاثیر این آسیب‌پذیری در کشور شناسایی شده اند. شمار زیادی از این دامنه‌ها، دامنه‌های اشتراکی میزبانی شده توسط شرکت‌های میزبانی هستند که به واسطه استفاده از ابزار CPANEL تحت تاثیر این آسیب‌پذیری قرار دارند. اطلاع رسانی به صاحبان IP های آسیب‌پذیر در جریان است.

هنگامی‌که آسیب­ پذیری‌های عمده در سیستم ­عامل­ های معمول مانند ویندوز مایکروسافت پیدا می­شود، با سوءاستفاده از این آسیب­ پذیری­ها می­توان میلیون‌ها دستگاه را تحت تأثیر قرار داد. در ماه جولای امسال تیم تحقیقاتی Armis، Armis Labs، 11آسیب پذیری روز صفرم را در VxWorks، پرکاربردترین سیستم عامل مورد استفاده که ممکن است هرگز در مورد آن نشنیده باشید، کشف کرده اند. VxWorksدر بیش از 2 میلیارد دستگاه از جمله دستگاه­های مهم صنعتی، پزشکی و سازمانی مورد استفاده قرار می­گیرد. این آسیب­ پذیری در پشته TCP/IP (IPnet)آن قرار دارد و بر روی همه نسخه‌های آن تا نسخه 6.5 تأثیر می‌گذارد و نمونه ای نادر از آسیب­ پذیری‌های موجود در سیستم ­عامل طی 13 سال گذشته است. آرمیس با Wind River، پشتیبانی ­کننده VxWorks، همکاری نزدیکی داشته است و نسخه VxWorks 7 به عنوان آخرین نسخه که در تاریخ 19 ژوئیه منتشر شد، دارای اصلاحاتی در مورد همه آسیب پذیری‌های کشف شده است.

برای مطالعه کامل کلیک نمایید

دومین مرحله از مسابقات کشف باگ و آسیب‌پذیری مرکز ماهر با شرکت دو وبسایت دیگر سازمان فناوری اطلاعات ایران در سامانه کلاه‌سفید در جریان است.وبسایت‌های شرکت کننده در مسابقه: http://mob.gov.ir
https://payesh.iran.gov.ir
جزییات بیشتر را می توانید در صفحه‌ی مسابقات ملاحظه کنید:
https://kolahsefid.cert.ir/Contest/276.html
https://kolahsefid.cert.ir/Contest/279.ht

تجزیه و تحلیل محققان خبر از وجود یک #‫آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (Stored Cross-Site Scripting) در WordPress می‌دهد که می‌تواند منجر به اجرای کد راه‌دور drive-by شود.
حمله‌ی drive-by زمانی رخ می‌دهد که دشمن از طریق ملاقات کاربر از مرورگر وب طی یک جستجوی نرمال، به سیستم دسترسی یابد.
این آسیب‌پذیری که با شناسه‌ی CVE-2019-16219 ردیابی می‌شود، در ویرایشگر داخلی Gutenburg که در نسخه‌های WordPress 5.0 و بالاتر وجود دارد، یافت شده است. به گفته‌ی Zhouyuan Yang در آزمایشگاه Forti Gaurd، در صورت وجود یک پیغام خطای “Shortcode”، Gutenburg نمی‌تواند کد JavaScript/HTML یک پست را فیلتر کند.
Shortcodeها میانبرهای ضروری هستند که کاربران WordPress می‌توانند به‌منظور تعبیه‌کردن فایل‌ها یا ساخت اشیایی که به صورت نرمال نیاز به کد پیچیده‌تری برای انجام دادن دارند، به کار گیرند. بلوک‌های Shortcode می‌توانند با کلیک بر روی گزینه‌ی “Add Block button” درون ویرایشگر Gutenburg، به یک صفحه اضافه شوند.
با این حال، با اضافه‌کردن برخی کاراکترهای رمزگذاری‌شده‌ی HTML (مانند ‘<’) به خود بلوک Shortcode و سپس بازکردن دوباره‌ی پست، کاربران یک پیغام خطایی دریافت خواهند کرد.
Wordpress پست را با رمزگشایی ‘<’ به ‘<”,”’ به نمایش می‌گذارد. فیلتر XSS در این پیش‌نمایش می‌تواند به‌راحتی با اضافه‌کردن کد اثبات مفهوم ‘>img src=1 onerror-prompt(1)>.’ به پست، دور زده شود. از آن پس، هر بازدیدکننده‌‌‌ی سایت که این پست را مشاهده می‌کند، کد XSS در مرورگرش اجرا خواهد شد.
این امر به یک مهاجم راه‌دور با مجوز «مشارکت‌کننده» (contributor) یا بالاتر اجازه می‌دهد کد دلخواه JavaScript/HTML را در مرورگر قربانیانی که به صفحه وب آسیب‌پذیر دسترسی دارند، اجرا کند. تا زمانی که مهاجم دارای نقش مشارکت‌کننده در یک صفحه وب WordPress آسیب‌پذیر است، می‌تواند از این نقص سوءاستفاده کند. مهاجمان همچنین می‌توانند خودشان وب‌سایتی بسازند یا ابتدا یک وب‌سایت قانونی را جهت تزریق کد در معرض خطر قرار دهند. از آن پس تنها لازم است قربانیان فریب‌خورده، صفحه‌ی در معرض خطر را به‌منظور اجرای کد مخرب ملاقات کنند.
آسیب‌پذیری اسکریپت‌نویسی متقابل ذخیره‌شده (XSS ذخیره‌شده)، شدیدترین نوع XSS است. XSS ذخیره‌شده زمانی اتفاق می‌افتد که یک برنامه‌ی کاربردی تحت وب داده‌های ورودی را از یک کاربر جمع‌آوری کند و آن داده‌ها را برای استفاده‌ی بعدی ذخیره سازد. اگر این داده‌ها به‌درستی فیلتر نشوند، داد‌ه‌های مخرب بخشی از وب‌سایت را تشکیل خواهند داد و درون مرورگر کاربر، تحت امتیازات برنامه‌ی کاربردی تحت وب، اجرا می‌شوند.
آسیب‌ دیگری که این نقص دارد این است که اگر قربانی دارای مجوز بالا باشد، مهاجم حتی می‌تواند کارگزار وب آن‌ها را در معرض خطر قرار دهد.
این نقص از نظر شدت، «متوسط» رتبه بندی شده است و دارای رتبه‌ی 6.1 در مقیاس 10 است.
این آسیب‌پذیری در نسخه‌های WordPress 5.0 تا 5.0.4، 5.1 و 5.1.1 یافت شده است و در ماه سپتامبر سال 2019، با انتشار نسخه‌ی WordPress 5.2.3، وصله شده است.
این نقص XSS، تنها نقص XSS وصله‌شده در بستر WordPress نیست؛ این به‌روزرسانی آسیب‌پذیری‌های XSS یافت‌شده در پیش‌نمایش‌های پست توسط مشارکت‌کنندگان، در نظرات ذخیره‌شده، در حین بارگزاری رسانه‌ها، در داشبود و در حین پاکسازی URL را نیز برطرف ساخته است.
نقص‌های XSS در WordPress و افرونه‌های مختلف، به آسیب‌زدن به این معروف‌ترین سیستم مدیریت محتوا در جهان که 60.4 درصد از سهم بازار CMS را به خود اختصاص داده‌است، ادامه می‌دهند. حدود یک سوم تمامی وب‌سایت‌های اینترنتی بااستفاده از WordPress ساخته شده‌اند.
به مدیران وب‌سایت‌ها توصیه می‌شود به‌روزرسانی منتشرشده جهت رفع این آسیب‌پذیری را در اسرع وقت به‌کار گیرند.

محققان امنیت سایبری از وجود یک #‫آسیب‌پذیری مهم جدید در سیم‌کارت‌ها خبر دادند که می‌تواند به مهاجمین راه دور اجازه دهد تا تلفن‌های همراه هدف را به‌خطر بیاندازند و فقط با ارسال پیام کوتاه، جاسوسی کنند.
این آسیب‌پذیری که SimJacker نام دارد، در مجموعه ابزارهای پویای مرورگر S@T (SIMalliance Toolbox) وجود دارد که در بیشتر سیم‌کارت‌های مورد استفاده در اپراتورهای تلفن همراه، حداقل در 30 کشور جهان تعبیه شده است. کارشناسان دریافتند که سوءاستفاده از این آسیب‌پذیری، مستقل از مدل تلفن مورد استفاده‌ی قربانی است.
به‌گفته‌ی محققان، یک شرکت نظارت خصوصی از حداقل دو سال پیش، از این نقص روز صفرم آگاه است و به‌طور جدی از این آسیب‌پذیری برای جاسوسی از کاربران تلفن همراه در چندین کشور استفاده می‌کند.
مرورگر S@T بر روی چندین سیم‌کارت از جمله eSIM، به‌عنوان بخشی از ابزارهای سیم‌کارت (STK) نصب شده است. این مرورگر، سیم‌کارت را قادر می‌سازد تا اقداماتی که برای انواع خدمات با ارزش افزوده استفاده می‌شود، انجام دهد.
مرورگر S@T مجموعه‌ای از دستورالعمل‌های STK شامل تماس، راه‌اندازی مرورگر، تهیه‌ی داده‌های محلی، اجرای دستورات و ارسال داده‌ها را اجرا می‌کند که با ارسال پیام کوتاه به تلفن، قابل اجرا هستند.
حمله‌ی اصلی Simjacker شامل یک پیام کوتاه حاوی نوع خاصی از کدهای جاسوسی است که به یک تلفن همراه ارسال می‌شوند و سپس به سیم‌کارت داخل تلفن دستور می‌دهد تا تلفن همراه را بازیابی کند و دستورات حساس را انجام دهد.
مهاجم می‌تواند از این نقص سوءاستفاده کند تا به اهداف زیر برسد:
• بازیابی اطلاعات مکان و اطلاعات IMEI دستگاه هدف
• ارسال پیام‌های جعلی از طرف قربانیان و انتشار اطلاعات غلط
• کلاه‌برداری از نرخ حق بیمه با شماره‌گیری شماره‌های حق بیمه
• جاسوسی از محیط اطراف قربانیان با راهنمایی دستگاه برای تماس با شماره‌ تلفن مهاجم
• انتشار بدافزار با مجبور کردن مرورگر تلفن قربانی برای بازکردن یک صفحه‌ی وب مخرب
• انجام حملات انکار سرویس با غیرفعال کردن سیم‌کارت
• بازیابی اطلاعاتی مانند زبان، نوع رادیو، میزان باتری و غیره
به‌گفته‌ی کارشناسان، حملات SimJacker علیه كاربران با محبوب‌ترین دستگاه‌های تلفن همراه تولیدشده توسط اپل، گوگل، هواوی، موتورولا و سامسونگ مشاهده شده است و همه‌ی سازندگان و مدل‌های تلفن همراه در معرض این حمله قرار دارند؛ زیرا این آسیب‌پذیری از یک فناوری جاسازی‌شده بر روی سیم کارت‌ها بهره می‌برد که مشخصات آن از سال 2009 به‌روز نشده است و به‌طور بالقوه می‌تواند بیش از یک میلیارد کاربر تلفن همراه را در سراسر جهان شامل آمریکا، آفریقای غربی، اروپا، خاورمیانه، در معرض خطر قرار دهد.
کارشناسان کشف خود را به انجمن GSM و اتحادیه سیم‌کارت گزارش دادند و توصیه‌هایی را برای تولیدکنندگان سیم کارت منتشر کردند.
اپراتورهای تلفن همراه می‌توانند با تجزیه و تحلیل و مسدودکردن پیام‌های مشکوک حاوی دستورات مرورگر S@T، میزان این حمله را کاهش دهند.

یک محقق امنیت سایبری به نام Cardenas، به‌تازگی جزئیات و اثبات مفهوم مربوط به یک آسیب‌پذیری وصله‌نشده‌ی روز صفرم در phpMyAdmin را منتشر ساخته است.
phpMyAdmin یک ابزار مدیریتی رایگان و متن‌باز برای پایگاه‌های داده‌ی MySQL و MariaDB است که به‌طور گسترده‌ای برای مدیریت پایگاه‌داده‌ی وب‌سایت‌هایی که با WordPress، Joomla و بسیاری دیگر از بسترهای مدیریت محتوا ساخته شده‌اند، استفاده می‌شود.
آسیب‌پذیری روزصفرم کشف شده در این ابزار، یک نقص جعل‌ درخواست میان سایتی (CSRF) است ( معروف به XSRF نیز است). CSRF حمله‌ای است که در آن مهاجمان، کاربران احرازهویت‌شده را به انجام عملی ناخواسته فریب می‌دهند.
این آسیب‌پذیری با شناسه‌ی CVE-2019-12922 ردیابی می‌شود و از آنجاییکه به مهاجم اجازه می‌دهد تنها هر کارگزار پیکربندی‌شده در صفحه‌ی تنظیمات پنل phpMyAdmin کارگزار قربانی را حذف کند و هر پایگاه داده یا جدول ذخیره‌شده در کارگزار را نتواند حذف کند، از نظر شدت، «متوسط» رتبه‌بندی شده است؛ اما نباید نسبت به آن بی‌تفاوت هم بود. زیرا مهاجم جز دانستن URL کارگزار هدف، نیاز به اطلاعات دیگری مانند نام پایگاه داده ندارد و سوءاستفاده از آن راحت است. همه‌ی آنچه که مهاجم برای حمله نیاز دارد این است که یک URL ساختگی را به مدیران وب هدف که قبلاً به پنل phpMyAdmin آن‌ها در همان مرورگر وارد شده‌اند، ارسال کند و آنها را فریب دهد تا کارگزار پیکربندی ‌شده را بدون آنکه خود اطلاعی داشته باشند به سادگی و با یک کلیک بر روی آن، حذف کنند.
این نقص، تمای نسخه‌های phpMyAdmin تا 4.9.0.1 را که آخرین نسخه از این نرم‌افزار تاکنون است را تحت‌تأثیر قرار می‌دهد. همچنین این نقص در phpMyAdmin 5.0.0-alpha1 که در ماه جولای سال 2019 منتشر شده است نیز وجود دارد.
این آسیب‌پذیری در ماه ژوئن سال 2019 توسط Cardenas کشف و به مسئولین این پروژه گزارش شد. باوجود اینکه مسئولین این پروژه هنوز نتوانستند پس از گذشت 90 روز از اعلام وجود این نقص، آن را وصله کنند، Cardenas جزئیات این آسیب‌پذیری و کد اثبات مفهوم را در 13 ماه سپتامبر انتشار عمومی ساخت.
جهت رفع این آسیب‌پذیری، Cardenas پیشنهاد می‌کند که متغیر توکن در هر فراخوانی، اعتبارسنجی شود (همانطور که قبلاً در سایر درخواست‌های phpMyAdmin انجام شده بود).
تا زمانی که این آسیب‌پذیری وصله شود، به مدیران وب‌سایت‌ها شدیداً توصیه می‌شود از کلیک‌کردن بر روی لینک‌های مشکوک خودداری کنند.