محققان جزئیات چندین نقص امنیتی در ‫آنتی‌ویروس ‌های مشهور را افشاء کرده‌اند که اکسپلویت این نقص‌های امنیتی، امکان افزایش مجوز دسترسی را برای هکرها فراهم می‌آورد. آنتی‌ویروس‌ها که باید از آلوده شدن سیستم‌ها جلوگیری کنند، ممکن است ناخواسته به بدافزار اجازه افزایش مجوز دسترسی در سیستم را بدهند. از آنجایی‌که آنتی‌ویروس‌ها با مجوز دسترسی بالا اجرا می‌شوند؛ بنابراین هرگونه بهره‌برداری از نقص این محصولات می‌تواند منجر به افزایش مجوز دسترسی و انجام افعال مخربانه متعدد شود.
چندین محصول ضد بدافزار (anti-malware) از جمله آنتی‌ویروس‌هایKaspersky ،McAfee ،Symantec ، Check Point، Fortinet، Trend Micro، Avira و Microsoft Defender تحت تاثیر این نقص‌ها قرار دارند.
لیست‌ کنترل دسترسی اختیاری (DACL) پیش‌فرض دایرکتوری C:\ProgramData یکی از دلایل اصلی بسیاری نقص‌ها در این آنتی‌ویروس‌ها است. برنامه‌ها برای ذخیره داده در ویندوز از دایرکتوری ProgramData استفاده می‌کنند. هر کاربری حق دسترسی نوشتن/خواندن در این دایرکتوری را دارد؛ برعکس دایرکتوری %LocalAppData% که تنها توسط کاربر احراز هویت قابل دسترس است.
افزایش مجوز دسترسی زمانی رخ می‌دهد که فرایند غیر‌مجاز (non-privileged) دایرکتوری جدیدی در ProgramData ایجاد می‌کند که بعدها توسط فرایند دارای مجوز مورد استفاده قرار می‌گیرد. دقیقا شبیه روالی که در آنتی‌ویروس‌ها رخ می‌دهد.
محققان آزمایشگاه CyberArk نشان دادند که چگونه در آنتی¬ویروس Avira یک فایل لاگ مشترک که توسط دو فرایند مختلف اجرا می‌شد، منجر به اکسپلویت فرایند با مجوز بالا شده است که در نتیجه این اکسپلویت امکان حذف فایل و ایجاد لینک نمادین (Symbolic Link) به هر فایل اختیاری با محتویات مخرب فراهم شده است. همچنین این متخصصان نشان دادند که اکسپلویت آنتی¬ویروس‌های Trend Micro، Fortinet و چند آنتی‌ویروس دیگر اجازه قرار دادن فایل DLL مخرب در دایرکتوری application و افزایش حق دسترسی را می‌دهد.
جدول زیر لیست تمام آسیب‌پذیری‌های شناسایی شده در آنتی ویروس‌ها را نشان می‌دهد. خوشبختانه، تمام آسیب‌پذیری‌های گزارش شده توسط تولیدکنندگان این آنتی‌ویروس‌ها رفع شده است. بنابراین کاربران آنتی ویروس‌ها ذکر شده کافیست از به‌روز بودن آنتی‌ویروس خود اطمینان حاصل کنند.
 

منبع:

https://securityaffairs.co/wordpress/109115/hacking/antivirus-solutions-flaws.html?utm_source=rss&u…

محققان تیم کسپرسکی یک ‫بدافزار مبتنی بر UEFI را کشف کرده‌اند که برای هدف قرار دادن نهادهای دیپلماتیک در آسیا، آفریقا و اروپا ساخته شده است. میان‌افزار UEFI یک مولفه اساسی برای هر کامپیوتر است. این میان‌افزار مهم در داخل یک حافظه فلش به مادربرد متصل می‌شود و تمام اجزای سخت‌افزاری کامپیوتر را کنترل می‌کند و به بوت سیستم‌عامل نهایی (ویندوز، لینوکس، macOS و موارد مشابه) که کاربر با آن تعامل دارد، کمک می‌کند.
حمله به میان‌افزارها برای هر گروه هکری بسیار ارزشمند است. اگر کدهای آلوده بتوانند در میان‌افزار قرار بگیرند، حتی پس از حذف و نصب مجدد سیستم‌عامل، سیستم همچنان آلوده خواهد بود. با این حال، علی‌رغم این مزایا، حملات به میان‌‌افزارها نادر هستند؛ چرا که حمله‌کنندگان یا باید دسترسی فیزیکی به دستگاه داشته باشند و یا اهداف خود را از طریق حملات زنجیره‌ای پیچیده آلوده کنند. در واقع این بدافزار، دومین بدافزاری است که به صورت گسترده میان‌افزار UEFI را هدف قرار داده است. اولین بدافزار، یک بدافزار روسی بود که در سال 2018 توسط ESET شناسایی شد.
تیم کسپرسکی مدعی است که این حمله را از طریق ماژول اسکنر میان‌افزار کسپرسکی شناسایی کرده است. کد آلوده موجود در میان‌افزار به نوعی طراحی شده است تا بتواند هر بار که کامپیوتر آلوده کار خود را شروع می‌کند، برنامه خودکار مخرب را نصب کند. این برنامه خودکار اولیه به عنوان یک ابزار دانلود عمل کرده و مولفه‌های دیگر بدافزار را دانلود می‌کند. کسپرسکی این مولفه‌ها را MosaicRegressor نام گذاری کرده است. محققان تیم کسپرسکی هنوز نتوانستن به طور کامل MosaicRegressor را تحلیل کنند. محققان کسپرسکی بیان کردند که با وجود اینکه بوتکیت UEFI را تنها در دو سیستم یافته‌اند اما MosaicRegressor در تعداد زیادی سیستم دیده شده است.
کسپرسکی ضمن تجزیه و تحلیل این حملات دریافته است که کد مخرب UEFI مبتنی بر VectorEDK است که یک ابزار هک برای حمله به میان‌افزار UEFI می‌باشد. VectorEDK به نوعی طراحی شده است که برای اجرا نیازمند دسترسی فیزیکی دارد.

مدیران سیستم‌ها و مدیران شبکه سازمان‌های دولتی برای حفاظت از سیستم‌های خود لازم است، موارد زیر را مد نظر داشته باشند.

• با توجه به اینکه امکان آلوده کردن UEFI در صورت دسترسی فیزیکی به سیستم بیشتر می‌شود؛ لذا اولا کامپیوترها (بویژه در مراکز حساسی مثل تاسیسات هسته‌ای و ...) از مبادی امن تهیه شوند. ثانیا از قرار گرفتن آن‌ها در اختیار افراد نامطمئن (با هدف تعمیر و ارتقا و ...) جدا پرهیز شود.
• از اسکنر مختص میان‌افزارهاییUEFI از قبیل KUEFI کسپرسکی برای اسکن سیستم خود استفاده نمایید.
• میان افزار UEFIسیستم خود را به‌روزرسانی نمایید.

منبع:

https://www.zdnet.com/article/chinese-hacker-group-spotted-using-a-uefi-bootkit-in-the-wild/

سیسکو در 24 سپتامبر به منظور رفع 42 ‫آسیب‌پذیری درچندین محصول مختلف خود، به‌روزرسانی امنیتی منتشر کرده است. 29 مورد از این آسیب‌پذیری‌ها دارای درجه شدت بالا و 13 مورد دارای درجه شدت متوسط هستند. نفوذگران با اکسپلویت برخی از این آسیب‌پذیری‌ها می‌توانند کنترل سیستم‌های تحت تاثیر را در اختیار بگیرند.
مهمترین آسیب‌پذیری‌های رفع شده در به‌روزرسانی اخیر در جدول زیر نمایش داده شده است. توصیه می‌شود کاربران و مدیران با بررسی سایت سیسکو محصولات خود را به‌روزرسانی نمایند.
 

منبع خبر:

[1] https://us-cert.cisa.gov/ncas/current-activity/2020/09/25/cisco-releases-security-updates-multiple-…
[2]https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=100#…

حققان شرکت Check Point آسیب‌پذیری خطرناکی را در نسخه اندروید و iOS برنامه‌‌کاربردی اینستاگرام شناسایی کرده‌اند که امکان اجرای کد از راه دور را برای هکرها از طریق یک فایل تصویری مخرب فراهم می‌آورد. برای به دست گرفتن کنترل اینستاگرام در گوشی کاربران کافی است هکر تصویری مخرب را از طریق ایمیل، واتس‌اپ، پیامک یا دیگر روش‌‌ها ارسال کند. بعد از ذخیره تصویر در گوشی، کد مخرب پنهان شده در تصویر با اجرای برنامه‌کاربردی اینستاگرام فعال می‌شود. به محض اکسپلویت آسیب‌پذیری، هکر کنترل کامل اینستاگرام قربانی را در دست می‌گیرد. برای نمونه می‌تواند پست جدیدی ارسال کرده یا پستی را پاک کند.
بعلاوه از آنجاییکه اینستاگرام حق دسترسی به برخی از قابیلت‌های گوشی را نیز دارد، هکر می‌تواند با اکسپلویت این آسیب‌پذیری به موقعیت مکانی و به فایل‌های ذخیره شده در دستگاه قربانی دسترسی یابد، لیست مخاطبین او را جست و جو کند، دوربین گوشی را روشن نماید. همچنین هکر می‌تواند برنامه اینستاگرام را مختل کند و از ورود کاربر به اینستاگرام تا زمان حذف و نصب مجدد جلوگیری نماید.
ریشه این آسیب‌پذیری استفاده از برنامه شخص سوم با نام MozJPEG برای پردازش تصاویر است. یک دستور آسیب‌پذیر در این برنامه به مهاجم اجازه می‌دهد که حافظه اختصاص داده شده به تصویر را دستکاری کرده و کد مخرب مورد نظر خود را اجرا نماید.
Check Point قبل از انتشار خبر به صورت عمومی آسیب‌پذیری را به شرکت فیسبوک (فیسبوک اینستاگرام را در سال 2012 خریده است.) اعلام کرده است تا زمان کافی برای رفع آسیب‌پذیری وجود داشته باشد. فیسبوک به سرعت وصله‌ای برای آسیب‌پذیری ارائه کرد. در نتیجه اگر اینستاگرام شما به روزرسانی شده است، نباید نگران این آسیب‌پذیری باشید.
به کاربران توصیه می‌شود که برنامه اینستاگرام خود را به آخرین نسخه موجود به‌روزرسانی نمایند.

منبع:

https://www.techspot.com/news/86872-researchers-discover-rce-exploit-highjack-instagram-mobile-app…

تیم Samba برای رفع #‫آسیب‌پذیری Netlogon با شناسه CVE-2020-1472 در نسخه‌های مختلف Samba به‌روزرسانی‌های امنیتی جدیدی را منتشر کرده ‌است. این آسیب‌پذیری به مهاجم راه دور امکان می‌دهد تا کنترل سیستم آسیب‌‌پذیر را در دست بگیرد. پیش از این، برای اشکال امنیتی در پروتکل Netlogon، مایکروسافت در اگوست سال 2020 میلادی به‌روزرسانی ارائه کرد. ازآنجاییکه Samba نیز این پروتکل را پیاد‌ه‌سازی کرده است پس Samba نیز آسیب‌پذیر است.

از آنجایی‌که نسخه‌ 4.8 از Samba و نسخه‌های بعد از آن به صورت پیش‌فرض از کانال امن پروتکل Netlogon استفاده می‌کنند و همین کانال امن برای مقابله با اکسپلویت موجود کافی است. مگر اینکه فایل پیکربندی smb.conf در این نسخه‌ها تغییر داده شده و server schannelبرابر auto یاno قرار داده شود. نسخه‌ 4.7 از Samba و نسخه‌های پیش‌تر از آن آسیب پذیر هستند مگر اینکه خط 'server schannel = yes' را در فایل پیکربندی smb.conf خود داشته باشند. بنابراین لازم است هر محصولی که نسخه‌های پیش‌تر از 4.7 از Samba را پشتیبانی می‌کند با افزودن این خط در فایل پیکربندی smb.conf محصول خود را در برابر این آسیب پذیری به‌روزرسانی نماید.

بهره‌برداری از این آسیب‌پذیری امکان تغییر پسورد را فراهم می‌آورد. در Sambaهایی که به عنوان کنترلر دامنه‌ NT4-like در حال اجرا هستند، خطر کمتر از زمانی‌ است که Samba به عنوان کنترلر دامنهActive Directory اجرا می‌شود. تغییر حساب کاربری ماشین در این دامنه‌ها به هکرها حق دسترسی محدودی مشابه دیگر اعضای سرور یا دامنه‌های مورد اعتماد را می‌دهد؛ اما در دامنه‌های AD تغییر پسورد کنترلر دامنه، امکان افشای کامل پایگاه‌داده پسوردها شامل پسوردkrbtgt، درهم‌سازی MD4 پسورد هر کاربر و درهم‌سازی پسورد LM را در صورتی که ذخیره شده باشد، فراهم می‌آورد. پسورد krbtgt به مهاجم این امکان را می‌دهد تا با صدور 'golden ticket' برای خود امکان بازگشت و در اختیار گرفتن دامنه را در هر زمانی‌ در آینده داشته باشد.
Samba برای برخی از دامنه‌ها که از نرم‌افزارهای شخص سوم استفاده می‌کنند و این نرم‌افزارها نمی‌توانند با تنظیم 'server schannel = yes' کار کنند نیز راه‌حل دارد. در این مواقع کافیست در پیکربندی Samba به ماشین‌های خاص اجازه دسترسی از کانال ناامن داده شود. برای مثال اگر تنظیمات زیر در smb.conf اعمال شود تنها به "triceratops$" و "greywacke$" این امکان می‌دهد که از کانال ناامن به Netlogon متصل شوند.

server schannel = yes
server require schannel:triceratops$ = no
server require schannel:greywacke$ = no

توجه به این نکته ضروریست که تنظیم schannel = yes در فایل پیکربندی به صورت کامل از شما محافظت نخواهد کرد. حتی در صورتی که این تنظیمات در فایل پیکربندی فعال باشد باز هم ممکن است Samba آسیب‌پذیر باشد. هر چند امکان دسترسی به وظیفه‌مندی‌های دارای امتیاز خاص (privileged functionality) وجود نخواهد داشت.
Samba در به‌روزرسانی خود که از طریق آدرس https://www.samba.org/samba/security در دسترس است بررسی‌های بیشتری را در سرور در مقابل حملات به این پروتکل‌ها افزوده است که این به‌روزرسانی در صورتی که server schannel برابر no یا auto باشد از Samba محافظت خواهد کرد. همچنین آسیب‌پذیری در نسخه 4.12.7، 4.10.18 و 4.11.13 رفع شده است بنابراین از مدیران Samba در خواست می‌شود، محصولات خود را به‌روزرسانی نمایند.

منابع:

[1] https://www.theregister.com/2020/09/22/samba_zerologon_patch
[2] https://www.samba.org/samba/security/CVE-2020-1472.html

شرکت موزیلا به تازگی باگی (Bug) را در مرورگر فایرفاکس رفع کرده‌ است که سوءاستفاده از این ‫باگ موجب می‌شود تا کنترل تمام مرورگرهای فایرفاکس ‫اندروید موجود در یک شبکه وای‌فای را در دست گرفته و کاربران را وادار به دسترسی به سایت‌های مخرب از جمله سایت‌های فیشینگ کرد. این آسیب‌پذیری توسط Chris Moberly که در GitLab کار می‌کند، شناسایی شده‌ است.
در واقع، مولفه Simple Service Discovery Protocol فایرفاکس که به اختصار SSDP نامیده می‌شود، آسیب‌پذیر است. SSDP مکانیزمی است که فایرفاکس برای شناسایی دیگر دستگاه‌های موجود در شبکه جهت اشتراک و دریافت محتوا (برای مثال اشتراک ویدئو با دستگاه Roku) استفاده می‌کند. زمانی که مکان دستگاه شناسایی شد، مولفهSSDP فایرفاکس مکان فایل XML را که پیکربندی دستگاه در آن قرار دارد، دریافت می‌کند.
Moberly نشان داد که در نسخه‌های پیشین فایرفاکس می‌توان دستورات Intent اندروید را در این فایل XML مخفی کرد و مرورگر فایرفاکس را وادار به اجرای این دستورات Intent نمود.
دستورات Intent پیغام‌هایی هستند که به واسطه آن‌ها از سیستم تقاضای انجام کار یا عملیات خاصی می‌شود. با استفاده از آبجکت intent می‌توان بین کامپوننت‌های مختلف یک برنامه‌کاربری و حتی کامپوننت‌های نرم‌افزاری دیگر برنامه‌های کاربردی تعامل برقرار کرده و اطلاعات رد و بدل نمود. برای مثال، یک Activity می‌تواند Activity دیگر را جهت عکس گرفتن اجرا کند یا به فایرفاکس بگوید که وارد لینک مشخصی شود.
آسیب‌پذیری شرح داده شده در نسخه 79 از فایرفاکس رفع شده است. بنابراین به تمام کاربرانی که از مرورگر فایرفاکس در سیستم‌عامل اندروید استفاده می‌کنند، توصیه می‌شود که مرورگر خود را به آخرین نسخه موجود به‌روزرسانی نمایند.

منابع:

[1] https://www.zdnet.com/article/firefox-bug-lets-you-hijack-nearby-mobile-browsers-via-wifi/
[2]https://www.terabitweb.com/2020/09/19/firefox-android-wifi-hacking-html/

سیستم مدیریت محتوا دروپال (Drupal) به روزرسانی امنیتی را برای رفع چندین ‫آسیب‌پذیری مختلف در نسخه های x.7، x.8.8، x.8.9 و x.9.0 منتشر کرده است. نفوذگران با بهره برداری از این آسیب پذیری ها می‌توانند اطلاعات حساسی را کسب کرده یا حمله تزریق کد (Cross-site scripting) انجام دهند. جهت مطالعه لیست آسیب‌پذیری‌های بروز شده و راه کارهای مقابله با آن‌ها اینجا کلیک کنید.
 

اخیراً شرکت سامسونگ برای رفع برخی ‫آسیب‌پذیری‌های بحرانی موجود در تلفن‌های همراه خود، بروزرسانی‌های امنیتی منتشر کرد. این بروزرسانی‌های امنیتی شامل تعداد زیادی وصله امنیتی می‌باشد که همه آسیب‌پذیری‌های مهم در بسیاری از نسخه‌های سیستم‌عامل‌ Android را برطرف می‌کند. با این حال، بروزرسانی امنیتی منتشر شده در سپتامبر سال 2020، شامل تلفن همراه مدل (SM-N960F(Galaxy Note 9 نیز خواهد شد. جهت مطالعه بیشتر اینجا کلیک کنید.

طبق تحقیقات صورت گرفته، هکرها در حال بهره‌برداری گسترده از ‫آسیب‌پذیری ارتقای مجوز دسترسی (elevation of privilege) با شناسهCVE-2020-1472 در Netlogon مایکروسافت می‌باشند. این در حالی است که مایکروسافت وصله این محصول را در ماه اگوست سال 2020 میلادی منتشر کرده‌است. هکرها با بهره‌برداری از این آسییب‌پذیری در سیستم‌هایی که هنوز به‌روزرسانی نشده‌اند، دسترسی Administrator دامنه را به دست می‌آوردند.

Netlogonاز تمام کاربران درخواست می‌شود تا با مراجعه به سایت مایکروسافت سیستم خود را به‌روزرسانی نمایند.

https://www.tenable.com/blog/cve-2020-1472-zerologon-vulnerability-in-netlogon-could-allow-attacker…

‫آسیب‌پذیری روز صفر شناسایی شده در ویندوز 10 امکان ایجاد فایل در فولدر "system 32" را برای کاربران غیر مجاز فراهم می‌آورد. این فولدر جزء ناحیه محدود شده (Restricted) سیستم‌ عامل است که اطلاعات حیاتی سیستم‌عامل و نرم افزارهای نصب شده آن در این فولدر نگهداری می‌شود. این آسیب‌پذیری فقط در دستگاه‌هایی که ویژگی Hyper-V در آن‌ها فعال است، وجود دارد که این عامل موجب کاهش تعداد دستگاه‌های هدف این حمله می‌شود. چراکه این ویژگی به صورت پیش‌فرض در نسخه‌های Pro،Enterprise وEducation از ویندوز 10 فعال نیست.
Hyper-V ویژگی است که ویندوز 10 برای ایجاد ماشین مجازی مورد استفاده قرار می‌دهد. با فراهم‌سازی منابع سخت‌افزار کافی، Hyper-V می‌تواند ماشین‌های مجازی بزرگ با 32 پردازنده و 512 گیگ رم را اجرا نماید. یک کاربر عادی ممکن است، هیچ‌گاه نیاز به اجرای ماشین مجازی با این مشخصات نداشته باشد؛ اما کاربران عادی ممکن است مایل باشند تا Sandbox ویندوز را اجرا نمایند که استفاده از این ویژگی به صورت خودکار Hyper-V را فعال می‌نماید.
مایکروسافت در به‌روز‌رسانی ماه می‌ سال 2019 ، Sandbox را در نسخه 1903 از ویندوز 10 معرفی کرد. کاربران با فعال سازی Sandbox می توانند در محیط ایزوله و بدون نگرانی از تحت تاثیر قرار گرفتن سیستم‌عامل خود برنامه‌ای را که به آن اعتماد ندارند، اجرا کنند یا وبسایتی مشکوکی را باز نمایند.
کاربران ویندوز 10 باید توجه نمایند که مایکروسافت فعلا وصله‌ای برای این محصول ارائه نداده است.

منبع:

https://www.bleepingcomputer.com/news/security/windows-10-sandbox-activation-enables-zero-day-vulne…