آسیب‌پذیری‌های امنیتی در کتابخانه برنامه‌نویسی ncurses (که به‌اختصار new curses نیز نامیده می‌شود) برای سیستم‌های لینوکس و مک‌اواس (macOS) که امکان اجرای کد مخرب در سیستم‌های آسیب‌پذیر را می‌دهند، کشف شده است.
 

شکل 1- تصویری از آسیب پذیری در سیستم عامل مک‌اواس

یکی از روش‌هایی که حمله‌کنندگان می‌توانند از آن استفاده کنند، مسموم کردن متغیرهای محیطی (Environment Variables) است. آنها می‌توانند این آسیب‌پذیری‌ها را به هم پیوند دهند تا امتیازات را افزایش دهند و کد را در زمینه برنامه‌های هدف اجرا کنند یا اقدامات مخرب دیگری انجام دهند.
آسیب‌پذیری‌ها به‌صورت کلی با شماره CVE-2023-29491 ثبت شده‌اند (امتیاز CVSS 7.8). مایکروسافت اعلام کرده است که با اپل همکاری کرده و مشکلات خاص مربوط به مک‌اواس را نیز حل کرده است.
متغیرهای محیطی مقادیری هستند که توسط کاربران تعریف می‌شوند و می‌توانند توسط برنامه‌های مختلف در سیستم استفاده شوند. این مقادیر می‌توانند نحوه عملکرد آنها را در سیستم تحت تأثیر قرار دهند. تغییر دادن این متغیرها می‌تواند باعث اجرای عملیات غیرمجاز در برنامه‌ها شود.
بررسی کد و آزمون فازی نشان می‌دهد که کتابخانه ncurses به‌دنبال تعدادی از متغیرهای محیطی می‌گردد، از جمله TERMINFO که می‌توانند آلوده شوند و با آسیب‌پذیری‌های مشخص‌شده ترکیب شوند تا منجر به افزایش سطح دسترسی گردند.
پایگاه داده Terminfo اطلاعات مربوط به ترتیب‌ها و تنظیمات مختلف ترمینال‌های نمایش را در خود ذخیره می‌کند. این اطلاعات به برنامه‌ها کمک می‌کنند تا بتوانند با ترمینال‌های نمایش در تنظیمات مختلف ارتباط برقرار کنند، بدون اینکه نیاز به اطلاعات دقیق و خاص در مورد هر ترمینال خاص داشته باشند.
وجود این پایگاه داده به برنامه‌ها اجازه می‌دهد تا در یک روش کلی و استاندارد از ترمینال‌های نمایش استفاده کنند، بدون اینکه به تفصیلات فنی و ویژگی‌های خاص هر ترمینال برخورد کنند. این امر بسیار مفید است زیرا می‌تواند کاربران و توسعه دهندگان را از جزئیات فنی پنهان کند و به آنها این امکان را بدهد تا برنامه‌های خود را با ترمینال‌های مختلف اجرا کنند بدون اینکه نگرانی از مسائل سازگاری داشته باشند.
این آسیب‌پذیری‌ها شامل نشت اطلاعات از پشته (stack)، ترتیب اشتباه نوع رشته پارامتری، خطای خارج از مرز یک، خطای خارج از مرز حافظه هنگام تجزیه‌وتحلیل پایگاه داده terminfo و یک حمله منع سرویس با رشته‌های لغوشده (denial-of-service) می‌شود.
در زیر به آسیب‌پذیری‌های مختلفی اشاره شده است که ممکن است توسط یک حمله‌کننده به صورت پیاپی و در ترتیب خاصی بهره‌برداری شوند.
- برای ارتقاء امتیازات و دسترسی به قدرت‌های بیشتر در سیستم، حمله‌کننده ممکن است نیاز داشته باشد که آسیب‌پذیری‌ها را به یکدیگر متصل کند. به عبارت دیگر، باید از ترکیب آسیب‌پذیری‌های مختلف استفاده کند.
- نشت اطلاعات از پشته (stack information leak) و سرریز حافظه (heap overflow). حمله‌کننده باید از هر دوی این آسیب‌پذیری‌ها به صورت همزمان استفاده کند تا امتیازات ارتقاء دهنده به دست آورد.
- با استفاده از نشت اطلاعات از پشته، حمله‌کننده می‌تواند داده‌های خواندنی دلخواهی را از حافظه برنامه بخواند. سپس با استفاده از سرریز حافظه، می‌تواند داده‌های نوشتنی دلخواهی را در حافظه برنامه بنویسد و در نتیجه دسترسی به امتیازات بیشتری در سیستم برای انجام عملیات‌های مختلف به دست آورد.

اقدامات امنیتی
برای جلوگیری از آسیب‌پذیری‌هایی که در کتابخانه ncurses گزارش شده‌اند و از CVE-2023-29491 برای آن‌ها استفاده شده است، می‌توانید اقدامات امنیتی زیر را انجام دهید:

1. به‌روزرسانی کتابخانه: اطمینان حاصل کنید که کتابخانه ncurses در سیستم‌هایتان به آخرین نسخه به‌روزرسانی شده باشد. توصیه می‌شود همیشه از نسخه‌های امنیتی جدید استفاده کنید تا به آسیب‌پذیری‌های موجود در نسخه‌های قدیمی مقاومیت داشته باشید.
2. مانیتور کردن اختیارات اجرایی: به عنوان یک اقدام امنیتی، کاربران معمولی نباید اختیارات اجرایی زیادی داشته باشند. استفاده از ابزار‌های مانیتورینگ اختیارات اجرایی می‌تواند به جلوگیری از اجرای کدهای مخرب توسط کاربران خارج از حداقل نیاز کمک کند.
3. فیلتر کردن متغیرهای محیطی: متغیرهای محیطی (Environment Variables) را به دقت بررسی کنید و از افزودن متغیرهای نامعلوم به آنها پرهیز کنید. از تنظیم متغیرهای محیطی به نحوی که به برنامه‌ها تخلفی امکان‌پذیر نشود، جلوگیری کنید.
4. رفع آسیب‌پذیری‌های مرتبط با متغیرها: به اطمینان از رفع آسیب‌پذیری‌های مرتبط با متغیرهای محیطی مانند CVE-2023-29491 پرداخته و همچنین از نسخه‌هایی از ncurses که این آسیب‌پذیری‌ها برطرف شده باشند، استفاده کنید.
5. مدیریت دسترسی: دسترسی به متغیرهای محیطی مهم را محدود کنید. فقط کاربران و برنامه‌های معتبر باید به متغیرهای محیطی حیاظ داشته باشند.
6. پیاده‌سازی مدیریت دسترسی: از سیستم‌های مدیریت دسترسی مثل SELinux یا AppArmor بهره ببرید تا تحت نظر دقیقتری برای دسترسی به متغیرهای محیطی باشید و عملیات نامعلوم را محدود کنید.

منبع خبر:

https://thehackernews.com/2023/09/microsoft-uncovers-flaws-in-ncurses.html

تازه‌ترین آسیب‌پذیری کشف شده در GitHub می‌تواند هزاران مخزن کد را در معرض حملات Repojacking قرار دهد. یافته‌های جدید نشان می‌دهد که این ضعف می‌تواند به یک حمله‌کننده اجازه دهد تا از شرایط رقابتی (Race Condition) در عملیات ایجاد مخزن کد و سپس تغییر نام کاربری در GitHub بهره‌برداری کند. به‌عبارت دیگر، این آسیب‌پذیری موجب مخاطراتی برای جامعه منبع‌باز می‌شود که از جمله آثار آن احتمال تخریب بیش از ۴,۰۰۰ پروژه کد باز در زبان‌هایی مانند Go، PHP و Swift در GitHub است.
پس از اعلام این آسیب‌پذیری، این پلتفرم نگهداری کد که به مالکیت مایکروسافت درآمده است، اخیرا به مسئله پرداخته است.
Repojacking، که به اختصار نهادن مخزن (repository hijacking) نیز خوانده می‌شود، یک تکنیک است که در آن یک عامل تهدیدی قادر به دستکاری یک سازوکار امنیتی به نام بازنامه فضای نام (popular repository namespace retirement) می‌شود و در نهایت کنترل یک مخزن را به‌دست می‌آورد.
روش بالا به اقدام امنیتی اشاره دارد که توسط GitHub برای جلوگیری از حملات Repojacking (یا نهادن مخزن) انجام می‌شود. تاکید شده است که این اقدام امنیتی به‌طور خاص از این موضوع جلوگیری می‌کند ‌که دیگر کاربران بتوانند یک مخزن با همان نامی که در زمانی که حساب کاربری آن تغییر نام می‌کند، بیش از ۱۰۰ کلون (یعنی کپی یا نسخه‌های مشابه) از آن ایجاد کنند.
برای توضیح بیشتر، فرض کنید یک کاربر در GitHub یک حساب به نام victim_user دارد و یک مخزن به نام repo را ایجاد کرده است. در این حالت، نام کاربری victim_user به همراه نام مخزن repo به عنوان بازنامه در نظر گرفته می‌شود. حالا، اگر این کاربر تصمیم بگیرد نام کاربری خود را به renamed_user تغییر دهد، GitHub جلوگیری می‌کند که دیگر کاربران بتوانند یک مخزن با نام repo را با این نام کاربری جدید ایجاد کنند تا زمانی که مخزن repo بیش از ۱۰۰ کلون داشته باشد. بدین ترتیب، ترکیب نام کاربری renamed_user و نام مخزن repo به عنوان بازنامه در نظر گرفته می‌شود و دیگر کاربران نمی‌توانند از این نام استفاده کنند.
هدف از این اقدام امنیتی، جلوگیری از تداخل‌ها و احتمال حملات Repojacking به کمک ایجاد مخزن‌های مخرب با نام‌های مشابه است. این تدابیر امنیتی مهمی هستند تا امنیت و اعتماد کاربران به مخزن‌های نرم‌افزاری موجود در GitHub حفظ شود. اگر این تدابیر امنیتی به آسانی دور زده شوند، این اجازه را به حمله‌کنندگان می‌دهد که حساب کاربری جدیدی با همان نام کاربری ایجاد کرده و مخزن‌های مخربی را بارگذاری کنند و احتمالاً به حملات زنجیره‌تأمین نرم‌افزاری منجر شوند.

حمله Repojacking
روش حمله Repojacking توسط Checkmarx بین ایجاد یک مخزن و تغییر نام کاربری به منظور دستیابی به Repojacking از یک شرایط رقابتی ممکن استفاده می‌کند. این روش به طور خاص، شامل مراحل زیر می‌شود:
۱. قربانی نام فضای victim_user/repo را در اختیار دارد.
۲. قربانی نام کاربری victim_user را به renamed_user تغییر می‌دهد.
۳. مخزن victim_user/repo اکنون بازنامه شده است.
۴. یک عامل تهدیدی با نام کاربری attacker_user به طور همزمان یک مخزن به نام repo ایجاد کرده و نام کاربری خود را به victim_user تغییر می‌دهد.
مرحله آخر با استفاده از درخواست API برای ایجاد مخزن و درخواست انتقال نام کاربری برای تغییر نام انجام می‌شود. این یافته تقریباً نه ماه پس از اینکه GitHub یک آسیب‌پذیری مشابه در دور زدن معافیت Repojacking کشف کرد و به حملات Repojacking درها باز کرد.
کشف این آسیب‌پذیری نوین در عملیات ایجاد مخزن و تغییر نام کاربری در GitHub نقاط ضعف مداوم مرتبط با سازوکار «بازنامه نام فضای نام معروف» را برجسته می‌کند.

منبع خبر:

https://thehackernews.com/2023/09/critical-github-vulnerability-exposes.html

این یک آسیب‌پذیری با شناسه CVE-2023-36845 در Juniper Networks Junos OS بر روی سری EX و SRX است. این آسیب‌پذیری به حمله‌کننده از راه دور و بدون نیاز به احراز هویت اجازه می‌دهد تا کد را از راه دور اجرا کند. با استفاده از یک درخواست ساخته‌شده که متغیر PHPRC را تنظیم می‌کند، حمله‌کننده می‌تواند محیط اجرای PHP را تغییر دهد و اجازه واردکردن و اجرای کد را داشته باشد. 
این مشکل تأثیرگذار بر Juniper Networks Junos OS بر روی سری EX و SRX است و بر روی نسخه های زیر تأثیر می‌گذارد:
•    تمام نسخه‌های پیش از 20.4R3-S9
•    نسخه‌های 21.1 از 21.1 R1 به بعد
•    نسخه‌های 21.2 پیش از 21.2R3-S7
•    نسخه‌های 21.3 پیش از 21.3R3-S5
•    نسخه‌های 21.4 پیش از 21.4R3-S5
•    نسخه‌های 22.1 پیش از 22.1R3-S4
•    نسخه‌های 22.2 پیش از 22.2R3-S2
•    نسخه‌های 22.3 پیش از 22.3R2-S2، 22.3R3-S1
•    نسخه‌های 22.4 پیش از 22.4R2-S1، 22.4R3
•    نسخه‌های 23.2 پیش از 23.2R1-S1، 23.2R2.

همچنین یک حمله‌کننده از راه دور و بدون نیاز به احراز هویت ممکن است دسترسی به اجرای کد از راه دور را به دست آورده و از طریق آن سرور را به‌طور کامل مورد آسیب‌پذیر قرار دهد. این موضوع ممکن است منجر به دزدیده شدن اطلاعات محرمانه، نصب باج‌افزار (Ransomware)، یا گسترش حمله به شبکه داخلی شود. حمله‌کننده با نام "Sniper" قادر به استخراج اطلاعات مهم به عنوان شواهد از سیستم هدف است.
برای رفع این آسیب‌پذیری، توصیه می‌شود که سرور Juniper Networks Junos OS به آخرین نسخه بروزرسانی شود.

مراجع

در نرم‌افزار OneView شرکت HP، سه نقص امنیتی شناسایی شده‌اند که ممکن است از راه دور برای دور زدن احراز هویت، افشای اطلاعات حساس و حملات انکار سرویس مورد سوء استفاده قرار گیرند.
HPE OneView یک نرم افزار مدیریت زیرساخت فناوری اطلاعات به صورت یکپارچه است که عملیات فناوری اطلاعات را خودکار می‌کند و مدیریت زیرساخت از جمله محاسبات، ذخیره سازی و شبکه را ساده می‌کند.
آسیب پذیری‌های فاش شده با شماره‌های زیر ثبت شده‌اند:  

• CVE-2023-30908 - دور زدن احراز هویت از راه دور
• CVE-2023-2650 - انکار سرویس

CVE-2023-30908 – انحراف از احراز هویت از راه دور
در این آسیب‌پذیری با امتیاز CVSS 9.8، حمله‌کننده می‌تواند از طریق دور زدن احراز هویت به دسترسی غیرمجاز به HPE OneView دست پیدا کند. این آسیب‌پذیری به دلیل نحوه مدیریت اطلاعات اعتبار کاربران در HPE OneView ایجاد می‌شود.
حمله‌کننده ممکن است با ارسال یک درخواست به‌صورت ویژه به سرور HPE OneView از این آسیب‌پذیری بهره‌برداری کند.
CVE-2023-2650 – انکار سرویس
حمله‌کننده از راه دور ممکن است از این آسیب‌پذیری به منظور انجام حمله انکار سرویس روی HPE OneView بهره‌برداری کند. این آسیب‌پذیری به دلیل نحوه OpenSSL در دستور OBJ_obj2txt() ایجاد می‌شود.
حمله‌کننده ممکن است با ارسال یک درخواست به‌صورت ویژه به سرور HPE OneView از این آسیب‌پذیری بهره‌برداری کند.

نسخه‌های تحت تأثیر
HPE OneView – قبل از نسخه v8.5 و v6.60.05 patch

 رفع مشکل
برای رفع این آسیب‌پذیری‌ها در نرم‌افزار Hewlett Packard Enterprise OneView نسخه‌های 8.5 به بالا و نسخه 6.60.05 LTS، HPE از به‌روزرسانی نرم‌افزار زیر استفاده کرده است.

• Hewlett Packard Enterprise OneView v8.5 یا نسخه‌های بالاتر
• Hewlett Packard Enterprise OneView v6.60.05 LTS

HPE پچ‌های رفع مشکلات برای نسخه‌های تحت تأثیر HPE OneView منتشر کرده است. برای محافظت از سیستم‌ها در برابر این آسیب‌پذیری‌ها، کاربران باید به‌روزرسانی‌ها را اعمال کنند.

منبع خبر:

https://cybersecuritynews.com/hpe-oneview-vulnerability/

یک بدافزار انتشار جدید به نام HijackLoader در محیط سایبری به منظور ارسال انواع مختلفی از بدافزارهای مخرب مانند DanaBot، SystemBC و RedLine Stealer کشف گردیده است.
اگرچه HijackLoader شامل ویژگی‌های پیشرفته نمی‌شود، اما از این قابلیت برخوردار است که از انواع ماژول‌ها برای درج کد و اجرا استفاده کند، زیرا از یک معماری ماژولار استفاده می‌کند و این ویژگی در بیشتر منتشرکننده‌ها وجود ندارد.
این بدافزار شامل استفاده از syscalls برای اجتناب از نظارت توسط راه‌حل‌های امنیتی، نظارت بر فرآیندهای مرتبط با نرم‌افزارهای امنیتی بر اساس یک فهرست سیاه‌ جاسازی (Embedded Blocklist) شده و به تعویق انداختن اجرای کد تا حداکثر ۴۰ ثانیه در مراحل مختلف است.
بردار دسترسی اولیه برای نفوذ به اهداف در حال حاضر شناخته نشده است. این بارگذار دارای یک ماژول اصلی ابزاردهی است که اجرای کد و درج کد انعطاف‌پذیر را با استفاده از ماژول‌های جاسازی شده فراهم می‌کند.
پایداری در سیستم قربانی توسط ایجاد یک فایل میانبر (LNK) در پوشه راه‌اندازی ویندوز و اشاره به یک کار BITS (Background Intelligent Transfer Service) تحقق می‌یابد.
HijackLoader یک بارگذار ماژولار با تکنیک‌های جلوگیری است که انواع گزینه‌های بارگذاری برای بارهای مخرب فراهم می‌کند. علاوه بر این، هیچ ویژگی پیشرفته‌ای ندارد و کیفیت کد آن ضعیف است.
این افشا به معرفی نسخه به‌روزشده‌ای از بدافزار دزدی اطلاعات به نام RisePro از طریق خدمت‌دهنده دانلود بدافزار با پرداخت به نام PrivateLoader توسط Flashpoint همراه شد.
فروشنده در تبلیغات خود ادعا کرده است که بهترین جنبه‌های 'RedLine' و 'Vidar' را انتخاب کرده تا یک دزدی قدرتمند ایجاد کند.
 RisePro که به زبان C++ نوشته شده است، طراحی شده است تا اطلاعات حساس را از رایانه‌های آلوده جمع‌آوری کرده و به صورت گزارش‌ها به سرور کنترل فرمان و کنترل (C&C) ارسال کند. این بدافزار برای فروش اولین بار در دسامبر ۲۰۲۲ ارائه شد.
همچنین یک بدافزار جدید دزدی اطلاعات که با استفاده از Node.js نوشته شده و در یک فایل اجرایی قرار داده شده و از طریق تبلیغات فیس‌بوک با موضوع مدل زبان بزرگ (LLM) و وب‌سایت‌های تقلبی به عنوان ویرایشگر ویدیو CapCut شرکت ByteDance شناخته می‌شود، کشف شده است.
زمانی که اجرا می‌شود، کوکی‌ها و اعتبارهای خود را از چندین مرورگر وب مبتنی بر کروم سرقت می‌کند، سپس اطلاعات را به سرور C&C و به ربات تلگرام ارسال می‌کند و هنگامی که سرور C&C پیامی به مشتری ارسال می‌کند، عملکرد سرقت مجدداً اجرا می‌شود. مرورگرهای هدف شامل Google Chrome، Microsoft Edge، Opera (و OperaGX) و Brave هستند.
این دومین بار است که وب‌سایت‌های تقلبی CapCut مشاهده شده‌اند که امکان سرقت اطلاعات را ارائه می‌دهند. در ماه مه ۲۰۲۳، Cyble دو زنجیره حمله متفاوتی را کشف کرد که از نرم‌افزار به عنوان یک تلفیق‌کننده برای گول زدن کاربران ناشناخته برای اجرای Offx Stealer و RedLine Stealer استفاده می‌کردند.
تحولات و رخدادهای مختلفی که در حوزه جرم سایبری و حملات اینترنتی اتفاق می‌افتد، تصویری از یک سیستم پویا را نشان می‌دهند. این سیستم شامل تعاملات و فعالیت‌های متعددی از جمله ایجاد و گسترش نرم‌افزارهای مخرب، روش‌های جدیدی برای نفوذ به سیستم‌ها و شبکه‌ها، استفاده از تکنیک‌های تازه برای جلب توجه و سایر عوامل مرتبط با جرم سایبری می‌باشد.
این سیستم به طور مداوم در حال تکامل و تغییر است و عوامل تهدیدی در آن برای نفوذ به سازمان‌ها و انجام عملیات پس از نفوذ از طریق عفونت‌های دزدی از اطلاعات به عنوان یک برداشت حمله اصلی استفاده می‌کنند. این تغییرات و تحولات نشان‌دهنده پیچیدگی و پویایی جرم سایبری در دنیای امروز و نیاز به تصمیم‌گیری‌ها و اقدامات امنیتی مداوم برای مقابله با این تهدیدات است.
بدافزار مبتنی بر پایتون با استفاده از Pyinstaller بسته‌بندی شده است، که می‌تواند برای ترکیب کد مخرب و تمام وابستگی‌های آن به یک فایل اجرایی واحد استفاده شود.
بدافزار تمرکز خود را بر روی چندین کار مهم مرتبط با متغیرهای امنیتی در سیستم عامل ویندوز دارد:
1.  غیرفعال کردن Windows Defender: این بدافزار سرقت اطلاعات سعی دارد این نرم‌افزار آنتی‌ویروس را غیرفعال کند.
2.  تنظیم مجدد تنظیمات Windows Defender:  بدافزار تلاش می‌کند تنظیمات ویندوز Defender را به نفع خود تغییر دهد. این ممکن است شامل تغییر تنظیمات اسکن و تنظیمات حفاظت در زمینه‌های مختلف امنیتی باشد. این تغییرات معمولاً برای اجتناب از تشخیص بدافزار توسط نرم‌افزار آنتی‌ویروس ویندوز Defender انجام می‌شود.
3.  پیکربندی پاسخ به تهدیدات خود:  بدافزار سرقت اطلاعات اقدام به تنظیم پاسخ‌های خود به تهدیدات ممکن در سیستم می‌کند. این به این معناست که اگر سیستم یا نرم‌افزارهای امنیتی سعی در تشخیص یا حذف آن کنند، بدافزار ممکن است به صورت خودکار تنظیمات خود را تغییر دهد تا شناسایی نشود و از مراقبت‌های امنیتی فرار کند.
این عملیات‌ قصد دارند تا بدافزار را در سیستم فعال نگه دارند و از شناسایی و حذف آن توسط نرم‌افزارهای امنیتی ویندوز Defender جلوگیری کنند، به این ترتیب از ادامه فعالیت‌های مخرب خود بر روی سیستم قربانی مطمئن شوند.
به نظر می‌رسد که این بدافزار برای دزدی و انتقال اطلاعات طراحی شده است، در حالی که از شناسایی توسط ابزارهای امنیتی و همچنین محدوده‌های تحلیل پویا پنهان می‌شود.

توصیه‌های امنیتی
1. به‌روزرسانی نرم‌افزارها: اطمینان حاصل کنید که سیستم‌عامل، نرم‌افزارها، و برنامه‌های امنیتی شما به‌روزرسانی شده باشند. بسیاری از بدافزارها از ضعف‌ها و آسیب‌پذیری‌های پیشین استفاده می‌کنند.
2. استفاده از آنتی‌ویروس: نصب یک نرم‌افزار آنتی‌ویروس قوی و به‌روز و تنظیم آن برای اسکن و شناسایی بدافزارها می‌تواند به شما کمک کند تا از نفوذ جلوگیری کنید.
3. مراقبت از فایل‌ها و ضمیمه‌ها: هرگز فایل‌ها و ضمیمه‌های ناشناخته و از منابع ناشناخته در ایمیل‌ها یا پیام‌های مستقیم دانلود یا اجرا نکنید.
4. جلوگیری از اجرای کدهای ناشناخته: اجازه ندهید به‌صورت خودکار کدها و اسکریپت‌های ناشناخته اجرا شوند. ممکن است از ویروس‌های معمولاً کد‌های اجراشونده در ایمیل‌ها یا در وبسایت‌ها استفاده کنند.

منبع خبر:

https://thehackernews.com/2023/09/new-hijackloader-modular-malware-loader.html

یک حمله سایبری جدید از اسکریپت PowerShell مرتبط با یک ابزار مورد استفاده تیم قرمز برای دزدیدن هش‌های  NTLMv2  از سیستم‌های ویندوز هک شده، کشف شده است.
فعالیت‌های این حمله توسط تیم تهدید ThreatLabz شرکت Zscaler با نام کد "Steal-It" شناسایی شده است.
 

شکل 1- تصویری از فرآیند حمله

ابزار قرمز یک مجموعه از ابزارها، تکنیک‌ها و روش‌های مورد استفاده در امنیت اطلاعات است که برای شناسایی ضعف‌ها و آسیب‌پذیری‌های سیستم‌ها و شبکه‌ها به منظور افزایش سطح امنیت از طریق شبیه‌سازی حملات سایبری استفاده می‌شود. این نوع ابزارها و تکنیک‌ها توسط افراد یا تیم‌های امنیتی با اجازه و اهداف مشخصی تحت عنوان «قرمز تیمینگ» یا «تیم تهاجمی» مورد استفاده قرار می‌گیرند.
هش‌های NTLMv2 (NT Lan Manager version 2) یک نوع رمزنگاری است که در سیستم عامل ویندوز برای احراز هویت و دسترسی کاربران به منابع شبکه استفاده می‌شود. این هش‌ها برای ارسال و دریافت اطلاعات احراز هویت کاربران از سیستم‌های ویندوز به کمک پروتکل NTLM (NT Lan Manager) به‌کار می‌روند.
استفاده از هش‌های NTLMv2 در سیستم‌های ویندوز به عنوان یکی از مکانیزم‌های امنیتی احراز هویت معمولی است. با این حال، مهاجمان ممکن است سعی کنند این هش‌ها را برای حملات خود به‌کار بگیرند. Nishang یک چارچوب و مجموعه‌ای از اسکریپت‌ها و بارهای PowerShell برای امنیت تهاجمی، تست نفوذ و تیم قرمز می‌باشد.
 

شکل 2- تصویری از فرآیند چارچوب

این حملات از یک تا پنج زنجیره آلودگی مختلف بهره می‌برند، اگرچه همه آنها از ایمیل‌های فیشینگ حاوی فایل‌های ZIP به عنوان نقطه شروع برای نفوذ به اهداف خاص با استفاده از تکنیک‌های جغرافیایی بهره‌بری می‌کنند:
- زنجیره آلودگی سرقت هش NTLMv2 که از نسخه سفارشی از اسکریپت PowerShell Start-CaptureServer گفته شده برای جمع‌آوری هش‌های NTLMv2 استفاده می‌کند.
- زنجیره آلودگی سرقت اطلاعات سیستم که با استفاده از ویژگی‌های OnlyFans کاربران را به دانلود یک فایل CMD ترغیب می‌کند که اطلاعات سیستم را برمی‌دارد.
- زنجیره آلودگی Fansly whoami که از تصاویر واضح مدل‌های Fansly برای جلب کاربران به دانلود یک فایل CMD ترغیب می‌کند که نتایج دستور whoami را انتقال می‌دهد.
- زنجیره آلودگی به‌روزرسانی ویندوز که به‌کاربران حمله می‌کند و از اسکریپت‌های جعلی به‌روزرسانی ویندوز طراحی شده برای اجرای دستورات مانند tasklist و systeminfo استفاده می‌کند.

توصیه‌های امنیتی

1. به‌روزرسانی سیستم‌ها: اطمینان حاصل کنید که سیستم‌های شما با آخرین به‌روزرسانی‌ها و پچ‌های امنیتی ارائه‌شده توسط تولیدکنندگان نرم‌افزارها و سیستم‌عامل‌ها به‌روز باشند. این کار به شما کمک می‌کند تا آسیب‌پذیری‌های معروفی که توسط حملات از نوع Steal-It بهره‌برداری می‌شوند، رفع شوند.
2. محدود کردن دسترسی به PowerShell: محدود کردن دسترسی به PowerShell برای کاربران معمولی و تنظیم سیاست‌های اجرای اسکریپت‌ها در PowerShell می‌تواند از اجرای اسکریپت‌های مخرب جلوگیری کند. همچنین، مطمئن شوید که اسکریپت‌های PowerShell فقط از منابع معتبر و امن اجرا می‌شوند.
3. رصد ترافیک شبکه: از رصد ترافیک شبکه با استفاده از ابزارهای امنیتی مختلف مانند SIEM (سیستم مدیریت اطلاعات و رویدادهای امنیتی) و IDS/IPS (سیستم‌های تشخیص نفوذ و جلوگیری از نفوذ) استفاده کنید.
4. توانایی تشخیص اسکریپت‌های مخرب: ابزارهای تشخیص اسکریپت‌های مخرب (مثل Antivirus و EDR) را روی سیستم نصب کنید تا اسکریپت‌های مشکوک را تشخیص داده و جلوی اجرای آن‌ها را بگیرید.

منبع خبر:

https://thehackernews.com/2023/09/cybercriminals-using-powershell-to.html

سیسکو درباره یک آسیب‌پذیری روز صفر CVE-2023-20269 در Cisco Adaptive Security Appliance (ASA) و Cisco Firepower Threat Defense (FTD) هشدار می‌دهد که به طور فعال توسط عملیات باج‌افزار برای دسترسی اولیه به شبکه‌های شرکتی اکسپلویت شده است.
آسیب‌پذیری روز صفر با شناسه CVE-2023-20269 و شدت متوسط، ویژگی VPN سیسکو ASA و Cisco FTD را تحت تأثیر قرار می‌دهد و به مهاجمان غیرمجاز از راه دور اجازه می‌دهد تا حملات  brute force  علیه حساب‌های موجود انجام دهند.  مهاجمان با دسترسی به حساب ها می‌توانند یک جلسه SSL VPN بدون کلاینت را در شبکه سازمان نقض شده ایجاد کنند، که بسته به پیکربندی شبکه قربانی می‌تواند پیامدهای متفاوتی داشته باشد.
این آسیب پذیری در رابط خدمات وب دستگاه های Cisco ASA وCisco FTD، به ویژه عملکردهایی که با توابع احراز هویت، مجوز و حسابداری (AAA) مرتبط هستند، قرار دارد. آسیب پذیری به دلیل جداسازی نادرست عملکردهای AAA و سایر ویژگی های نرم افزار ایجاد می شود و منجر به سناریوهایی می‌شود که در آن مهاجم می تواند درخواست‌های تایید هویت را به رابط خدمات وب ارسال کند تا بر مؤلفه‌های مجوز تأثیر بگذارد یا آنها را به خطر بیاندازد.
 از آنجایی که این درخواست‌ها هیچ محدودیتی ندارند، مهاجم می‌تواند با استفاده از ترکیب‌های نام کاربری و رمز عبور بی‌شماری، بدون محدود کردن نرخ یا مسدود شدن برای اکسپلویت آسیب پذیری ها، اعتبارنامه‌های اجباری را اکسپلویت کند.
سیسکو یک به‌روزرسانی امنیتی را برای آسیب پذیری CVE-2023-20269 منتشر می‌کند، اما تا زمانی که اصلاحات در دسترس نباشد، به مدیران سیستم توصیه می‌کند از DAP (سیاست های دسترسی پویا) برای متوقف کردن تونل های VPN با DefaultADMINGroup یا DefaultL2LGroup استفاده کنند. با تنظیم vpn-simultaneous-logins برای DfltGrpPolicy روی صفر و اطمینان از اینکه تمام نمایه های جلسه VPN به یک خط مشی سفارشی اشاره می کنند، دسترسی را با خط مشی پیش فرض گروه مسدود کنند. محدودیت‌های پایگاه داده کاربر محلی را، با قفل کردن کاربران خاص در یک نمایه، با گزینه قفل گروهی اعمال کنند و با صفر کردن ورودی های مجازی vpn از تنظیمات VPN جلوگیری کنند.  سیسکو همچنین توصیه می‌کند که پروفایل‌های VPN با دسترسی از راه دور پیش‌فرض را با نشان دادن تمام پروفایل‌های غیرپیش‌فرض، به یک سرور AAA حفره‌ای (سرور LDAP ساختگی) و فعال کردن گزارش‌گیری برای شناسایی زودهنگام حملات احتمالی، ایمن کنند.
در نهایت، به این نکته توجه داشته باشیم که احراز هویت چند عاملی (MFA) خطر را کاهش می‌دهد، زیرا حتی اعتبارنامه‌های اجباری حساب با موفقیت برای ربودن حساب‌های ایمن MFA و استفاده از آنها برای ایجاد اتصالات VPN کافی نیست.
منابع خبر

 Notepad++ نسخه 8.5.7 با اصلاحاتی برای سرریز چند بافر در روز صفر منتشر شده است، که یکی از آنها منجر به اجرای کد با فریب کاربران، برای باز کردن فایل‌های ساختگی علامت‌گذاری شده است.
Notepad++  یک ویرایشگر کد منبع رایگان محبوب است که از بسیاری از زبان های برنامه نویسی پشتیبانی می کند و می تواند از طریق افزونه ها گسترش یابد و ویژگی های افزایش بهره وری، مانند ویرایش چند زبانه و برجسته سازی نحو را ارائه دهد. آسیب‌پذیری‌های کشف‌شده شامل سرریزهای نوشتن و خواندن بافر پشته در توابع و کتابخانه‌های مختلف مورد استفاده Notepad++ است.
شدیدترین این آسیب پذیری ها CVE-2023-40031 است که امتیاز 7.8 (بالا) به آن اختصاص داده شده است که منجر به اجرای کد می شود. سه آسیب پذیری دیگر، با شناسه های CVE-2023-40163، CVE-2023-40033، CVE-2023-40166 با شدت متوسط (5.5) هستند که ممکن است برای افشای اطلاعات تخصیص حافظه داخلی مورد استفاده قرار گیرند. نسخه‌های 8.5.6 و نسخه‌های قبلی در برابر سرریز خواندن بافر پشته‌ای در «FileManager::detectLanguageFromTextBegining» آسیب‌پذیر هستند .از زمان انتشار، هیچ وصله شناخته شده ای در نسخه های موجود Notepad++ موجود نیست. در حال حاضر Notepad++ نسخه 8.5.7، برای رفع چهار آسیب پذیری و سایر اشکالات ذکر شده منتشر شده است و  باید در Changelog نصب شود. 
منابع خبر

نرم‌افزار مخرب Chaes به‌عنوان یک نسخه جدید و پیشرفته‌تر بازگشته است که شامل پیاده‌سازی سفارشی پروتکل Google DevTools برای دسترسی مستقیم به توابع مرورگر قربانی است، که به این نرم‌افزار اجازه می‌دهد از طریق WebSockets اطلاعات را سرقت کند. برای مطالعه بیشتر اینجا کلیک نمایید.

یک آسیب‌پذیری در سرویس تاریخچه فایل ویندوز اخیراً کشف شده است که می‌تواند توسط هکرها برای افزایش امتیازهای دسترسی در یک سیستم ویندوزی استفاده شود. این مشکل به مایکروسافت گزارش شده و پچ‌های لازم برای رفع این آسیب‌پذیری منتشر شده‌اند. تاریخچه فایل برای ویندوز یک ویژگی پشتیبان‌گیری و بازیابی است که به‌طور خودکار اطلاعات موجود در کتابخانه‌ها، دسکتاپ، پوشه‌های مورد علاقه و غیره را پشتیبان‌گیری می‌کند. همچنین این امکان وجود دارد که اطلاعات منابع خارجی مانند USB، فلش درایو یا هارد دیسک هم پشتیبان‌گیری شود. این آسیب پذیری با شناسه CVE-2023-35359 ثبت گردیده است. برای مطالعه بیشتر اینجا کلیک نمایید.