IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

مایکروسافت

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

افشای ارتباط گروه تحت حمایت دولت و باج افزار Hades با حملات اخیر مایکروسافت Exchange

 

کارشناسان امنیتی، باج افزار Hades و گروه تحت حمایت دولت با نام Hafnium را که در پشت پرده حملات اولیه به سرورهای Microsoft Exchange بوده است، با یکدیگر مرتبط دانسته اند.

پرسنل این باج افزار همچنین مسئول حملات به یکی از بزرگان صنعت حمل بار با نام فوروارد ایر و تعداد انگشت شمار دیگری از شرکت ها بوده اند. این مسئله مرتبط با گروه عملیاتی روسی بدنام فعال در زمینه جرایم سایبری با نام اویل کورپ (Indrik Spider) بوده است که به شکل گونه جدیدی از باج افزار WasterdLocker خود، که برای کمک به گروه های دور زننده تحریم هایی که موجب دلسردی و انصراف قربانیان از پرداخت هزینه ها می شود، طراحی شده است.

با این حال ، گزارش جدیدی از اویک سکیوریتی، ادعا می کند دامنه ای را برای command-and-control در حمله Hades در ماه دسامبر سال 2020، درست قبل از کشف حملات سرور Zero-day Exchange پیدا کرده است.

جیسون بویس، معاون اویک سکیوریتی، توضیح داد: "تیم ما پس از به خطر افتادن و رمزگذاری جهت بررسی وضعیت حادث شده، ورود کردند و در این مورد خاص، دامنه هافنیوم به عنوان عامل ایجاد خطر در طی حمله Hades شناسایی شد".

وی افزود: "علاوه بر این ، این دامنه با یک سرور Exchange مرتبط بود و در روزهای منتهی به حادثه رمزگذاری برای command-and-control استفاده می شده است".

وی همچنین ادعا کرد که در کل دو احتمال وجود دارد: یک عامل تهدید کننده بسیار حرفه ای، در پوشش Hades در در این کار دست دارد و یا اینکه چند گروه مستقل به دلیل ضعف امنیتی، به طور تصادفی از همان محیط استفاده می کنند.

یافته های دیگر Hades را به عنوان یک گروه باج افزار غیرمعمول معرفی و مشخص می کند. تعداد بسیار کمی از قربانیان شناسایی شده اند و بیشتر به نظر می رسد از بخشهای صنایع تولیدی باشند.

بویس همچنین به "پیچیدگی بسیار کمی" در سایت های نشت راه اندازی شده توسط این گروه اشاره کرد، شامل حساب توییتر خود، صفحه ای در هک‌فرومز و صفحات پیج‌بین و هیست‌بین که متعاقبا حذف شده اند.

وی افزود: "همانطور که متخصصین این دست حوادث می دانند، برای عاملین و گردانندگان باج افزار بسیار معمول است که سایت هایی را برای نشت داده های خود ایجاد کنند، اما آنچه در مورد Hades جالب بود این است که آنها از روش هایی برای نشت و سایت های خود استفاده کردند که معمولا در مدت زمان بسیار کوتاهی از دسترس خارج شده اند".

"ما می دانیم که عامل حملات مبلغی در حدود 5 تا 10 میلیون دلار به عنوان باج درخواست کرده و جالب اینکه در پاسخ‌دهی به افراد، بسیار کند عمل میکند. در بعضی موارد، ممکن است اصلاً پاسخی نداده باشند. در موردی نیز، یکی از کاربران توییتر حتی اعلام کرده است "TA هرگز پاسخ نمی دهد". اگر فقط چند سازمان مورد حمله قرار گرفته بودند، چرا باید پاسخگویی به درخواست های باج برای این همه مدت طولانی زمان ببرد؟ آیا انگیزه بالقوه دیگری در این حمله وجود داشته است؟ چرا از آن زمان تا کنون خبری از Hades نبوده است؟".

بویس همچنین خاطر نشان کرد که داده های فاش شده در سایت ها بسیار کمتر از اطلاعاتی است که در اصل گروه به سرقت برده است، که مربوط به مراحل دقیق و جزئیات تولید است.

این گزارش همچنین به بازماندگان فعالیتهایی در گروه باج افزاری TimosaraHackerTerm (THT) در برخی از محیط های کاربری قربانیان Hades، چند هفته قبل از سری حملات ثانویه اشاره داشت. این موارد شامل استفاده از Bitlocker یا BestCrypt برای رمزگذاری، اتصال به آدرس IP کشور رومانی و استفاده از VSS Admin برای پاکسازی نسخه های shadow copy در دستگاه اصلی است.

انتشار فهرست خطرناک ترین آسیب پذیری های سایبری و کسب رتبه نخست توسط Office

اداره امنیت سایبری و امنیت زیرساخت های امنیت داخلی آمریکا (DHS CISA) و دفتر تحقیقات فدرال FBI آمریکا، یک فهرست مشترک از خطرناک‌ترین آسیب پذیری‌های امنیتی که موجب تهدید کاربران فضای مجازی شده است را منتشر کرده اند که شامل ده آسیب پذیری برتر فضای مجازی از سال ۲۰۱۶ تا ۲۰۱۹ می باشد.

این آسیب پذیری ها بیشترین خسارت را به نهادهای بخش دولتی و خصوصی در آمریکا تحمیل کرده‌اند و به کاربران هشدار داده شده که باید فایل‌های به‌روزرسانی را برای جلوگیری از تداوم مشکلات ناشی از وجود این حفره‌های امنیتی نصب کنند. گزارش تهیه شده در این زمینه نشان می‌دهد هکرهای دولتی و مستقل به طور گسترده از آسیب پذیری‌های مذکور برای حملات سایبری استفاده کرده‌اند.

top 10 most exploited vulnerabilities

مشاهدات مربوط به هشدار امنیتی مشترک CISA و FBI عبارتند از:

- متداول ترین مورد حمله  OLE یا همان Object Linking and Embedding مایکروسافت بود. این فناوری گنجاندن محتواهای سایر برنامه‌های کاربردی اعم از عکس و ویدئو و غیره را در نرم افزار آفیس ممکن می‌کند. آسیب پذیریهای OLE مانند CVE-2017-11882 ، CVE-2017-0199 و CVE-2012-0158 بیشترین آسیب پذیری های مورد استفاده گروههای تحت حمایت دولت ملی کشورهایی از جمله چین ، ایران ، کره شمالی و روسیه بودند.
- رتبه دوم این لیست به فناوری Apache Struts اختصاص دارد که یک برنامه متن باز اینترنتی برای توسعه برنامه‌های جاوای تحت وب است.
- همچنین بیشترین آسیب پذیری مورد استفاده در سال 2020 به شماره CVE-2019-19781 (اشکال در وسایل Citrix VPN) و CVE-2019-11510 (اشکال در سرورهای Pulse Secure VPN) بود.
در حین شیوع کروناویروس ، بسیاری از سازمانهایی که از محل کار منزل به کار خود مشغول کار هستند ، از سوء استفاده مستقر در دفتر 365 پیکربندی شده اند.
- همچنین در حین شیوع کروناویروس ، بسیاری از سازمانهایی که ارتباط کارمندان خود را بصورت دورکاری فعال نموده اند، به دلایل مختلف پیکربندی امن و کاملی را برای Office 365 انجام نداده اند و براحتی مورد سوء استفاده قرار گرفته اند.

لیست 10 آسیب پذیری برتر نیز شامل موارد زیر میباشد که براحتی با جستجو در سایت nist.gov امکان مطالعه و بررسی دقیق آنها را دارید:


CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158, CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600.

 

بالاخره دلیل اصلی بزرگترین نشت اطلاعاتی سولارویندز مشخص شد!

 

در حالی که محققان امنیت سایبری به حمله گسترده علیه زنجیره تامین SolarWinds ادامه میدهند، مدیران ارشد شرکت خدمات نرم افزاری مستقر در تگزاس، یک کارآموز را مقصر آسیب رمز عبور مهمی میدانند که برای سال ها مورد توجه قرار نگرفته بود.

takian.ir solarwinds blames intern for weak password that led to biggest attack in 2020

در ابتدا اعتقاد بر این بوده است که رمز عبور "SolarWinds123" از 17 ژوئن سال 2018 و قبل از پیکربندی ناصحیح در 22 نوامبر 2019 از طریق داده های Github در دسترس عموم بوده است.

اما در جلسه استماع که در روز جمعه و در برابر کمیته های نظارت، اصلاحات و امنیت داخلی مجلس در SolarWinds برگزار شد، مدیرعامل مجموعه (سوداکار راماکریشنا) شهادت داد که رمز عبور از اوایل سال 2017 مورد استفاده قرار گرفته است.

در حالی که تحقیقات مقدماتی در مورد این حمله نشان داد اپراتورهایی که عامل جاسوسی بوده اند موفق شده اند از اوایل اکتبر 2019 با ایجاد نرم افزار و همچنین ایجاد زیرساخت امضای کد از پلت فرم SolarWinds Orion برای تحویل بسته به Sunburst Backdoor بهره ببرند، حال آنکه تلاش های Crowdstrike برای پاسخگویی با استناد به یک جدول زمان بندی تجدید نظر شده نشان میدهد که اولین نقص شبکه SolarWinds در 4 سپتامبر 2019 ایجاد شده است.

تا به امروز دستکم 9 سازمان دولتی و 100 شرکت خصوصی به عنوان یکی از پیچیده ترین و برنامه ریزی شده ترین عملیات شامل نفوذ و رسوخ عامل مخرب به سیستم عامل نرم افزار Orion با هدف به خطر انداخت مشتریانشان، تخلف کرده و تحت حمله قرار گرفته اند.

اشتباهی که یک کارآموز مرتکب شد

کتی پورتر ، نماینده کالیفرنیا ، گفت: "من رمز عبور قوی تری نسبت به "solarwinds123" دارم تا بچه هایم را از تماشای YouTube بیش از حد در iPad خود بر حذر دارم"؛ "شما و شرکت شما قرار بود مانع خواندن ایمیل های وزارت دفاع توسط روس ها شوید".

راماکریشنا در پاسخ به پورتر گفت: "به زعم بنده، این رمز عبوری بوده است که یک کارآموز در سال 2017 در یکی از سرورهای وی استفاده شده که به تیم امنیتی ما گزارش شد و بلافاصله برداشته و حذف شده است".

مدیر عامل سابق مجموعه، کوین تامپسون اظهارات راماکریشنا را در هنگام شهادت تکرار کرد و گفت: "این مربوط به اشتباهی بود كه یك كارآموز مرتكب شد. آنها خط مشی و اصول رمز عبور ما را نقض كردند و این رمز عبور را در حساب خصوصی GitHub خود قرار دادند". وی افزود: "به محض اینکه شناسایی این مورد شد و به اطلاع تیم امنیتی من رسید، آنها این نقص قانون را حل و فصل کرده و از این آسیب جلوگیری کردند".

محقق امنیتی، وینوت کومار در ماه دسامبر افشا کرد که وی به شرکتی به داده های GitHub دسترسی عمومی دارد، اطلاع داده است به وضوح اعتبارنامه های FTP اطلاعات وب سایت دانلود شرکت نشت پیدا کرده است و افزون بر آن، یک هکر می تواند از اعتبارنامه برای بارگذاری یک دستور و کد اجرایی مخرب استفاده کند و متعاقبا آن را در بروزرسانی های SolarWinds بارگذاری کند.

در هفته های پس از افشای اطلاعات ، SolarWinds در ژانویه 2021 با یک دادخواست طبقاتی روبرو شد که ادعا می کند این شرکت نتوانسته است اعلام کند که "از اواسط سال 2020، محصولات نظارت بر SolarWinds Orion دارای آسیب پذیری ای بوده اند  که به هکرها اجازه داده است تا سرور مورد نظر خود را به خطر بیاندازند و بروزرسانی های سرور SolarWinds دارای پسوردی بسیار ساده بوده اند (solarwinds123) که به متعاقب آن هدف تحت آسیب بسیار جدی قرار گفته است.

ناسا و سازمان هواپیمایی فدرال نیز هدف قرار گرفته اند

اعتقاد بر این است که حداکثر 18000 مشتری از SolarWinds به روزرسانی تروجان Orion را دریافت کرده اند، اگرچه عامل اجرایی و تهدید کننده این عملیات، با دقت اهداف خود را انتخاب کرده و تصمیم گرفته بوده است تنها در موارد با ضریب آسیب پذیری بالا با استفاده از بدافزار Teardrop مبتنی بر اینتل در هنگام شناسایی اولیه ، حملات را فقط در چند مورد در محیط هدف برای حساب های با ارزش بالا اقدام کند.

به گزارش واشنگتن پست، علاوه بر نفوذ به شبکه های مایکروسافت، CrowdStrike، Malwarebytes، FireEye و Mimecast، گفته میشود که مهاجمان از SolarWinds به عنوان سکوی پرشی برای نفوذ به اداره ملی هوا و فضا (NASA) و سازمان هواپیمایی فدرال (FFA) استفاده کرده اند.

هفت سازمان متخلف دیگر نیز شامل وزارت امور خارجه، دادگستری، بازرگانی، امنیت داخلی، انرژی، خزانه داری و موسسات ملی بهداشت هستند.

ریاست مایکروسافت، برد اسمیت در جلسه استماع گفت: "علاوه بر این برآورد، ما قربانیان دیگری در دولت و بخش خصوصی در کشورهای دیگر شناسایی کرده ایم و معتقد هستیم که به احتمال زیاد قربانیان دیگری که هنوز شناسایی نشده اند، از قلم افتاده اند. شاید علی الخصوص در مناطقی که مهاجرت ابری به اندازه کشور آمریکا پیشرفته نیست این موارد بیشتر نیز باشد".

ادعا میشود که گروه مهاجم روس تبار باشند با استفاده از مانیکرهای مختلف شامل UNC2452 (FireEye)، SolarStorm (Palo Alto Unit 42)، StellarParticle (CrowdStrike)، و Dark Halo (Volexity)  تحت تعقیب و ردیابی قرار گرفته اند.

آن نیوبرگر، معاون مشاور امنیت ملی ماه گذشته در جلسه توجیهی کاخ سفید گفت: هکرها این نفوذ هک را از داخل ایالات متحده آغاز کرده اند، که این امر امکان نظارت بر کار آنها را برای دولت آمریکا دشوارتر کرده است". همچنین وی افزود: "این یک عملیات پیچیده است که آنها تمام تلاش خود را برای پنهان کردن مسیرهای اقدامات خود به کار بسته اند. ما معتقدیم که برنامه ریزی و اجرای این عملیات، ماه ها طول کشیده است".

اتخاذ رویکرد "امنیت در طراحی"

اسمیت حمله سایبری SolarWinds را به "یک سری حملات نفوذی خانگی" تشبیه کرده است و خواستار تقویت زنجیره های تامین نرم افزار و سخت افزار بخش فناوری و همچنین ترویج به اشتراک گذاری گسترده تر اطلاعات تهدید و نفوذ برای انجام پاسخ های بی درنگ به هنگام چنین حوادثی، شده است.

بدین منظور، مایکروسافت پرسش های متن باز CodeQL را برای جستجوی فعالیت Solorigate مورد استفاده قرار داده است، که به گفته آن میتواند توسط سازمان های دیگر برای تجزیه و تحلیل کد منابع در مقیاس خود و بررسی شاخص های سازش یا IoCs و الگوهای رمزگذاری مرتبط با جمله مورد استفاده قرار گیرد.

در یک طرح توسعه مرتبط نیز، محققان امنیت با سایبری وال استریت ژورنال صحبت کرده و فاش کردند که هکرهای روسی مظنون، از مراکز داده رایانش ابری آمازون برای ایجاد و اتصال قسمت اصلی این کمپین استفاده کرده اند و بدین ترتیب حملات و تاکتیک هایی که توسط مهاجمین استفاده شده را تا حدودی برملا و مشخص کرده اند. هر چند که این غول تکنولوژی تا کنون اطلاعات بیشتری در مورد فعالیت هکرها علنی نکرده است.

در انتها SolarWinds به نوبه خود گفته است که دانش به دست آمده از این حادثه را برای تبدیل شدن به یک شرکت "Secure by Design" یا امنیت در طراحی به کار گرفته و از این نرم افزار برای حفاظت از دیگر تهدیدات و همچنین شناسایی و حذف تهدیدها در تمام نقاط شبکه خود شامل اقدامات برای حفاظت از محیط توسعه خود، به کار میگیرد.

پژوهشگران از یک آسیب پذیری Zero-Day پرده برداشتند که همه نسخ ویندوز آلوده آن هستند

به گزارش سایت دهکرنیوز، یک محقق امنیتی یک آسیب پذیری روزصفر (Zero-Day) را بصورت عمومی منتشر کرد که تمامی نسخه ای سیستم عامل ویندوز (حتی نسخه ای سرور) به آن آلوده هستند.Takian.ir Researcher Discloses New Zero Day Affecting All Versions of Windows

این افشاگری پس از اتمام مهلت 120 روزه به شرکت مایکروسافت برای افشاء این آسیب پذیری و قبول مسئولیت انجام شد.

این بآسیب پذیری که توسط Lucas Leong از تیم تحقیقاتی Trend Micro Security کشف شده است، یک آسیب پذیری روزصفر است که در موتور پایگاه داده مایکروسافت جت (Microsoft Jet Database Engine) قرار دارد و به مهاجم اجازه میدهد که کد مخرب را از راه دور بر روی هر سیستم دارای سیستم عامل ویندوز اجرا نماید.

موتور پایگاه داده مایکروسافت جت یا به زبان سادهJET (Joint Engine Technology)، موتور پایگاه داده یکپارچه در چندین محصول مایکروسافت است، از جمله Microsoft Access و Visual Basic.

با توجه به توصیه های منتشر شده توسط Zero Day Initiative (ZDI)، این آسیب پذیری ناشی از مشکلی در مدیریت شاخص ها (indexes) در موتور پایگاه داده جت است که اگر با موفقیت مورد سوء استفاده قرار گیرد، می تواند موجب نوشتن بر روی حافظه خارجی (out-out-bounds memory) گردیده و درنتیجه کد از راه دور اجرا گردد.

روش کار به این صورت است که مهاجم باید کاربر (هدف) را به باز کردن یک فایل پایگاه داده ویژه JET متقاعد کند تا مهاجم بتواند با استفاده از این آسیب پذیری، کدهای مخرب را از راه دور بر روی سیستم کاربر(هدف) اجرا نماید.

به گفته محققان ZDI، این آسیب پذیری در همه نسخه های ویندوز پشتیبانی شده از جمله ویندوز 10، ویندوز 8.1، ویندوز 7 و ویندوز سرور نسخه 2008 تا 2016 وجود دارد.

تیم ZDI این آسیب پذیری را در تاریخ 8 مه به مایکروسافت گزارش کرد و غول تکنولوژی این خطا را در 14 مه تایید کرد اما موفق به پاکسازی این آسیب پذیری نشد و قرارشد در یک مهلت 120 روز (4 ماه) به روز رسانی را منتشر کند و پس از این مدت تیم ZDI این آسیب پذیری را با جزییات منتشر کرد.
کدهای Exploit بهره برداری از این آسیب پذیری نیز توسط صفحه GitHub تیم Trend Micro منتشر شده است.Takian.ir Researcher Discloses New Zero Day Affecting All Versions of Windows exploit

مایکروسافت در حال کار بر روی یک پچ برای رفع این آسیب پذیری است و از آنجایی که در پچ های ماه سپتامبر عرضه نشده است، باید منتظر باشیم تا مایکروسافت در ماه اکتبر (یعنی اواسط مهرماه) این پچ را ارئه نماید.

تیم Trend Micro به همه کاربران آسیب دیده توصیه می کند تا زمان ارائه پچ توسط مایکروسافت، محدودیت هایی را بر روی برنامه هایی که با JET در تعامل هستند، اعمال نمایند .

جدیدترین حمله هکرها به کاربران لینکدین با بدافزار More_eggs

takian.ir hackers targeting professionals with more eggs alware via linkedIn job offers 1

به گفته محققان ، عوامل مهاجم از فایل های زیپ شده برای فریب کاربران لینکدین (LinkedIn) برای اجرای More_eggs Backdoor استفاده می کنند.

رسانه اجتماعی متعلق به مایکروسافت برای افراد متخصص با نام لینکدین، دارای بیش از 740 میلیون کاربر از 200 کشور در سراسر جهان می باشد. همین امر، آن را تبدیل به هدفی سودآور برای مجرمان و اخاذان اینترنتی می کند. در جدیدترین مورد، فعالان لینکدین توسط یک کمپین فیشینگ مورد هدف قرار می گیرند که اقدام به اجرای More_eggs Backdoor می نماید.

واحد واکنش تهدیدات سایبری (TRU) در ای سنتایر که یک شرکت امنیت سایبری مستقر در واترلو شهر انتاریو کانادا میباشد، یک کلاهبرداری غیرقانونی در حال انجام با استفاده از مشاغل جعلی را کشف کرده است که سیستم های رایانه ای کاربران لینکدین را با More_eggs Backdoor بسیار خطرناک و مخرب، آلوده می کند.

 

چگونهMore_eggs Backdoor پخش میشود؟

در ماه فوریه سال 2020، محققان چک پوینت چگونگی استفاده مهاجمان از More_eggs Backdoor برای هدف قرار دادن مسئولین مبارزه با پولشویی را گزارش دادند و اعلام کردند که آنها از خدمات پیام رسانی لینکدین برای ارائه فرصت های شغلی جعلی برای گسترش بدافزار مدنظرشان سوءاستفاده می کنند.

در آن بازه زمانی، مهاجمان به عنوان شرکت های نیازمند کارمند، به عنوان محلی برای ارسال پیوندهای وب سایت در معرض خطر و مخرب به افراد جویای کار ظاهر می شدند و بعداً از طریق ایمیل آنها، پیگیری می کردند. در هر دو مورد، هدف آلوده کردن دستگاه قربانیان با استفاده Backdoor با نام More_eggs برای سرقت اطلاعات بوده است.

با این حال، این بار طبق پست وبلاگ ای سنتایر، عوامل مهاجم از فایل های زیپ شده برای هدف قرار دادن قربانیان بر اساس توضیحات وظایف و جایگاه شغلی موجود در پروفایل لینکدین کاربر، استفاده می کنند.

ای سنتایر توضیح داد که اگر به عنوان مثال شغل کاربر عضو لینکدین به عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" ذکر شده باشد ، فایل زیپ مخرب با عنوان "مدیر ارشد حسابداری – پوزیشین بین المللی" نامگذاری می شود.

پس از باز شدن فایل زیپ، دستگاه قربانی با بکدور More_eggs که در حال حاضر دستگاه های ویندوز را هدف قرار می دهد، آلوده می شود.

پس از آلوده شدن، بدافزار کنترل کامل دستگاه هدف را در اختیار می گیرد که به طبع آن، به هکرها اجازه می دهد از راه دور از دستگاه برای اهداف مخرب خود از جمله ارسال، دریافت، حذف و اجرای فایل ها استفاده کنند.

takian.ir hackers targeting professionals with more eggs alware via linkedIn job offers 2

 

خطر آلودگی به باج افزار

علاوه بر این، هکرها می توانند بدافزارهای جدیدی را نیز روی سیستم بارگذاری کنند که می تواند باعث آلودگی دستگاه به باج افزار شود و در نتیجه فایل های قربانی را قفل کرده و برای رمزگشایی آن، درخواست باج نماید. محققان هشدار می دهند که بکدور More_eggs همچنین می تواند داده ها را از دید دستگاه پنهان کرده و حساب های رسانه های اجتماعی، ایمیل ها، تاریخچه مرورگر و حتی کیف پول های رمزنگاری شده شما را در معرض خطر سرقت قرار دهد.

راب مک لئود ، مدیر ارشد واحد واکنش تهدیدات سایبری شرکت ای سنتایر در گزارشی اعلام کرده است که: "آنچه که به طور ویژه در مورد فعالیت More_eggs نگران کننده است، این سه عنصر است که آن را به تهدیدی جدی برای مشاغل و افراد فعال در زمینه تجارت تبدیل می کند".

این سه عنصر شامل موارد زیر میباشند:

  1. این بدافزار از فرایندهای عادی ویندوز برای اجرا استفاده می کند؛ بنابراین معمولاً توسط برنامه های امنیتی آنتی ویروس و مسدود کننده های خودکار به عنوان عامل مشکوک یا خطرساز شناخته نمی شود، بنابراین کاملاً پنهانی عمل میکند.
  2. گنجاندن موقعیت شغلی هدف از طریق پروفایل لینکدین در این پیشنهاد کاری مخرب، احتمال آلوده شدن کاربر به بدافزار را افزایش می دهد.
  3. از زمان شیوع بیماری کرونا و آغاز پاندمی، نرخ بیکاری به طرز چشمگیری افزایش یافته است و طبیعتا زمان مناسبی برای سوءاستفاده از افراد جویای کاری است که از یافتن شغل ناامید هستند. بنابراین جذابیت بک شغل ایده آل کاربر، بخصوص در این مقطع حساس و پرتنش، جذابیتی دو چندان پیدا میکند.

 

چرا کاربران لینکدین؟

لینکدین تقریباً از هر حرفه شناخته شده ای شامل 740 میلیون کاربر از جمله افراد مهم و دارای جایگاه های شغلی حساس مانند دانشمندان، نظامیان، مجریان قانون، فعالین صنایع دفاعی، پرسنل خطوط هوایی، پرسنل سیستم بانکداری و امور مالی و افراد سیاسی و غیره را در خود جای داده است. برای مجرمان سایبری و هکرهای مورد حمایت دولت ها، دسترسی به سیستم رایانه ای مورد استفاده توسط هر یک از این متخصصان، مانند یک معدن طلا است که میتوانند از آن برای سریعتر رسیدن به پول نقد از طریق فروش دسترسی سیستم های آنها به سایر مجرمان یا استفاده از آن برای نظارت و بررسی یا سرقت اسرار یا اطلاعات و داده های حساس، بهره برداری و سوءاستفاده کنند.

 

کاربران لینکدین چه کاری باید انجام دهند؟

شرکت توسعه امن کیان (تاکیان) به عنوان اولین و مهمترین نکته توصیه میکند که از کلیک کردن روی لینک های ارسال شده توسط افراد در شبکه های اجتماعی، خصوصاً کاربران ناشناس و مجهول، خودداری کنید. اگر مجبور و ملزم شده اید که بر روی فایل زیپ شده یا اجرایی کلیک کنید، باید به هر قیمتی از آن اجتناب کنید. اما اگر از قبل فایلی را دریافت کرده اید، حتماً آن را با یک ضد بدافزار مطمئن اسکن نمایید.

مضاف بر این، همچنین می توانید لینک ها و فایل های مخرب را در ویروس توتال اسکن کنید. در هر صورت امنیت شما در دستان خودتان است. تاکیان اکیداً توصیه می کند درباره امنیت سایبری و تهدیداتی که در پس اتصال به فضای اینترنت ممکن است شما را تهدید کند، کسب اطلاعات کرده و حساسیت بخرج دهید.

جدیدترین سوءاستفاده هکرها از امکانات ویندوز جهت دور زدن فایروال

 

مهاجمان با بهره‌وری از یک تکنیک جدید، روشهایی را برای استفاده از Microsoft Background Intelligent Transfer Service (BITS) به منظور جایگذاری پنهانی داده های مخرب بر روی دستگاه های دارای سیستم عامل ویندوز را کشف کرده اند.

به گزارش سایت هکرنیوز، در سال ۲۰۲۰، بیمارستانها، سازمان های بازنشستگی و مراکز درمانی زیادی، متحمل آسیب و ضررهای بسیار شدیدی بابت یک کمپین فیشینگ همیشه متغیر که از روش Backdoor شخصی سازی شده مانند KEGTAP استفاده میکرده است، قرار گرفته اند، که در نهایت زمینه حملات باج افزار RYUK را فراهم میکرده است.

اما تحقیقات جدید شاخه امنیت سایبری شرکت FireEye اکنون مکانیسم پایداری ناشناخته ای را شناسایی کرده است که نشان می دهد مهاجمان از BITS برای راه اندازی Backdoor استفاده کرده اند.

فناوری BITS در ویندوز XP معرفی شد، که یکی از سرویس های مایکروسافت ویندوز است که از پهنای باند خالی شبکه برای تسهیل در انتقال ناهمگام فایل ها بین دستگاه ها استفاده می کند. این امر با ایجاد یک عملگر (فضایی که شامل فایل های بارگیری یا بارگذاری است) حاصل می شود.

فناوری BITS معمولاً برای ارائه به روزرسانی های سیستم عامل به کاربران و همچنین توسط اسکنر آنتی ویروس Windows Defender برای دریافت به روزرسانی های شناسایی علائم بدافزار استفاده می شود. علاوه بر محصولات خود مایکروسافت، این سرویس توسط برنامه های دیگری مانند موزیلا فایرفاکس نیز استفاده می شود تا امکان دریافت اطلاعات در پس زمینه حتی در صورت بسته بودن مرورگر نیز فراهم گردد.

takian.ir using microsoft bits for phishing hacks

محققان FireEye گفتند: "وقتی برنامه های مخرب عملگر BITS را ایجاد می کنند، فایل ها در چارچوب روند خدمات سرویس کاربر میزبان، روند دریافت یا بارگذاری را انجام می دهند". آنها افزودند: "این امکان می تواند برای جلوگیری از فایروال هایی که ممکن است فرایندهای مخرب یا ناشناخته را مسدود کنند کاربردی باشد و همچنین کمک می کند که مشخص شود کدام برنامه درخواست انتقال اطلاعات را داده است".

بخصوص حوادث مخاطره آمیز قبل که شامل آلوده سازی از طریق Ryuk برای استفاده از سرویس BITS برای ایجاد یک عملگر جدید تحت عنوان "به روزرسانی سیستم" که برای راه اندازی یک فایل اجرایی با نام "mail.exe" برنامه ریزی و پیکربندی شده است، پس از تلاش برای بارگیری URL نامعتبر، باعث ایجاد Backdoor برای KEGTAP شده است.

محققان اظهار داشتند: "عملگر مخرب BITS جهت تلاش برای انتقال HTTP یک فایل موجود از localhost تنظیم شده است. و از آنجا که این فایل هرگز وجود نخواهد داشت، BITS حالت خطا را ایجاد کرده و دستور notify را اجرا می کند، که در این مورد، این دستور به معنی اجرای KEGTAP می باشد".

سازوکار جدید یادآور این نکته است که چگونه استفاده از یک ابزار مفید مانند BITS به نفع مهاجمان میتواند خطرساز باشد. همچنین برای کمک به پاسخگویی سریعتر به این دست حوادث و تحقیقات تیم امنیتی، محققان یک ابزار پایتون به نام BitsParser را در دسترس عموم قرار داده اند، که هدف آن تجزیه فایل های پایگاه داده BITS و استخراج عملگر و اطلاعات فایل ها جهت تجزیه و تحلیل بیشتر است.

در اقدامی عجیب، مایکروسافت بیش از60 هزار عدد از پتنت های خود را به صورت متن باز منتشر کرد

به گزارش سایت zdnet، شرکت مایکروسافت به تازگی به انجمن «Open Invention Network» پیوسته و بیش از60 هزار عدد از پتنت ها (حق ثبت اختراع) خود را به صورت متن باز منتشر کرده است. این شرکت ادعا می کند، هدف از این کار محافظت از لینوکس و دیگر نرم افزارهای متن باز در برابر نقض حق اختراع است.Takian.ir microsoft open sources its entire patent portfolio

انجمن شبکه اختراعات باز، بیش از 2 هزار 600 عضو دارد و تا پیش از پیوستن مایکروسافت به آن، بیش از یک هزار و 300 پتنت جهانی و برنامه را شامل می شد. اعضای این انجمن طیف وسیعی از توسعه دهندگان فردی تا شرکت های بزرگی مانند گوگل، IBM و رد هت را در بر می گیرد. اعضا بدون این که قانونی را نقض کرده باشند، علاوه بر حق اختراع خود به همه ی نمونه های موجود دیگر نیز دسترسی دارند.

کیث برگلت (Keith Bergelt)، مدیرعامل انجمن Open Invention Network گفت:

 

این همه ی چیزی است که مایکروسافت دارد و حق اختراع های موجود همه چیز را از فناوری های منبع باز قدیمی مانند اندروید، هسته ی لینوکس، اپن استک (OpenStack) تا دستاوردهای جدیدی مانند LF Energy و HyperLedger، نسخه های گذشته و تازه ی آنها را شامل می شود.

 

اریک اندرسن (Erich Andersen)، معاون امور بازرگانی و مدیر مالکیت معنوی مایکروسافت در بلاگ این شرکت نوشت:

 

ما می دانیم که تصمیم مایکروسافت برای پیوستن به انجمن OIN برای عده ای تعجب آور است. دیگر بر کسی پنهان نیست که این شرکت در گذشته با جوامع منبع باز اختلاف نظر داشت.

 

عده ای از کارشناسان امنیتی معتقدند برنامه های منبع باز به بستر مناسبی برای هکرها تبدیل شده اند و این اقدام مایکروسافت ممکن است شرایط را برای اقدامات آنها تسهیل کند. حال باید دید مایکروسافت برای حفظ امنیت محصولات و پتنت های خود در برابر حملات سایبری چه تمهیداتی می اندیشد.

دستورالعمل اضطراری CISA جهت کاهش آسیب پذیری Microsoft Exchange

 

پیش زمینه:

شرکای CISA مواردی از سوءاستفاده و آسیب پذیری های فعال را در محصولات داخلی مایکروسافت Exchange مشاهده کرده اند. در حال حاضر احتمال آسیب پذیری و سوءاستفاده احتمالی از این نقص ها بر روی مایکروسافت 365 و یا Azure Cloud مشخص نشده است. سوءاستفاده احتمالی موفق از این آسیب پذیری ها، به مهاجم این امکان را میدهد تا به سرورهای داخلی Exchange دسترسی پیدا کرده و برای وی امکان دسترسی مداوم سیستم و کنترل شبکه سازمانی را فراهم میکند.

CISA اعلام کرده است که این سوءاستفاده از محصولات داخلی مایکروسافت Exchange خطری غیرقابل قبول برای agent های اجرایی فدرال دارد و باید در اسرع وقت این مشکل مرتفع شود. این اعلام نظر بر مبنای احتمال سوءاستفاده فعلی از این آسیب پذیری ها در بدترین حالت خود است که به طبع آن، سوءاستفاده از این آسیب پذیری ها، نشر نرم افزار آسیب دیده در شرکت های فدرال، پتانسیل بالای بروز آسیب در سیستمهای اطلاعاتی agent در معرض خطر و تاثیر بالقوه ایجاد خطر موفقیت آمیز را در پی دارد.

در حال حاضر آسیب پذیری های مربوط به این آسیب پذیری شناسایی شده، شامل CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 است.

طبق گفته های مایکروسافت و محققین امنیتی، آسیب پذیری های زیر نیز شناسایی شده اند که مشخص نیست هنوز قابل بهره برداری باشند: CVE-2021-26412, CVE-2021-26854, CVE-2021-27078.

اقدامات مورد نیاز

  1. پس از شناسایی همه موارد مورد نظر در محیط سرورهای داخلی مایکروسافت Exchange، agent ی که دارای تخصص کافی هستند باید با استفاده از ابزار جمع آوری اطلاعات را به صورت قانونی تهیه کنند (مانند هشدار امنیتی CISA) برای جمع آوری اطلاعات حافظه سیستم، لاگ های مربوط به وبِ سیستم، لاگ های رویداد های ویندوز و تمام جزئیات رجیستری. سپس agent باید اطلاعات جمع آوری شده را از نظر نشانه هایی مبنی بر نفوذ یا موارد مشکوک، مانند تخلیه اعتبارنامه ها و سایر فعالیت هایی که در قسمت هشدار فعالیت، شرح داده شده اند را بررسی کنند. اگر رفتار مشکوک یا نشانه ای از بروز خطر مشاهده شد، به مورد 2 مراجعه کنید.

اگر هیچ نشانه ای از به خطر افتادگی یافت نشد، agent باید بلافاصله بروزرسانی های مایکروسافت را برای سرورهای مایکروسافت Exchange اعمال کرده و سپس به گزینه 5 بروند.

اگر agent از تخصص کافی در زمینه اعمال موارد قانونی ذکر شده در سیستم های خود را ندارند، باید به گزینه 3 رجوع کنند.

  1. agent هایی که تخصص لازم را دارند، بلادرنگ، قبل از انجام گزینه 3، اقدامات زیر را انجام دهند. agent ها باید اطلاعات جمع آوری شده در این مرحله را در راستای شناسایی نشانه هایی از تغییرات و نفوذ یا رفتار مشکوک، مانند تخلیه اعتبار نامه ها، حرکات غیرطبیعی و متفرقه، persistence mechanisms و هرگونه سوءاستفاده احتمالی بررسی کنند.
    1. به بصورت صحیح از حافظه سیستم یک نسخه پشتیبان تهیه کنید یا برای virtual host، یک نسخه حافظه مجازی (VMEM) را در حافظه خارجی برای بررسی، تهیه و ذخیره کنید.
    2. اگر امکان تهیه نسخه پشتیبان فراهم بود، طبق فرایند agent عمل کرده تا نسخه لایو پشتیبان را ایجاد نمایید.
    3. اگر نمیتوان نسخه پشتیبان لایو را تهیه کرد، همه سیستم ها (سیستم های مجازی) که نسخه تحت وب Outlook (به طور کلی Outlook Web Access/App یا OWA و یا صفحه کنترل Exchange یا ECP را اجرا میکنند، متوقف نمایید.
    4. برای جستجوی IOCهای موجود در قسمت هشدار فعالیت های CISA، اقدام به بررسی و آنالیز نسخه پشتیبان تهیه شده، کنید.
    5. ترافیک شبکه و داده های بزرگ ذخیره شده را در راستای پیدا کردن نشانه های بروز مخاطرات و یا اتصالات مشکوک که در قسمت هشدار فعالیت CISA ارائه شده است را بررسی و آنالیز نمایید.
    6. شبکه و سیستم ها را برای یافتن نشانه های اضافی مبنی بر نفوذ و تغییرات که ارائه شده اند، با دقت بررسی کنید.
  2. agent ی که نشانه های نفوذ و سازش را در گزینه 1 شناسایی کرده اند یا تخصص لازم برای انجام گزینه های 1 و یا 2 را ندارند، باید این مراحل را انجام داده و سپس به گزینه 4 بروند:
    1. سرورهای مایکروسافت Exchange را فوراٌ قطع کنید.
    2. تا زمانی که CISA این سازمان ها را به بازسازی سیستم عامل سرور مایکروسافت Exchange و نصب مجدد بسته نرم افزاری هدایت میکند، نمایندگی ها از پیوستن مجدد به دامنه سازمانی سرور مایکروسافت Exchange منع شده اند.
    3. شناسایی و حذف تمام حساب های مخرب actor-controlled و شناسایی persistence mechanisms.
    4. نهادهایی درگیر این آسیب پذیری، باید قبل از بازسازی سیستم ها از منابع معتبر با استفاده از آخرین نسخه محصول موجود، با CISA ارتباط برقرار کرده و راهنمایی های لازم را دریافت کنند.
  3. وجود هر یک از موارد زیر را به عنوان یک مشکل و حادثه بلادرنگ به CISA گزارش دهید:
    1. شناسایی شاخص های نشان دهنده بروز خطر، همانطور که در قسمت هشدار فعالیت CISA ذکر شده است.
    2. وجود کد web shell در سرور داخلی مایکروسافت Exchange که در معرض خطر است.
    3. دسترسی یا استفاده غیرمجاز از حساب ها.
    4. وجود شواهدی مبنی بر حرکات متفرقه توسط مهاجمین با دسترسی به سیستم های در معرض خطر و آسیب.
    5. سایر شاخص های دسترسی یا unauthorized compromise.
    6. سایر شاخص های مرتبط به این موضوع که توسط CISA اعلام شده است.
  4. همه agent ها باید گزارش خود را با استفاده از الگوی ارائه شده تا ظهر به وقت استاندارد شرقی در ظهر جمعه پنجم مارس 2021 گزارش دهند. مدیران ارشد اطلاعات (CIO) در سطح دپارتمان یا معادل آن باید این گزارش را که گواهی وضعیت agent است، به CISA گزارش دهند.

این اقدامات ضروری در مورد agent ی که از سرورهای مایکروسافت Exchange در هر سیستم اطلاعاتی استفاده میکنند، شامل یک سیستم اطلاعاتی که توسط یک نهاد دیگر به نمایندگی از یک agency استفاده یا اداره میشود، اعمال میشود که اطلاعات agent را جمع آوری، پردازش، ذخیره، انتقال، انتشار یا در غیر اینصورت حفظ میکند.

اقداماتCISA

CISA به کار با شرکای خود برای نظارت بر هرگونه سوءاستفاده ممکن و مرتبط با این آسیب پذیری ادامه خواهد داد.

CISA با در دسترس قرار گرفتن شاخص های اضافی بر مبنای بروز خطر و آسیب، آزاد خواهد شد.

CISA برای مطابقت با این بخشنامه، به agent فاقد توانایی داخلی، کمک فنی خواهد کرد.

CISA از طریق وب سایت CISA، و به وسیله ارتباط هماهنگ با بخشنامه اضطراری و از طریق مشارکت های فردی در صورت درخواست و همچنین راهنمایی بیشتری را به agent ارائه میدهد.

تا 5 آپریل 2021، CISA گزارشی را به وزیر امنیت داخلی و مدیر دفتر مدیریت و بودجه یا OMB ارائه میدهد که وضعیت بین agent و مسائل مهم این آسیب پذیری را مشخص می نماید.

مدت زمان

این دستورالعمل اضطراری تا زمانی که همه agent های عامل سرورهای مایکروسافت Exchange از بسته بروزرسانی موجود استفاده نکنند یا تا زمانی که بخشنامه با اقدامات مناسب دیگر خاتمه یابد، همچنان در حال اجرا خواهد بود.

کشف نقض امنیتی در مرورگر Microsoft Edge توسط پروژه صفر گوگل

به گزارش سایت tenforums شرکت مایکروسافت سال گذشته اعلام کرده بود که به منظور بهینه سازی فرایند اجرای کدها در مرورگر اج از ACG استفاده خواهد کرد. ACG که مخفف Arbitrary Code Guard است از اصلاح صفحات کد و اجرای کدهای مخرب در حافظه جلوگیری می کند. این در حالی است که بیشتر مرورگرهای مدرن بر کامپایلرهای JIT متکی هستند و تطبیق آنها با ACG فرایندی پیچیده است.Takian.ir microsoft edge

مایکروسافت برای اطمینان از سازگاری کامپایلر JIT  با مرورگر مجهز به ACG ، کامپایل JIT را در فرایندی جداگانه صورت می دهد که طی آن تابع VirtualAllocEx برای اختصاص حافظه فراخوانی می شود. فرایند JIT  مسئولیت کامپایل جاوا اسکریپت به کد های بومی و نگاشت آنها به فرایند محتوای درخواستی را بر عهده دارد، به عبارت دیگر فرایند محتوا اجازه نگاشت یا اصلاح صفحات کد JIT خودش را ندارد.

مایکروسافت اج

با این حال محققان امنیتی پروژه صفر در فرایند نوشتن داده های اجرایی در فرایند محتوا آسیب پذیری هایی را پیدا کرده اند. بر این اساس فرایند محتوا می تواند آدرسی را که JIT در نظر می گیرد تشخیص داده و کدهای قابل اجرای دیگری را در آن قرار دهد. گوگل وجود این آسیب پذیری را در آبان ماه به مایکروسافت اعلام کرده و پیش از انتشار عمومی 90 روز به این شرکت فرصت داده تا آن را اصلاح کند.

«مرکز پاسخگویی امنیتی مایکروسافت»،  MSRCتاکید کرده مشکل مایکروسافت اج از آنچه در ابتدا به نظر رسیده پیچیده تر بوده و به همین خاطر گوگل 14 روز دیگر به مهلت تعیین شده اضافه کرده است. با این حال تیم امنیتی مایکروسافت در این چهارده روز نیز به نتیجه مطلوبی دست پیدا نکرده و به همین خاطر گوگل این باگ را به صورت عمومی اعلام کرده است.

کمپانی ردموندی مدعی شده که تا 22 اسفند این مشکل را حل کرده و پچ های آن را در قالب یک بسته امنیتی منتشر خواهد کرد.

هشدار دفتر تحقیقات فدرال آمریکا نسبت به استفاده از نسخه های قدیمی ویندوز 7 و نرم افزار TeamViewer

تهدیدات احتمالی استفاده از سیستم های دارای نسخه منسوخ و به روز رسانی نشده ویندوز 7، پسوردهای ضعیف و نا امن و نرم افزار به اشتراک گذاری محیط رایانه ای TeamViewer در اوایل سال 2020 مشغول فعالیت بوده اند. به گزارش سایبرسکیوریتی مگزین، دفتر تحقیقات فدرال آمریکا بار دیگر به نهادهای فدرال و سازمان های خصوصی هشدار داد که شبکه داخلی خود را برای هر گونه فعالیت مشکوک و مخرب مورد بررسی و نظارت قرار دهند. این هشدار بر مبنای حمله سایبری اخیر به شبکه مجموعه تصفیه پساب اولدزمار صادر شد که در پی آن حمله، مهاجم ها به نرم افزار کنترل میزان مواد شیمیایی که جهت استفاده در آب خروجی آن مجموعه برای ورود به شهر استفاده میشدند، دسترسی پیدا کرده بودند.

نهادهای همچون سایبرسکیوریتی و آژانس امنیت زیرساخت آمریکا (CISA)، آژانس حفاظت از محیط زیست (EPA) و مراکز تحلیل و اشتراک گذاری اطلاعات چند ایالتی (MS-ISAC) اذعان کردند که مجرمان اینترنتی از سیستم های با نسخ قدیمی ویندوز 7، نرم افزار TeamViewer و رمزهای عبور حساب ضعیف اپراتورهای این کارخانه برای نفوذ به شبکه استفاده کرده اند.

تهدیدهای ابزار کنترل از راه دور:

دفتر تحقیقات فدرال اذعان داشته است که معمولا نرم افزارهای اشتراک گذاری محیط رایانه ای مانند TeamViewer را به عنوان هدف خود جهت انجام مهندسی اجتماعی و حملات فیشینگ به کاربران بی اطلاع بهره میبرند.

اف بی آی بیان داشته است که "ورای کاربردهای قانونی نرم افزارهای کنترل از راه دور، زمانی که ملاحظات امنیتی مناسب اتخاذ و دنبال نشوند، این قبیل نرم افزارها میتوانند به عنوان راهی برای انتقال و یا جابجایی فایلها به رایانه های افراد مورد تهاجم واقع شده، مانند تروجان های کنترل از راه دور (RATs) به کار گرفته شوند. هرچند که استفاده قانونی TeamViewer در قیاس با RATs، فعالیت های غیرطبیعی را برای کاربر نهایی و مدیران سیستم کمتر مشکوک میکند."

برای استفاده امن از نرم افزار TeamViewer، این نهاد توصیه های امنیتی ای ارائه کرده است که ذیل اشاره شده اند:

  1. از صدور اجازه دسترسی های بدون نظارت مانند Start TeamViewer with Windows و Grant easy access خودداری نمائید.
  2. تنظیمات شروع و راه اندازی نرم افزار TeamViewer را در حالت غیر اتوماتیک قرار دهید که به موجب آن، برنامه و سرویس های فعال در پیش زمینه وابسته به آن نیز در زمان بستن برنامه، غیرفعال باشند.
  3. رمزهای عبور تصادفی را در راستای تولید رمزهای عبور تلفیقی حرف-عدد ده کاراکتری تنظیم نمایید.
  4. هنگام تنظیم کنترل دسترسی برای مخاطب میزبان، از تنظیمات سفارشی برای دستیابی به سطح دسترسی مخاطب از راه دور استفاده کنید.
  5. از لیست Block and Allow استفاده کنید تا به کاربر امکان کنترل سایر کاربران سازمانی TeamViewer که ممکن است از آن سیستم استفاده کنند را فراهم کند. این لیست همچنین میتواند مسدود سازی کاربرانی که مشکوک به دسترسی غیرمجاز هستند را اجرا کند.

مشکلات سیستم عامل ویندوز 7:

takian.ir-outdated-windows-seven

کمپانی مایکروسافت از تاریخ 14 ژانویه 2020، ارائه بروزرسانی امنیتی و پشتیبانی فنی از سیستم عامل ویندوز 7 را متوقف کرد. اف بی آی هشدار داده است که مجموعه های استفاده کننده از این سیستم عامل به دلیل کافی نبودن وعدم دریافت بروزرسانی های امنیتی که باعث دشوار بودن دفاع سیستم عامل در برابر حملات مداوم مجرمان سایبری میشود، در معرض هک شدن قرار دارند. اف بی آی همچنین افزوده است که "مجرمان سایبری همچنان به یافتن راه رخنه به سیستم عامل های قدیمی ویندوز و استفاده از پروتکل های کنترل از راه دور رایانه (RDP) به عنوان اهرمی برای نفوذ، اهتمام میورزند."

پاکسازی سایبری:

در راستای ملاحظات پاکسازی و بهبود امنیت سایبری در مقابل ریسک های احتمالی، توصیه میشود که موارد ذیل مورد مد نظر کاربران و نهادها قرار گیرند:

  1. سیستم عامل خود را به آخرین نسخه بروزرسانی شده ارتقا (مانند ویندوز 10) ارتقا دهید.
  2. از شناسایی چند مرحله ای استفاده نمایید.
  3. برای محافظت از اعتبارنامه های RDP یا پروتکل های دسترسی از راه دور رایانه ای، از پسوردهای پیچیده و قوی استفاده کنید.
  4. از تنظیم صحیح، بروز بودن و ایمن بودن آنتی ویروس، آنتی اسپم و فایروال سیستم خود اطمینان حاصل نمایید.
  5. پیکربندی شبکه را کنترل کرده و سیستم های رایانه ای را که امکان بروزرسانی آنها فراهم نیست، از مابقی تجهیزات جدا کنید.
  6. گزارش های همه پروتکل های اتصال از راه دور را بررسی و ممیزی نمایید.
  7. به کاربران آموزش دهید تا اقدامات در راستای حملات مهندسی اجتماعی را شناسایی و گزارش کنند.

8 . دسترسی کاربران دارای فعالیت های غیرمعمول و غیرعادی را شناسایی و به حالت تعلیق درآورید.

مقامات همچنان به کاربران، مسئولین امنیت سایبری و نهادها توصیه مینمایند که اقدامات مشکوک مجرمانه را به مجموعه های مربوطه گزارش دهند.

هک ویندوز، اوبونتو، زوم، سافاری و مایکروسافت Exchange در Pwn2Own 2021

takian.ir pwn2own hacking

مسابقه هک Pwn2Own سری بهاری سال 2021، هفته گذشته در 8 آپریل با تساوی سه جانبه بین تیم Devcore ،OV و محققان Daan Keuper و Thijs Alkemade به پایان رسید.

در مجموع 1.2 میلیون دلار برای 16 سطح و موضوع مهم نفوذ در طول یک رویداد مجازی سه روزه که توسط طرح روز صفر (ZDI) سازماندهی و برگزار شده بود، اهدا شد.

به گزارش هکر نیوز، اهدافی که با تلاش برای نفوذ موفق آمیز مواجه شدند، شامل سیستم های عامل زوم، اپل سافاری، مایکروسافت Exchange ، مایکروسافت تیمز، پاراللز دسکتاپ، ویندوز 10 و نسخه دسکتاپ اوبونتو بودند.

برخی از مهمترین موارد برجسته و مهم این رقابت به شرح زیر بوده اند:

  • با استفاده از بای پس احراز هویت و افزایش دسترسی محلی برای تصاحب کامل یک سرور مایکروسافت Exchange، که برای آن تیم دِوکور 200 هزار دلار جایزه کسب کرد.
  • ایجاد زنجیره ای از اشکالات برای دستیابی به اجرای کد در مایکروسافت تیمز و کسب 200.000 دلار برای تیم تحقیقاتی OV
  • سوءاستفاده از کلیک صفر (zero-click) با هدفگیری برنامه زوم توسط زنجیره سه گانه باگ برای بهره برداری از این برنامه پیام رسان و به دست آوردن امکان اجرای کد در سیستم هدف. (200.000 دلار)
  • بهره برداری از نقص بیشینه عدد صحیح در سافاری و نوشتن بیش از ظرفیت و محدوده آن، برای بدست آوردن امکان اجرای کد سطح کرنل (100.000 دلار)
  • نفوذ با هدف رندر کروم برای هک مرورگرهای گوگل کروم و مایکروسافت ادج (کرومیوم) (100.000 دلار)
  • استفاده از اشکالات use-after-free، شرایط رقابتی و بیشینه عدد صحیح در ویندوز 10 برای تبدیل شدن از یک کاربر عادی به سطح دسترسی کامل به سیستم (40.000 دلار به هر یک)
  • ترکیب سه نقص شامل نشت حافظه غیر اولیه، بیشینه انباشته و بیشینه عدد صحیح، برای فرار از Parallels Desktop و اجرای کد بر روی سیستم عامل اصلی (40.000 دلار)
  • سوءاستفاده از نقص تخریب حافظه برای اجرای موفقیت آمیز کد بر روی سیستم عامل میزبان از داخلParallels Desktop (40.000 دلار)
  • بهره برداری از اشکال دسترسی خارج از حریم برای افزایش از یک کاربر استاندارد به دسترسی بنیادی در نسخه دسکتاپی اوبونتو (30.000 دلار)

آسیب پذیری های زوم که توسط دان کوپر و تیش آکیمید از شرکت کامپیوتست سکیوریتی مورد بهره برداری قرار گرفته اند، بسیار ویژه قابل توجه هستند زیرا این نقص ها به جز فرد شرکت کننده در تماس زوم، به هیچ تعامل و ارتباط دیگری با قربانی احتیاج ندارد. علاوه بر این، این مورد بر روی نسخه های ویندوز و مک این برنامه قابل انجام است اما مشخص نیست که نسخه های آندروید و iOS نیز شامل این آسیب پذیری میشوند یا خیر.

جزئیات فنی این نقص ها هنوز مشخص نیست، اما در بیانیه ای منتشر شده برای به اشتراک گذاری یافته ها، شرکت امنیتی هلندی گفت که محققان "پس از آن که تقریباً به طور کامل سیستم را تحت کنترل خود درآوردند و اقداماتی مانند روشن کردن دوربین، روشن کردن میکروفون، خواندن ایمیل ها، تغییر تنظیمات صفحات و بارگیری تاریخچه مرورگر را به مرحله اجرا رساندند".

هنگامی که باز مدیران زوم درخواست پاسخ شد، آنها اعلام کردند که این امر باعث ایجاد تغییرات در سرور برای بروزرسانی و رفع اشکالات شده است و خاطرنشان کرد که این گروه بر روی ترکیب حفاظت های اضافی برای رفع نواقص امنیتی کار می کند. این شرکت برای رسیدگی به مشکلات قبل از علنی شدنشان، فرصت 90 روزه دارد.

سخنگوی این شرکت به خبرگزاری ها گفت: "در تاریخ 9 آپریل، یک به روزرسانی سروری منتشر کردیم که در برابر حمله نشان داده شده در Pwn2Own در زوم چت از برنامه محافظت می کند. این بروزرسانی نیازی به اقدامی از سمت کاربران ندارد. ما در حال کار بر روی موارد کاهش هرچه بیشتر آسیب پذیری ها برای رفع کامل مشکلات اساسی زوم هستیم".

این شرکت همچنین اعلام کرد که به هیچ نشانه ای دال بر سوءاستفاده از باگ های کشف شده نرسیده است، در حالی که نقایص ذکر شده در جلسات ویدئویی زوم بی تاثیر هستند و "حمله فقط می تواند توسط یک تماس خارجی انجام شود که مخاطب آن حمله قبلاً تایید شده یا بخشی از همان حساب سازمانی هدف بوده باشد".

محقق مستقل، آلیسا ایساژ، همچنین پس از یافتن اشکال در نرم افزار مجازی سازی پاراللز، به عنوان اولین زنی که در Pwn2Own  برنده شد، تاریخ سازی کرد. اما تنها به دلیل اینکه این نقص قبل از برگزاری این رویداد به ZDI گزارش داده شده بود، او تنها برنده قسمتی از جوایز شد.

ایساگ در توئیتر خود نوشت: "من فقط می توانم این واقعیت را قبول کنم که مشارکت موفق من در Pwn2Own باعث جلب توجه به سمت برخی از موارد قابل تغییر و یا منسوخ شده در قوانین مسابقه شد". وی افزود: "در دنیای واقعی چیزی به عنوان "نکته قابل بحث"وجود ندارد. یک بهره برداری و نفوذ و سوءاستفاده سایبری، یا سیستم هدف را می شکند و رسوخ میکند یا خیر"!