IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Chrome

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

ارتباط زنجیره‌وار حملات روز صفر کروم و ویندوز توسط مهاجمان ناشناس

takian.ir unknown attacker chains chrome and windows zero days 1
محققان امنیتی درباره مجموعه‌ای از حملات بسیار هدفمند که برای به خطر انداختن شبکه‌های قربانیان از طریق بهره‌برداری‌های روز صفر Google Chrome و Microsoft Windows هشدار داده اند.

تصور می‌شود مهاجمان ابتدا از باگ اجرای کد از راه دور CVE-۲۰۲۱-۲۱۲۲۴ در کروم که به تازگی پچ شده است، سواستفاده کرده اند.

کسپرسکی توضیح داده است که: "این آسیب‌پذیری مربوط به اشکال Type Mismatch در V۸ که یک موتور جاوا اسکریپت مورد استفاده توسط مرورگر‌های وب کروم و کرومیوم می‌باشد، بوده است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا از فرایند رندر کروم سواستفاده کنند. این دسته، شامل فرایند‌هایی هستند که مسئول بررسی آنچه در تب‌های کاربران اتفاق می‌افتد، می‌باشند".

به نقل اینفو سکیوریتی مگزین، مرحله دوم افزایش سطح بهره‌برداری با استفاده از اختیارات مربوط به دو آسیب‌پذیری جداگانه در هسته سیستم عامل مایکروسافت ویندوز بود. مورد اول، CVE-۲۰۲۱-۳۱۹۵۵ که می‌تواند منجر به افشای اطلاعات حساس هسته شود؛ و مورد دوم، CVE-۲۰۲۱-۳۱۹۵۶ که یک اشکال سرریز بافر مبتنی بر heap می‌باشد.

کسپرسکی ادعا کرده است که مهاجمان CVE-۲۰۲۱-۳۱۹۵۶ را همراه با Windows Notification Facility (WNF) برای ایجاد حافظه دلخواه خواندن/نوشتن موارد اولیه به کار گرفته و ماژول‌های بدافزار را همراه با امتیازات سیستم اجرا می‌کنند.

هنگامی که آن‌ها با بهره‌گیری از این سه نقص جایگاه خود را در شبکه‌های قربانی مستحکم کردند، ماژول‌های استیجر یک دراپر بدافزار مخرب پیچیده‌تر را از یک سرور از راه دور اجرا می‌کنند، که به متعاقب آن خود را بر روی فایل‌های اجرایی نصب می‌کند تا به عنوان جزئی از فایل‌های قانونی ویندوز شناخته شود.

کسپرسکی گفته است که یکی از این موارد یک ماژول shell از راه دور است که برای بارگیری و بارگذاری فایل‌ها، ایجاد پروسس‌ها، حفظ خود در حالت خوابیده برای دراز مدت و حذف خود از سیستم آلوده طراحی شده است.

در حالی که گوگل قبلاً این نقص کروم را برطرف کرده است، مایکروسافت نیز هر دو آسیب‌پذیری را در بروزرسانی امنیتی سه شنبه هفته گذشته پچ کرده است.

تیم تحقیقاتی هنوز حملات را با هیچ عامل تهدید شناخته شده‌ای مرتبط ندانسته اند و از این رو گروهی که در پس این حملات بوده اند را، "PuzzleMaker" مینامند.

بوریس لارین، محقق ارشد امنیت در تیم تحقیق و تجزیه و تحلیل جهانی کسپرسکی (GReAT) اینگونه استدلال کرد که: "به طور کلی، در اواخر سال، ما شاهد چندین موج از فعالیت‌های تهدید آمیز با سواستفاده‌های روز صفر بوده‌ایم. این یک زنگ هشدار برای ما است که روز صفر همچنان موثرترین روش برای آلوده کردن اهداف مدنظر مجرمان سایبری است".

وی افزود: "اکنون که این آسیب‌پذیری‌ها برای عموم شناخته شده اند، ممکن است که شاهد افزایش استفاده از آن‌ها در حملات توسط این عامل و سایر عوامل تهدید و خطر آفرین باشیم. این بدان معنی است که برای کاربران بسیار مهم است که جدیدترین و بروزترین پچ‌ها را از مایکروسافت در اسرع وقت بارگیری و دریافت نمایند".

بدافزاری در پوشش باج افزار؛ مایکروسافت هشدار میدهد!

 

کمپانی مایکروسافت روز پنجشنبه در مورد یک کمپین گسترده ایمیل هشدار داد که یک بدافزار مبتنی بر جاوا با نام STRRAT، در حالی که خود را به عنوان یک باج افزار نشان میدهد، برای سرقت اطلاعات محرمانه از سیستم های آلوده مورد استفاده قرار میگیرد.

تیم اطلاعات امنیتی مایکروسافت در یک رشته توییت عنوان کرد: "این RAT به دلیل اینکه اقدام به افزودن پسوند نام .crimson به فایل ها کرده و  آنها را رمزگذاری نمیکند، به رفتار شبیه به باج افزار معروف است".

به گزارش هکر نیوز، موج جدیدی از حملاتی که این شرکت هفته گذشته مشاهده کرده است، با ایمیل های هرزنامه ارسال شده از حساب های ایمیل در معرض خطر با عنوان "Outgoing Payments" که در عنوان موضوع درج شده است آغاز شده و گیرندگان را به گشودن فایل PDF مخرب که ادعا می کنند یک حواله است، ترغیب می کند اما در اصل با این کار به دامنه اصلی برای بارگیری بدافزار STRRAT متصل میشود.

این بدافزار علاوه بر برقراری ارتباط با سرور command-and-control در حین اجرا، دارای طیف وسیعی از ویژگی ها است که به آن امکان می دهد رمزهای عبور مرورگر را جمع آوری کند، لاگ کلیدهای ورودی را گردآوری کند و دستورات از راه دور و اسکریپت های PowerShell را اجرا کند.

takian.ir malware that pretends to be ransomware 1

 

STRRAT برای اولین بار در ژوئن سال 2020 توسط تیم امنیت سایبری G Data به عنوان یک تهدید بدافزاری ویندوز (نسخه 1.2) در ایمیل های فیشینگ حاوی پیوست های مخرب Jar (یا Java Archive)، مشاهده شد.

کارستن هان، تحلیلگر بدافزار G Data، توضیح داد: "این RAT متمرکز بر سرقت اطلاعات مرورگرها و سرویس گیرنده های ایمیل و رمزهای عبور از طریق ورود به سیستم است. این بدافزار از مرورگرها و سرویس گیرنده های ایمیل شامل فایرفاکس، اینترنت اکسپلورر، کروم، فاکس میل، اوت‌لوک و تاندربرد پشتیبانی می کند."

قابلیت های باج افزار آن در ابتدایی ترین حالت ممکن قرار دارد، زیرا مرحله رمزگذاری فقط تغییر نام و افزودن پسوند ".crismon" بر روی فایل ها انجام میپذیرد. کان افزود: "در صورت حذف این پسوند، می توان به طور معمول به فایل ها دسترسی پیدا کرد".

takian.ir malware that pretends to be ransomware 2

 

مایکروسافت همچنین یادآوری کرده است که نسخه 1.5 نسبت به نسخه های قبلی گیج کننده تر و ماژولارتر است، که نشان می دهد مهاجمان این عملیات به طور فعال در حال بهبود مجموعه ابزارهای خود هستند. اما این واقعیت که رفتار جعلی رمزگذاری توسط این بدافزار همچنان بدون تغییر باقی مانده است، نشان دهنده این هدف است که این گروه قصد دارند با استفاده از اخاذی، به سرعت از طریق کاربران ناآگاه سوءاستفاده و کسب درآمد کنند.

حمله به مک های اپل مبتنی بر M1 از طریق پروژه Xcode

 

یک کمپین بدافزار مک (Mac)، با هدف قرار دادن توسعه دهندگان Xcode جهت افزودن امکان پشتیبانی از تراشه های جدید M1 اپل و گسترش ویژگی های آن برای سرقت اطلاعات محرمانه از برنامه های رمزارزها، مجدداً مورد استفاده قرار گرفته است.

به نقل از هکر نیوز، XCSSET در آگوست سال 2020 و پس از اینکه از طریق پروژه های تغییر Xcode IDE، که در طی فرایند ساخت برای اجرای بارگیری اطلاعات تنظیم شده بودند، مورد توجه قرار گرفت. این بدافزار برای تقلید از برنامه های مجاز مَک، که بطور کامل مسئول آلوده کردن پروژه های محلی Xcode و تزریق اطلاعات اصلی برای اجرا در هنگام ایجاد پروژه در معرض خطر است، ماژول های اطلاعات را مجددا بارگیری می کند.

ماژول های XCSSET دارای قابلیت سرقت گواهی ها، گرفتن اسکرین شات، تزریق جاوا اسکریپت مخرب به وب سایت ها، سرقت داده های کاربر از برنامه های مختلف و حتی رمزگذاری فایل ها برای باجگیری است.

سپس در ماه مارس 2021، محققان کسپرسکی نمونه های XCSSET را كه برای تراشه های جدید Apple M1 جمع آوری شده بود، کشف كردند و این کشف حاكی از آن بود كه فعالیت این بدافزار نه تنها تاکنون ادامه داشته است، بلكه مهاجمان نیز به طور فعال اقدامات اجرایی خود را با آن تطبیق می داده اند و آنها را برای اجرا بر روی مک های جدید سیلیکون اپل، بومی سازی می كرده اند.

takian.ir apple mac hack with xcode

 

آخرین تحقیقات ترند میکرو نشان می دهد که XCSSET برای اعمال بک دور جاوا اسکریپت به وب سایت ها با استفاده از حملات Universal Cross-Site Scripting (UXSS) همچنان از نسخه در دست توسعه مرورگر سافاری سوءاستفاده می کند.

محققان ترند میکرو، در تحلیلی که روز جمعه منتشر شد، اعلام کردند: "این بدافزار، بسته های بروزرسانی سافاری را در سرور command-and-control میزبانی می کند، سپس بسته را بسته به نسخه سیستم عامل کاربر دانلود و نصب می کند. همچنین برای سازگاری با نسخه تازه منتشر شده Big Sur ، بسته های جدیدی برای سافاری 14، اضافه شده است".

این بدافزار علاوه بر تروجان سازی سافاری به منظور نفوذ به داده ها، با سوءاستفاده از حالت اشکال زدایی از راه دور در مرورگرهای دیگر مانند گوگل کروم، مرورگر بِرِیو، مایکروسافت اِج، موزیلا فایرفاکس، اوپرا، مرورگر کیهو 360 و مرورگر یاندکس برای انجام حملات UXSS شناخته می شود.

بعلاوه این بدافزار حتی سعی در سرقت اطلاعات حساب از چندین وب سایت از جمله سیستم عامل های معاملات ارزهای رمزنگاری هیوبی، بایننس، NNCall.net، اِنواتو و 163.com دارد که توانایی جایگزینی آدرس کیف پول رمزارز کاربر را با موارد تحت کنترل مهاجم دارد.

نحوه انتشار XCSSET از طریق پروژه های تحقیقاتی Xcode، تهدیدی جدی قلمداد می شود، زیرا توسعه دهندگانی که آلوده شده اند، ناخواسته کار خود را در GitHub به اشتراک می گذارند و می توانند بدافزار را در قالب پروژه های Xcode که در معرض خطر هستند، به کاربران خود منتقل کنند و به متعاقب آن منجر به سلسله حملاتی مانند حملات زنجیره تامین بشوند و کاربرانی را که به این دیتابیس ها در پروژه های خود وابستگی و اعتماد دارند، بشدت در معرض خطر و آلودگی قرار دهند.

ربودن اطلاعات گوشی های اندروید توسط روشی بنام Rowhammer

برای اولین بار، محققان امنیتی راه موثری برای بهره برداری از تکنیک هک کردن که سابقه ای 4 ساله دارد، به نام Rowhammer برای ربودن یک تلفن آندروید از راه دور کشف کرده اند.Takian.ir glitch rowhammer android hacking

Dubbed Glitch، روش اثبات مفهوم، یک سری جدید از حمله Rowhammer است که بر مبنای واحدهای پردازش گرافیکی تعبیه شده (GPU) برای انجام حمله Rowhammer به گوشی های هوشمند اندروید است.

Rowhammer در واقع یک مشکل اساسی با تراشه های نسل جدید حافظه رم با قابلیت دسترسی مجدد (DRAM) است که بارها و بارها به یک ردیف حافظه دسترسی پیدا می کند که می تواند "ریزه کاری" یا همان "bit flipping" را در یک ردیف مجاور ایجاد کند بگونه ای که هر کسی می تواند Value محتویات ذخیره شده در حافظه کامپیوتر را تغییر دهد.

این موضوع از سال 2012 کشف شد و برای اولین بار توسط محققان پروژه Zero در اوایل سال 2015 مورد استفاده قرار گرفت، زمانی که حملات Rowhammer از راه دور به رایانه های ویندوز و لینوکس کشیده شد.

سال گذشته، یک تیم از محققان آزمایشگاه VUSec در Vrije Universiteit Amsterdam نشان داد که روش Rowhammer نیز می تواند بر روی گوشی های هوشمند آندروید کار کند، اما محدودیت عمده ای برای برنامه های مخرب که در ابتدا روی گوشی مورد نظر نصب شده اند. اما با این محدودیت که برنامه مخرب باید از ابتدا بر روی تلفن هدف نصب شده باشد.

با این حال، همان گروهی از محققان اکنون نشان داده اند که چگونه حمله ی اثبات مفهومی خود را "GLitch" با استفاده از تکنیک حمله Rowhammer به سادگی با میزبانی یک وبسایت که کدهای مخرب جاوا اسکریپت را اجرا میکند، میتوان گوشی اندروید را در مدت 2 دقیقه هک کرد،البته بدون تکیه بر اشکلات نرم افزاری.

از آنجا که کد مخرب فقط در دسترسی به قابلیت مرورگر وب اجرا می شود، می تواند بر الگوی مرورگر کاربر جاسوسی کرده یا اعتبار آنها را سرقت کند.با این حال، مهاجم نمی تواند دسترسی بیشتری به گوشی آندروید کاربر داشته باشد.

چگونگی عملکرد GLitch :

GLitch اولین تکنولوژی Rowhammer است که با استفاده از پردازنده های گرافیکی (Graphics Processing Units) (GPU) که ​​تقریبا در همه پردازنده های موبایل یافت می شود فعالیت میکند، به جای CPU که در تمام نسخه های پیشین Rowhammer مورد سوء استفاده قرار گرفته است.

از آنجا که پردازنده های ARM در گوشی های هوشمند اندرویدی دارای یک نوع حافظه پنهان هستند که دسترسی به ردیف های هدفمند حافظه را دشوار می کند، محققان از GPU استفاده می کنند که حافظه پنهان آن به راحتی می تواند کنترل شود و اجازه می دهد هکرها بدون هرگونه دخالتی ردیف های هدفمند را بشکنند.

این تکنیک به نام GLitch با دو حرف اول بزرگ ثبت شده است زیرا از یک لایبرری شناخته شده به اسم WebGL استفاده میکند که برای رندر کردن گرافیک برای تریگر معروف در تراشه های حافظه DDR3 و DDR4 عمل می کند.

در حال حاضر، GLitch به دنبال گوشی های هوشمند با سیستم عامل Snapdragon 800 و 801 بر روی یک تراشه که شامل پردازنده و پردازنده گرافیکی است، یعنی PoC تنها در گوشی های قدیمی تر مانند LG Nexus 5، HTC One M8 یا LG G2 کار می کند.حمله می تواند در برابر فایرفاکس و کروم راه اندازی شود.

محققان نشان داده اند که حمله Glitch مبتنی بر جاوا اسکریپت بر Nexus 5 در مرورگر فایرفاکس موزیلا برای به دست آوردن امتیازات خواندن و نوشتن، به آنها توانایی اجرای کد مخرب را بر روی نرم افزار نشان می دهد.

محققان گفتند: "اگر شما تعجب میکنید از اینکه ما میتوانیم bit flips رو در مرورگر کروم تریگر کنیم، پاسخ بله است، ما می توانیم. در واقع، بیشتر تحقیقات ما در Chrome انجام شد.""پس از آن برای فایرفاکس به فایرفاکس رفتیم فقط به این دلیل که دانش ما در مورد پلتفرم و اسناد بیشتر  شد."

 

هیچ پچ نرم افزار نمی تواند به طور کامل مشکل Rowhammer را رفع کند

از آنجا که Rowhammer از ضعف سخت افزار کامپیوتر سوء استفاده می کند، هیچ پچ نرم افزاری نمی تواند این مشکل را کاملا حل کند.محققان می گویند تهدید Rowhammer نه تنها واقعی است بلکه دارای پتانسیل ایجاد آسیب جدی و واقعی است.اگر چه هیچ راهی برای بلوکه کردن یک GPU تلفن اندروید از سوء استفاده از DRAM وجود ندارد، تیم محققان آزمایشگاه VUSec با همکاری Google به دنبال کشف راهکاری برای حل این مشکل است.

برای جزئیات بیشتر در مورد تکنیک جدید حمله، می توانید بر روی این مقاله [PDF] منتشر شده توسط محققان کلیک کرده و نتیجه تحقیقات را دانلود نمایید..



سوء استفاده گوگل از اطلاعات خصوصی کاربران حتی در حالت ناشناس

 

گوگل با یک پرونده قضایی روبرو است که ادعا می کند غول موتور جستجوی دنیا حتی وقتی کاربران از حالت ناشناس خصوصی خود استفاده می کنند، مخفیانه اطلاعات آنها را جمع آوری می کند.

به گزارش هک‌رید، قاضی منطقه ای ایالات متحده، لوسی کو، در حکم خود نوشته است که غول موتور جستجو، "گوگل جمع آوری داده ها حتی در حالتی که کاربر از حالت وبگردی خصوصی استفاده میکند را به کاربر اطلاع نداده است"؛ هرچند که گوگل خواستار رد پرونده شده است.

در ماه ژوئن گذشته سه کاربر، شکایات ذکر شده را مطرح کرده اند که گوگل "تجارت گسترده ردیابی داده" به راه انداخته است و ردیابی آنها حتی در حالی که کاربران با استفاده از حالت ناشناس در کروم یا وبگردی خصوصی در سافاری و سایر مرورگرها سعی در حفظ حریم خصوصی خود دارند نیز ادامه دارد.

طبق گزارش بلومبرگ، شرکت گوگل در دفاع از خود ادعا کرده است که برای کاربران خود روشن می کند که: "حالت ناشناس به معنای نامرئی شدن نیست و ممکن است فعالیت کاربر در آن session برای وب سایت هایی که بازدید می کند و سایر سایت های تجزیه و تحلیل اطلاعات پشت پرده سایتها و یا خدمات تبلیغاتی که داده های بازدیدکنندگان آنها استفاده می کنند، مشخص و واضح و قابل شناسایی باشد". علاوه بر این، خوزه کاستاندا، سخنگوی گوگل در ایمیلی نوشت که این شرکت ادعاهای دادخواست را رد می کند و اعلام کرد که "ما به شدت در برابر این اتهام آنها، از خود دفاع خواهیم کرد".

این دادخواست نباید تعجب آور باشد، زیرا در سال 2018 موتور جستجوی متمرکز بر حریم خصوصی DuckDuckGo یک تحقیق گسترده انجام داد که ادعا می کند جستجوها در حالت ناشناس گوگل، اصلا خصوصی و به طور کامل پنهان نیستند.

 

آنچه صفحه حالت ناشناس می گوید

takian.ir google facing lawsuit over tracking users in incognito browsing

با این حال، می توان دریافت که عموم مردم از رفتار و عملکرد واقعی حالت ناشناس آگاهی کافی ندارند. این دادخواست می تواند به گوگل فرصت دهد که با صراحت بیشتری به کاربران خود در مورد آن داده هایی که در حالت ناشناس جمع آوری می کند و آنچه که انجام نمی دهد، توضیح دهد.

این شکایت همچنین انتقاد به شرکتهایی است که اطلاعات مهم خود را در زمینه خدماتی که ارائه میدهند، پنهان می کنند و از آنجا که تعداد بسیار کمی از افراد این توافق نامه ها را از ابتدا تا انتها ئ به طور کامل می خوانند، و این ناآگاهی ها و پنهان کاری ها می تواند باعث ایجاد مشکلات عدیده ای در مسئله حفظ حریم خصوصی شود.

کروم به زودی استفاده از HTTPS را در اولویت قرار میدهد

 

اگر کاربران آدرسی را تایپ کرده و فراموش کنند که پیشوند HTTP یا HTTPS را درج نمایند، گوگل کروم به طور پیش‌فرض از HTTPS استفاده خواهد کرد.

مهندسان گوگل در طی چند سال گذشته جز سرسخت ترین ترویج کنندگان و عرضه کنندگان بسته های امنیتی در بین سایر مرورگرها بوده اند و همراه با تیم های پشتیبان مرورگرهای Firefox و Tor، اغلب در پشت پرده بسیاری از تغییراتی بوده اند که باعث شکل دادن مرورگرها به آنچه که امروز هستند، شده اند.

از ویژگی های پیشگامانه و آوانگارد آن مانند ایزولاسیون سایت و کار در پشت صحنه در فروم CA/B تا بهبود وضعیت گواهینامه تجاری TLS، همه ما مدیون تلاش های تیم کروم هستیم.

اما یکی از بزرگترین موارد مورد علاقه مهندسین کروم طی چند سال گذشته، تلاش برای ترویج استفاده از HTTPS، چه در درون مرورگر کروم، و چه در بین گردانندگان و صاحبین وبسایت ها بوده است.

به عنوان بخشی از این تلاش ها، کروم اکنون تلاش می کند تا در صورت در دسترس بودن HTTPS، سایت ها را از HTTP به HTTPS بروزرسانی کرده و ارتقا دهد.

کروم همچنین به کاربرانی که می خواهند رمز عبور یا اطلاعات کارت بانکی خود را در صفحات HTTP نا ایمن وارد کنند، از آنجا که ممکن است درون شبکه به شکل متن ساده ارسال شوند، اخطار و هشدار می دهد.

اگر نشانی اینترنتی صفحه HTTPS باشد، کروم بارگیری از منابع HTTP را نیز، برای جلوگیری از فریب کاربران در مورد ایمنی ظاهری دانلود از آن نشانی ها که در اصل امن نیستند، مسدود می کند.

تغییراتی درOMNIBOX کروم که در نسخهV90 میشوند

اما حتی اگر حدود 82٪ از کل سایت های اینترنتی با HTTPS کار کنند، این تعداد تا زمانی که بتوان ادعای امنیت اکثریت را مطرح کرد، فاصله زیادی دارد. جدیدترین تغییرات اولیه HTTPS در کروم نسخه 90 برقرار میشود که برنامه ریزی شده است تا در اواسط آوریل سال جاری منتشر شود.

این تغییر بر کروم Omnibox تأثیر بسزایی میگذارد (نامی که گوگل از آن برای توصیف نوار آدرس کروم (URL) استفاده می کند).

در نسخه های فعلی، وقتی کاربران آدرسی را در Omnibox تایپ می کنند، کروم آدرس تایپ شده را صرف نظر از پروتکل آن، بارگیری می کند. اما اگر کاربران فراموش کنند پروتکل را (HTTP یا HTTPS) تایپ کنند، کروم "http://" را جلوی متن اضافه می کند و سعی می کند دامنه را از طریق HTTP بارگیری نماید.

به عنوان مثال، تایپ چیزی مانند "domain.com" در نسخه فعلی کروم، "http://domain.com" را بارگیری می کند.

طبق گفته مهندس امنیتی کروم، امیلی استارک، این ویژگی در کروم نسخه 90 تغییر خواهد کرد. با شروع عرضه نسخه 90، Omnibox تمام دامنه هایی که بر مبنای HTTP باشند، به جای "http://"، با HTTPS بارگیری و لود خواهد کرد.

استارک این هفته در توییتر خود توضیح داد: "در حال حاضر، این طرح به صورت آزمایشی برای درصد كمی از كاربران کروم با نسخه 89 اجرا می شود و اگر کاملا طبق برنامه پیش برود، در نسخه کروم 90 به طور کامل راه اندازی خواهد شد".

کاربرانی که مایل به آزمایش این ساز و کار جدید هستند، می توانند این کار را در حال حاضر از طریق Chrome Canary انجام دهند. آنها می توانند از طریق آدرس زیر به قسمت Flag کروم مراجعه کرده و این ویژگی را فعال نمایند:

chrome://flags/#omnibox-default-typed-navigations-to-https

takian.ir chrome flags entry

کمک شرکت اسرائیلی به دولت ها بوسیله جاسوس افزار و آسیب پذیری روز صفر برای هدف قرار دادن روزنامه نگاران و فعالان

 takian.ir israeli firm helped governments target journalists activists with 0 days and spyware

دو مورد از ایرادهای روز صفر ویندوز که مایکروسافت به عنوان بخشی از بروزرسانی Patch Tuesday اوایل این هفته پچ کرده است، توسط یک شرکت اسرائیلی به نام Candiru در یک سری حملات دقیق برای هک کردن بیش از 100 روزنامه نگار، اعضای دانشگاهی، فعالان و مخالفان سیاسی در سطح جهانی به کار گرفته شده است.

بر اساس گزارشی که توسط سیتیزن لب دانشگاه تورنتو منتشر شده است، تامین کننده جاسوس افزار همچنین به طور رسمی به عنوان شرکت نظارت تجاری شناخته شد که گروه تجزیه و تحلیل تهدیدات گوگل (TAG) از آن به عنوان سواستفاده کننده از چندین آسیب پذیری روز صفر در مرورگر کروم برای هدف قرار دادن قربانیان شهروند ارمنستان نام برد.

به نقل از هکرنیوز، محققان سیتیزن لب گفتند: "حضور گسترده و آشکار Candiru و استفاده از فناوری نظارت آن بر علیه جامعه مدنی جهانی به خوبی یادآور ای نکته است که صنعت جاسوسی مزدوران، عاملان زیادی را در خود جای داده و مستعد سواستفاده گسترده است. این مورد باز هم نشان می دهد که در صورت عدم وجود هیچ گونه ضمانت بین المللی یا کنترل شدید صادرات توسط دولت ها، تامین کنندگان جاسوس افزار اقدام به فروش این خدمات جاسوس افزاری به مشتریان دولتی میکنند، در حالی آنها که به طور روزمره از خدماتی که ارائه میدهند، جهت سواستفاده بهره برداری می نمایند.".

گفته می شود که private-sector offensive actor (PSOA)، موسوم به "Sourgum" که توسط مایکروسافت در سال 2014 کشف شد، توسعه دهنده یک بسته ابزاری جاسوسی به نام DevilsTongue است که منحصرا به دولت ها فروخته می شود و قادر به آلوده سازی و نظارت بر طیف وسیعی از دستگاه ها است و پلتفرم های مختلف، از جمله آندروید، آیفون، مَک، رایانه های شخصی و حساب های ابری را در بر میگیرد.

موسسه Citizen Lab اعلام کرد که پس از به دست آوردن یک هارد دیسک از "یک قربانی فعال سیاسی در اروپای غربی"، توانست نسخه ای از نرم افزارهای جاسوسی ویندوز Candiru را بازیابی کند، سپس با استفاده از مهندسی معکوس برای شناسایی دو سواستفاده روز صفر ویندوز و آسیب پذیری های آن اقدام نماید. این آسیب پذیری ها که به عنوان CVE-2021-31979 و CVE-2021-33771 شناسایی شده اند، برای نصب بدافزار در سیستم قربانیان استفاده شده اند.

زنجیره آلودگی به ترکیبی از نقایص مرورگر و ویندوز متکی میباشد، که اولین موارد آن از طریق URL های یکبار مصرف ارسال شده و به اهدافی مانند برنامه های پیام رسان چون WhatsApp ارسال گردیده است. مایکروسافت در 13 جولای هر دو نقص افزایش اختیار را که باعث میشدند که مهاجم بتواند از سندباکس های مرورگر عبور کند و کد کرنل را بدست آورد، رفع کرده است.

این حملات با استقرار DevilsTongue، یک بک دُر مبتنی بر C/C++ ماژولار مجهز به چندین قابلیت از جمله مسدود کردن فایل ها، استخراج پیام های ذخیره شده در برنامه پیامرسان رمزگذاری شده Signal و سرقت کوکی ها و رمزهای عبور از مرورگرهای Chrome ،Internet Explorer ،Firefox ،Safari و Opera به اوج خود رسید.

تجزیه و تحلیل مایکروسافت از این سلاح دیجیتال همچنین نشان داد که این کوکی ها می توانند از کوکی های به سرقت رفته از طریق ایمیل وارد شده و حساب های رسانه های اجتماعی مانند Facebook ،Twitter ،Gmail ،Yahoo ،Mail.ru ،Odnoklassniki و Vkontakte برای جمع آوری اطلاعات، خواندن پیام های قربانی اقدام کرده، عکس ها را بازیابی کنند و حتی از طرف قربانیان پیام ارسال کنند، و به طبع آن به عامل تهدید اجازه می دهد لینک های مخرب را مستقیماً از رایانه کاربر آسیب دیده ارسال کند.

گزارش Citizen Lab به طور مجزا نیز دو آسیب پذیری گوکل کروم را که روز چهارشنبه توسط این غول جستجو فاش شده بود (CVE-2021-21166 و CVE-2021-30551)، با اشاره به هم پوشانی موجود در وبسایت های استفاده شده برای توزیع این بهره برداری، در پیوند با این شرکت اسرائیلی دانسته است.

علاوه بر این، 764 دامنه مرتبط با زیرساخت نرم افزارهای جاسوسی Candiru کشف شده است و بسیاری از دامنه ها به عنوان سازمان های انسان دوستانه مانند عفو بین الملل، جنبش Black Lives Matter و همچنین شرکت های رسانه ای و سایر نهادهای جامعه مدنی مطرح شده اند. برخی از سیستم های تحت کنترل آنها از عربستان سعودی، اسرائیل، آمریكا، مجارستان و اندونزی اداره می شدند.

بیش از 100 قربانی بدافزار Sourgum تاکنون شناسایی شده است و اهداف در فلسطین، اسرائیل، ایران، لبنان، یمن، اسپانیا (کاتالونیا)، انگلستان، ترکیه، ارمنستان و سنگاپور قرار داشته اند. مدیر کل واحد امنیت دیجیتال مایکروسافت، کریستین گودوین بیان داشت: "این حملات عمدتا حساب های مصرف کننده را هدف قرار داده است که نشان می دهد مشتریان Sourgum، افراد خاصی را تعقیب می کرده اند.".

هک و کنترل از راه دور چندین میلیارد دستگاه اپل با این پچ رفع میشود؟

 

اپل برای رفع نقص امنیتی که می تواند به مهاجمان اجازه دهد کد دلخواه را از طریق محتوای وب مخرب اجرا کنند، یک out-of-band patch برای سیستم عامل خود،macOS ، watchOS و مرورگر وب Safari منتشر کرده است.

این آسیب پذیری که تحت عنوان CVE-2021-1844 از آن یاد می شود، توسط کلمنت لسین از گروه تجزیه و تحلیل تهدیدات گوگل و آلیسون هافمن از گروه تحقیقات آسیب پذیری مرورگر مایکروسافت، کشف و به این شرکت گزارش شد.

طبق گزارش های به روز شده توسط اپل، این نقص ناشی از یک مشکل خرابی حافظه است که می تواند منجر به اجرای کد خودکار هنگام پردازش محتوای خاص تحت وب شود. این شرکت گفت این مشکل با "بهینه سازی حساب شده" رفع گردیده است.

این به روزرسانی برای دستگاه های دارای iOS 14.4 ، iPadOS 14.4 ، macOS Big Sur و watchOS 7.3.1 (Apple Watch Series 3 و بالاتر) و به عنوان یک به روزرسانی در Safari برای MacBooks با macOS Catalina و macOS Mojave در دسترس و آماده دریافت است.

takian.ir apple issues patch for remote hacking

این تغییرات بر مبنای آخرین تحولات مربوط به سه آسیب پذیری روز صفر (CVE-2021-1782 ، CVE-2021-1870 و CVE-2021-1871) است که در ژانویه منتشر شد. نقاط ضعفی که به مهاجم اجازه میداد تا سطح دسترسی خود را افزایش داده و به امکان اجرای کد از راه دور دست یابد، که بعد از آن توسط تیم اجرایی "unc0ver" که تجهیزات اپل را اصطلاحا جیل بریک (jailbreak) میکردند، مورد سو استفاده قرار گرفت که به متعاقب آن قفل تقریباً هر مدل آیفون را با نسخه 14.3 باز کنند.

شایان ذکر است که هافمن همچنین درگیر کشف یک اشکال روز صفر فعال مورد سوءاستفاده در مرورگر کروم بود که هفته گذشته توسط گوگل رفع شد. اما بر خلاف نقص امنیتی کروم، هیچ مدرکی دال بر بهره برداری سوءاستفاده از CVE-2021-1844 توسط هکرهای مهاجم و خرابکار وجود ندارد.

تیم امنیتی ما به کاربران دستگاه های اپل یا کسانی که از نسخه آسیب پذیر کروم استفاده می کنند، توصیه می کند که برای کاهش خطر و رفع نقص، در اسرع وقت این به روزرسانی ها را نصب نمایند.