تهدیدات احتمالی استفاده از سیستم های دارای نسخه منسوخ و به روز رسانی نشده ویندوز 7، پسوردهای ضعیف و نا امن و نرم افزار به اشتراک گذاری محیط رایانه ای TeamViewer در اوایل سال 2020 مشغول فعالیت بوده اند. به گزارش سایبرسکیوریتی مگزین، دفتر تحقیقات فدرال آمریکا بار دیگر به نهادهای فدرال و سازمان های خصوصی هشدار داد که شبکه داخلی خود را برای هر گونه فعالیت مشکوک و مخرب مورد بررسی و نظارت قرار دهند. این هشدار بر مبنای حمله سایبری اخیر به شبکه مجموعه تصفیه پساب اولدزمار صادر شد که در پی آن حمله، مهاجم ها به نرم افزار کنترل میزان مواد شیمیایی که جهت استفاده در آب خروجی آن مجموعه برای ورود به شهر استفاده میشدند، دسترسی پیدا کرده بودند.

نهادهای همچون سایبرسکیوریتی و آژانس امنیت زیرساخت آمریکا (CISA)، آژانس حفاظت از محیط زیست (EPA) و مراکز تحلیل و اشتراک گذاری اطلاعات چند ایالتی (MS-ISAC) اذعان کردند که مجرمان اینترنتی از سیستم های با نسخ قدیمی ویندوز 7، نرم افزار TeamViewer و رمزهای عبور حساب ضعیف اپراتورهای این کارخانه برای نفوذ به شبکه استفاده کرده اند.

تهدیدهای ابزار کنترل از راه دور:

دفتر تحقیقات فدرال اذعان داشته است که معمولا نرم افزارهای اشتراک گذاری محیط رایانه ای مانند TeamViewer را به عنوان هدف خود جهت انجام مهندسی اجتماعی و حملات فیشینگ به کاربران بی اطلاع بهره میبرند.

اف بی آی بیان داشته است که "ورای کاربردهای قانونی نرم افزارهای کنترل از راه دور، زمانی که ملاحظات امنیتی مناسب اتخاذ و دنبال نشوند، این قبیل نرم افزارها میتوانند به عنوان راهی برای انتقال و یا جابجایی فایلها به رایانه های افراد مورد تهاجم واقع شده، مانند تروجان های کنترل از راه دور (RATs) به کار گرفته شوند. هرچند که استفاده قانونی TeamViewer در قیاس با RATs، فعالیت های غیرطبیعی را برای کاربر نهایی و مدیران سیستم کمتر مشکوک میکند."

برای استفاده امن از نرم افزار TeamViewer، این نهاد توصیه های امنیتی ای ارائه کرده است که ذیل اشاره شده اند:

1. از صدور اجازه دسترسی های بدون نظارت مانند Start TeamViewer with Windows و Grant easy access خودداری نمائید.
2. تنظیمات شروع و راه اندازی نرم افزار TeamViewer را در حالت غیر اتوماتیک قرار دهید که به موجب آن، برنامه و سرویس های فعال در پیش زمینه وابسته به آن نیز در زمان بستن برنامه، غیرفعال باشند.
3. رمزهای عبور تصادفی را در راستای تولید رمزهای عبور تلفیقی حرف-عدد ده کاراکتری تنظیم نمایید.
4. هنگام تنظیم کنترل دسترسی برای مخاطب میزبان، از تنظیمات سفارشی برای دستیابی به سطح دسترسی مخاطب از راه دور استفاده کنید.
5. از لیست Block and Allow استفاده کنید تا به کاربر امکان کنترل سایر کاربران سازمانی TeamViewer که ممکن است از آن سیستم استفاده کنند را فراهم کند. این لیست همچنین میتواند مسدود سازی کاربرانی که مشکوک به دسترسی غیرمجاز هستند را اجرا کند.

مشکلات سیستم عامل ویندوز 7:

کمپانی مایکروسافت از تاریخ 14 ژانویه 2020، ارائه بروزرسانی امنیتی و پشتیبانی فنی از سیستم عامل ویندوز 7 را متوقف کرد. اف بی آی هشدار داده است که مجموعه های استفاده کننده از این سیستم عامل به دلیل کافی نبودن وعدم دریافت بروزرسانی های امنیتی که باعث دشوار بودن دفاع سیستم عامل در برابر حملات مداوم مجرمان سایبری میشود، در معرض هک شدن قرار دارند. اف بی آی همچنین افزوده است که "مجرمان سایبری همچنان به یافتن راه رخنه به سیستم عامل های قدیمی ویندوز و استفاده از پروتکل های کنترل از راه دور رایانه (RDP) به عنوان اهرمی برای نفوذ، اهتمام میورزند."

پاکسازی سایبری:

در راستای ملاحظات پاکسازی و بهبود امنیت سایبری در مقابل ریسک های احتمالی، توصیه میشود که موارد ذیل مورد مد نظر کاربران و نهادها قرار گیرند:

1. سیستم عامل خود را به آخرین نسخه بروزرسانی شده ارتقا (مانند ویندوز 10) ارتقا دهید.
2. از شناسایی چند مرحله ای استفاده نمایید.
3. برای محافظت از اعتبارنامه های RDP یا پروتکل های دسترسی از راه دور رایانه ای، از پسوردهای پیچیده و قوی استفاده کنید.
4. از تنظیم صحیح، بروز بودن و ایمن بودن آنتی ویروس، آنتی اسپم و فایروال سیستم خود اطمینان حاصل نمایید.
5. پیکربندی شبکه را کنترل کرده و سیستم های رایانه ای را که امکان بروزرسانی آنها فراهم نیست، از مابقی تجهیزات جدا کنید.
6. گزارش های همه پروتکل های اتصال از راه دور را بررسی و ممیزی نمایید.
7. به کاربران آموزش دهید تا اقدامات در راستای حملات مهندسی اجتماعی را شناسایی و گزارش کنند.

8 . دسترسی کاربران دارای فعالیت های غیرمعمول و غیرعادی را شناسایی و به حالت تعلیق درآورید.

مقامات همچنان به کاربران، مسئولین امنیت سایبری و نهادها توصیه مینمایند که اقدامات مشکوک مجرمانه را به مجموعه های مربوطه گزارش دهند.

مسابقه هک Pwn2Own سری بهاری سال 2021، هفته گذشته در 8 آپریل با تساوی سه جانبه بین تیم Devcore ،OV و محققان Daan Keuper و Thijs Alkemade به پایان رسید.

در مجموع 1.2 میلیون دلار برای 16 سطح و موضوع مهم نفوذ در طول یک رویداد مجازی سه روزه که توسط طرح روز صفر (ZDI) سازماندهی و برگزار شده بود، اهدا شد.

به گزارش هکر نیوز، اهدافی که با تلاش برای نفوذ موفق آمیز مواجه شدند، شامل سیستم های عامل زوم، اپل سافاری، مایکروسافت Exchange ، مایکروسافت تیمز، پاراللز دسکتاپ، ویندوز 10 و نسخه دسکتاپ اوبونتو بودند.

برخی از مهمترین موارد برجسته و مهم این رقابت به شرح زیر بوده اند:

• با استفاده از بای پس احراز هویت و افزایش دسترسی محلی برای تصاحب کامل یک سرور مایکروسافت Exchange، که برای آن تیم دِوکور 200 هزار دلار جایزه کسب کرد.
• ایجاد زنجیره ای از اشکالات برای دستیابی به اجرای کد در مایکروسافت تیمز و کسب 200.000 دلار برای تیم تحقیقاتی OV
• سوءاستفاده از کلیک صفر (zero-click) با هدفگیری برنامه زوم توسط زنجیره سه گانه باگ برای بهره برداری از این برنامه پیام رسان و به دست آوردن امکان اجرای کد در سیستم هدف. (200.000 دلار)
• بهره برداری از نقص بیشینه عدد صحیح در سافاری و نوشتن بیش از ظرفیت و محدوده آن، برای بدست آوردن امکان اجرای کد سطح کرنل (100.000 دلار)
• نفوذ با هدف رندر کروم برای هک مرورگرهای گوگل کروم و مایکروسافت ادج (کرومیوم) (100.000 دلار)
• استفاده از اشکالات use-after-free، شرایط رقابتی و بیشینه عدد صحیح در ویندوز 10 برای تبدیل شدن از یک کاربر عادی به سطح دسترسی کامل به سیستم (40.000 دلار به هر یک)
• ترکیب سه نقص شامل نشت حافظه غیر اولیه، بیشینه انباشته و بیشینه عدد صحیح، برای فرار از Parallels Desktop و اجرای کد بر روی سیستم عامل اصلی (40.000 دلار)
• سوءاستفاده از نقص تخریب حافظه برای اجرای موفقیت آمیز کد بر روی سیستم عامل میزبان از داخلParallels Desktop (40.000 دلار)
• بهره برداری از اشکال دسترسی خارج از حریم برای افزایش از یک کاربر استاندارد به دسترسی بنیادی در نسخه دسکتاپی اوبونتو (30.000 دلار)

آسیب پذیری های زوم که توسط دان کوپر و تیش آکیمید از شرکت کامپیوتست سکیوریتی مورد بهره برداری قرار گرفته اند، بسیار ویژه قابل توجه هستند زیرا این نقص ها به جز فرد شرکت کننده در تماس زوم، به هیچ تعامل و ارتباط دیگری با قربانی احتیاج ندارد. علاوه بر این، این مورد بر روی نسخه های ویندوز و مک این برنامه قابل انجام است اما مشخص نیست که نسخه های آندروید و iOS نیز شامل این آسیب پذیری میشوند یا خیر.

جزئیات فنی این نقص ها هنوز مشخص نیست، اما در بیانیه ای منتشر شده برای به اشتراک گذاری یافته ها، شرکت امنیتی هلندی گفت که محققان "پس از آن که تقریباً به طور کامل سیستم را تحت کنترل خود درآوردند و اقداماتی مانند روشن کردن دوربین، روشن کردن میکروفون، خواندن ایمیل ها، تغییر تنظیمات صفحات و بارگیری تاریخچه مرورگر را به مرحله اجرا رساندند".

هنگامی که باز مدیران زوم درخواست پاسخ شد، آنها اعلام کردند که این امر باعث ایجاد تغییرات در سرور برای بروزرسانی و رفع اشکالات شده است و خاطرنشان کرد که این گروه بر روی ترکیب حفاظت های اضافی برای رفع نواقص امنیتی کار می کند. این شرکت برای رسیدگی به مشکلات قبل از علنی شدنشان، فرصت 90 روزه دارد.

سخنگوی این شرکت به خبرگزاری ها گفت: "در تاریخ 9 آپریل، یک به روزرسانی سروری منتشر کردیم که در برابر حمله نشان داده شده در Pwn2Own در زوم چت از برنامه محافظت می کند. این بروزرسانی نیازی به اقدامی از سمت کاربران ندارد. ما در حال کار بر روی موارد کاهش هرچه بیشتر آسیب پذیری ها برای رفع کامل مشکلات اساسی زوم هستیم".

این شرکت همچنین اعلام کرد که به هیچ نشانه ای دال بر سوءاستفاده از باگ های کشف شده نرسیده است، در حالی که نقایص ذکر شده در جلسات ویدئویی زوم بی تاثیر هستند و "حمله فقط می تواند توسط یک تماس خارجی انجام شود که مخاطب آن حمله قبلاً تایید شده یا بخشی از همان حساب سازمانی هدف بوده باشد".

محقق مستقل، آلیسا ایساژ، همچنین پس از یافتن اشکال در نرم افزار مجازی سازی پاراللز، به عنوان اولین زنی که در Pwn2Own  برنده شد، تاریخ سازی کرد. اما تنها به دلیل اینکه این نقص قبل از برگزاری این رویداد به ZDI گزارش داده شده بود، او تنها برنده قسمتی از جوایز شد.

ایساگ در توئیتر خود نوشت: "من فقط می توانم این واقعیت را قبول کنم که مشارکت موفق من در Pwn2Own باعث جلب توجه به سمت برخی از موارد قابل تغییر و یا منسوخ شده در قوانین مسابقه شد". وی افزود: "در دنیای واقعی چیزی به عنوان "نکته قابل بحث"وجود ندارد. یک بهره برداری و نفوذ و سوءاستفاده سایبری، یا سیستم هدف را می شکند و رسوخ میکند یا خیر"!