بدافزار اندرویدی جدید که با استفاده از گوگل کروم، وب‌سایت‌های مخرب را از طریق اعلان‌ها بارگذاری می‌کند.

بد افزار جدیدی در فروشگاه گوگل_ پلی کشف شده است که کاربران را به وب‌سایت‌های مخرب هدایت می‌کند و به شکل منظم برایشان اعلان‌های تبلیغاتی قرار می‌دهد. این بدافزار به صورت پنهان و تحت نرم‌افزار رسمی برند‌های مشهور توزیع شده است.
اعلان‌های وب یک ویژگی است که به وب‌سایت‌ها اجازه می‌دهد که اعلان‌هایشان را برای کاربران ارسال کنند، حتی اگر وب‌سایت مربوطه باز نباشد. مهاجمان هم با انتشار تبلیغات و اعلان‌های جعلی و کلاهبرداری که از وب‌سایت‌های هک‌شده و مخرب می‌آیند، از این ویژگی سوءاستفاده می‌کنند.
طبق گزارش تیم امنیتی Dr.web، تروجان Android.FakeApp.174 یکی از اولین بدافزار‌هایی است که به مهاجمان کمک می‌کند تا تعداد بازدیدکنندگان این وب‌سایت‌های جعلی و مخرب را افزایش دهند و همچنین اعلان‌هایشان را برای کاربران تلفن‌های هوشمند و تبلت‌ها نیز به اشتراک بگذارند.
محققان دو نوع از این نرم‌افزارها را در فروشگاه گوگل کشف کرده‌اند که وب‌سایت‌های مخرب را از طریق مرورگر کروم بارگذاری می‌کنند و چندین تغییر مسیر را به صفحات برنامه‌های مختلف وابسته انجام می‌دهند.
هر یک از صفحات بازدید شده، اعلان‌هایی را به کاربران نشان می‌دهند و به کاربران اطلاع می‌دهد که این اعلان‌ها برای اهدافی مثل احراز هویت هستند. همین امر منجر به افزایش تعداد اشتراک‌های موفق مهاجمان می‌شود.
هنگامی که اشتراکی تایید می‌شود، وب‌سایت‌ها شروع به قرار دادن اعلان‌های جعلی مختلفی از جمله جوایز نقدی، پیام‌های انتقال، پیام‌های جدید در رسانه‌های اجتماعی و تبلیغاتی شامل طالع بینی، کالاها و خدمات و یا حتی اخبار مختلف می‌کنند.
این اعلان‌های جعلی به نظر خیلی واقعی می‌آیند و از طرف سرویس‌های آنلاین محبوب هستند و همچنین لینک وب‌سایتی معتبری که اعلان مربوطه از آن می‌آید را هم دارند که منجر به، معتبر به نظر رسیدن آن‌ها می‌شود.
با کلیک کردن کاربر بر روی لینک اعلان‌های مورد نظر، آن‌ها به صفحه با محتوای مخرب هدایت می‌شوند که شامل تبلیغات مختلف، فروشگاه‌های شرط‌بندی، برنامه‌های مختلف فروشگاه گوگل پلی، تخفیف‌ها، نظرسنجی‌های جعلی آنلاین و سایر منابع آنلاین دیگر می‌شود که بر اساس کشور کاربر قربانی، متفاوت است.
کاربران باید هنگام بازدید از وب‌سایت‌ها مراقب باشند و در اعلان‌های مختلف و مشکوک، مشترک نشوند. همچنین به کاربران اندرویدی که قبلاً برای اعلانی مشترک شده‌اند، توصیه می‌شود که مراحل زیر را برای خلاص شدن از این اعلان‌های اسپم انجام دهند.
• در تنظیمات مرورگر کروم ابتدا به Site Settings و بعد به Notifications بروید.
• در فهرست وب‌سایت‌های دارای اعلان، آدرس وب‌سایت را پیدا کنید و روی آن ضربه بزنید و Clear & reset را انتخاب کنید.

‫ انتشار وصله آسیب‌پذیری‌های بحرانی موجود درمحصولات مختلف سیسکو

شرکت سیسکو وصله مربوط به چندین آسیب پذیری در سطح بحرانی و شدید موجود در محصولاتش از جمله SD-WAN، DNA Center، TelePresence، StarOS، RV router، Prime Service Catalog و Meeting Server را منتشر کرد.
طبق گفته سیسکو، محصول DNA Center (مرکز معماری شبکه دیجیتال) این شرکت، تحت‌تاثیر یک آسیب‌پذیری بحرانی قرار دارد که به یک مهاجم شبکه، اجازه دور زدن احراز هویت و دسترسی به سرویس های داخلی بحرانی را می‌دهد.
رابط کاربری خط فرمان (CLI) در محصول SD-WAN هم دارای یک آسیب‌پذیری بحرانی است که می‌تواند توسط یک مهاجم محلی برای افزایش سطح دسترسی به روت و تغییر دلخواه پیکربندی سیستم مورد بهره‌برداری قرار گیرد.
این محصول SD-WAN تحت‌تاثیر یک آسیب‌پذیری در سطح شدید دیگر قرار دارد که امکان افزایش سطح دسترسی از طریق رابط کاربری تحت وب vManage را فراهم می‌کند. این محصول با یک آسیب‌پذیری در سطح شدید دیگر هم روبروست که به مهاجم از راه دور و احراز هویت شده، اجازه اجرای دستورات با سطح دسترسی روت را می‌دهد.
یک آسیب‌پذیری شدت بالا نیز که منجر به ایجاد شرایط منع سرویس می‌شود، در سیستم‌عامل StarOS و چندین RV router کشف شده است که می‌تواند بدون احراز هویت از راه دور مورد بهره‌برداری قرار گیرد.
دیگر آسیب‌پذیری‌های شدید که در هفته جاری توسط سیسکو رفع شده‌اند، عبارتند از یک آسیب‌پذیریCSRF در نرم‌افزار Prime Service Catalog و یک آسیب‌پذیری تزریق دستور در Meeting Server و نرم‌افزار TelePresence.
سیسکو همچنین بیش از دوازده آسیب‌پذیری در سطح متوسط را در سرویس‌های نرم‌افزاری گسترده، RV router ، Prime Service Catalog ، Prime Infrastructure Virtual Domain ، Integrated Management Controller ، Email Security Appliance ، Security Manager و Enterprise Chat and Email رفع کرده است.
طبق گفته سیسکو، تابحال هیچ شواهدی از بهره‌برداری مخرب از این آسیب‌پذیری‌ها ارائه نشده است زیرا بسیاری از این حفره‌های امنیتی توسط خود سیسکو در حین آزمایشات امنیتی داخلی کشف شده است.

‫ انتشار وصله آسیب‌پذیری بحرانی نرم‌افزار IOS XE سیسکو، که به هکرها اجازه اجرای حملات CSRF را می‌دهد.

دو روز پیش،سیسکو وصله آسیب پذیری بحرانی موجود در رابط کاربری تحت وب نرم‌افزار IOS XE خود را منتشر کرد. این آسیب‌پذیری می‌تواند به مهاجم احراز هویت نشده و از راه دور اجازه اجرای حملات CSRF روی سیستم آسیب‌پذیر را بدهد.
این آسیب‌پذیری ناشی از عدم اعتبارسنجی در رابط کاربری تحت وب است و به مهاجم اجازه می‌دهد که آن را با متقاعد کردن کاربر فعلی به دنبال کردن یک لینک مخرب، اکسپلویت کند. بهره‌برداری موفق از این آسیب‌پذیری، به مهاجم اجازه اجرای کد دلخواه را با سطح دسترسی کاربر آسیب‌پذیر می‌دهد.
اگر کاربر آسیب‌پذیر دارای سطح دسترسی مدیریتی باشد، مهاجم می‌تواند دستورات را اجرا کند، دستگاه را بارگذاری مجدد کند و همچنین پیکربندی دستگاه آسیب‌پذیر را تغییر دهد.
این آسیب‌پذیری در حین آزمایش امنیتی داخلی شناسایی شد و می‌توان آن را با شناسه CVE-2019-1904 دنبال کرد.
تیم امنیتی محصولات سیسکو (PSIRT) از وجود کد اکسپلویت این آسیب‌پذیری آگاه است، اما تابحال هیچ گزارشی از عمومی شدن این کد اکسپلویت ارائه نشده است.
مدیران می‌توانند نسخه نرم‌افزار IOS XE سیسکو بر روی دستگاه خود را با اجرای دستور زیر تشخیص دهند.
ios-xe-device# show version
سیسکو تایید می‌کند که تابحال هیچ راه‌حلی برای رفع این موضوع ارائه نشده است و توصیه می‌شود که برای از بین بردن بردار حمله تا زمانی که سیستم آسیب‌پذیر به‌روزرسانی می‌شود، ویژگی HTTP Server غیر فعال شود.
مدیران می‌توانند ویژگی HTTP Server خود را با استفاده از دستور no ip http server یا no ip http secure-server در حالت پیکربندی جهانی غیرفعال کنند.

‫ آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در VLC MEDIA PLAYER

آسیب پذیری های چندگانه‌ای درVLC_Media_Playerشناسایی شده است که شدید‌ترین آن می‌تواند موجب اجرای کد دلخواه شود. VLC یک پخش‌کننده محتواهای چندرسانه‌ای است. بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب اجرای کد دلخواه در محتوای نرم‌افزار آسیب‌پذیر شود. بسته به مجوزهای مربوط به این نرم‌افزار، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. اگر این نرم‌افزار به گونه‌ای پیکربندی شده‌ باشد که سطح دسترسی کاربری کمتری در سیستم داشته باشد، می‌تواند کمتر از نرم‌افزارهایی که با دسترسی مدیریتی کار می‌کنند، آسیب‌پذیر باشند. بهره‌برداری ناموفق می‌تواند منجر به اجرای شرایط منع سرویس شود.

تهدید امنیتی:
در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها در دنیای بیرون ارائه نشده است.

سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها:
• VLC Media Player، نسخه‌‌های تا قبل از 3.0.7

ریسک‌پذیری و مخاطره:
دولتی : 
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کسب و کار و تجارت : 
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کاربران خانگی : 
• کم

توصیه ها:
توصیه می‌شود که اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط VLC به سیستم‌های آسیب‌پذیر اعمال شود.
• برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن از وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
• اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصاً از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منابع:
REFERENCES:
VLC:
http://www.videolan.org/
CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5439

‫ آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در MOZILLA THUNDERBIRD

آسیب پذیری های چندگانه‌ای در Mozilla_Thunderbirdشناسایی شده است که شدید‌ترین آن می‌تواند موجب اجرای کد دلخواه شود. Mozilla Thunderbird یک سرویس ایمیل است. بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب به دست گرفتن کنترل سیستم آسیب‌پذیر توسط مهاجمان شود و بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌ است که سطح دسترسی کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند.
تهدید امنیتی:
در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها در دنیای بیرون ارائه نشده است.
سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها:
• سرویس Mozilla Thunderbird، نسخه‌ 60.7.1 و قبل از آن

ریسک‌پذیری و مخاطره:
دولتی : 
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کسب و کار و تجارت : 
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

جزئیات این آسیب‌پذیری‌ها به شرح زیر است:
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر heap در parser_get_next_char می‌شود. CVE-2019-11703
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر heap در icalmemory_strdup_and_dequote می‌شود. CVE-2019-11704
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر پشته در icalmemory_strdup_and_dequote می‌شود. CVE-2019-11705
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به type confusion در icaltimezone_get_vtimezone_properties می‌شود. CVE-2019-11706
• 
بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب به دست گرفتن کنترل سیستم آسیب‌پذیر توسط مهاجمان شود و بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌ است که سطح دسترسی کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند.
توصیه ها:
توصیه می‌شود که اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط موزیلا به سیستم‌های آسیب‌پذیر اعمال شود.
• برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن از وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
• اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصاً از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منابع:
Mozilla:
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/
CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11703
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11706

‫ شناسایی و رفع آسیب پذیری های بحرانی در محصولات اینتل

شرکت اینتل  بیش از 30آسیب پذیری در محصولات مختلف خود از جمله یک آسیب پذیری بحرانی در موتور همگرای مدیریت و امنیت Intel (CSME)که سوءاستفاده از آن می‌تواند منجر به افزایش امتیاز شود را برطرف نموده است.

این نقص (CVE-2019-0153)در زیرسیستم Intel CSMEوجود دارد. این زیرسیستم، فن‌آوری سفت‌افزار و سخت‌افزار سیستم مدیریت فعال Intelرا که برای مدیریت از راه دور خارج از محدوده‌ی رایانه‌های شخصی استفاده می‌شود، قدرت می‌بخشد. یک کاربر بدون احرازهویت می‌تواند به صورت بالقوه از این نقص برای اعمال افزایش امتیاز طی دسترسی شبکه‌ای، سوءاستفاده کند. این نقص، یک آسیب‌پذیری سرریز بافر با امتیاز CVSS9 از 10 است. نسخه‌های 12تا 12.0.34 CSMEتحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند. شرکت Intelبه کاربران Intel CSMEتوصیه می‌کند به آخرین نسخه‌ی منتشرشده توسط سازنده‌ی سیستم که این نقص‌ها را برطرف ساخته است، به‌روزرسانی کنند.

Intelدر مجموع 34 آسیب‌‌پذیری را برطرف ساخته است که علاوه بر این یک نقص بحرانی، 7 مورد از آن‌ها از نظر شدت «بالا»، 21 مورد «متوسط» و 5 مورد «پایین» رتبه‌بندی شده‌اند. این نقص‌ها جدا از نقص‌هایی هستند که Intelچندی پیش برطرف ساخته است. آن نقص‌ها، آسیب‌پذیری‌های اجرایی احتمالی به نام نمونه‌برداری داده‌‌ای ریزمعماری (MDS) بودند که تمامی CPUهای جدید Intelرا تحت‌تأثیر قرار داده بودند. چهار حمله‌ی کانالیZombieLoad، Fallout، RIDL (Rogue In-Flight Data Load)و Store-to-Leak Forwardingاجازه‌ی استخراج داده‌ها از سیستم‌های متأثر آن آسیب‌‌پذیری‌ها را می‌دادند.

یکی از آسیب‌پذیری‌های با شدت بالا که در توصیه‌نامه‌ی جدید Intelبرطرف شده است، یک آسیب‌‌پذیری اعتبارسنجی ناکافی ورودی است که درKernel Mode Driverتراشه‌های گرافیکی Intel i915لینوکس وجود دارد. این نقص، یک کاربر احرازهویت‌شده را قادر می‌سازد از طریق یک دسترسی محلی، امتیاز خود را افزایش دهد. این آسیب‌پذیری با شناسه‌ی CVE-2019-11085ردیابی می‌‌شود و دارای امتیاز CVSS8.8 از 10 است.

آسیب‌‌پذیری با شدت بالای دیگر در سفت‌افزار سیستم ابزارگان Intel NUC(یک ابزارگان کوچک رایانه شخصی که قابلیت‌های پردازش، حافظه و ذخیره‌سازی را برای برنامه‌‌هایی همچون مجموعه نشانه‌های دیجیتال، مراکز رسانه‌ای و کیوسک‌ها را ارایه می‌دهد) وجود دارد. این نقص با شناسه‌ی CVE-2019-11094ردیابی می‌‌شود و دارای رتبه‌ی CVSS7.5 از 10 است. این نقص ممکن است به کاربر احرازهویت‌شده اجازه دهد افزایش امتیاز، انکار سرویس یا افشای اطلاعات را به طور بالقوه از طریق دسترسی محلی اعمال سازد. شرکت Intelتوصیه می‌کند که محصولات متأثر زیر به آخرین نسخه‌ی سفت‌افزاری به‌روزرسانی کنند.

محصول متأثر	سفت‌افزار به‌روزرسانی‌شده
Intel® NUC Kit NUC8i7HNK	نسخه‌ی BIOS 0054یا جدیدتر
Intel® NUC Kit NUC8i7HVK	نسخه‌ی BIOS 0054یا جدیدتر
Intel® NUC Kit NUC7i7DNHE	نسخه‌ی BIOS 0062یا جدیدتر
Intel® NUC Kit NUC7i7DNKE	نسخه‌ی BIOS 0062یا جدیدتر
Intel® NUC Kit NUC7i5DNHE	نسخه‌ی BIOS 0062یا جدیدتر
Intel® NUC Kit NUC7i5DNHE	نسخه‌ی BIOS 0062یا جدیدتر
Intel® NUC Board NUC7i7DNBE	نسخه‌ی BIOS 0062یا جدیدتر

نقص با شدت بالای دیگر که توسط خود Intelکشف شد در واسط سفت‌افزاری توسعه‌پذیر یکپارچه (UEFI) وجود دارد. UEFIمشخصه‌ای است که یک واسط نرم‌افزاری بین یک سیستم‌عامل و سفت‌افزار بستر تعریف می‌کند (اگرچه UEFIیک مشخصه‌ی صنعتی است، سفت‌افزار UEFIبااستفاده از کد مرجع Intelتحت‌تأثیر این آسیب‌پذیری قرار گرفته است). این نقص با شناسه‌ی CVE-2019-0126ردیابی می‌شود و دارای امتیاز CVSS7.2 از 10 است سوءاستفاده از آن می‌تواند به طور بالقوه منجر به افزایش امتیاز یا انکار سرویس در سیستم‌های متأثر شود. به گفته‌ی Intel، این نقص ناشی کنترل ناکافی دسترسی در سفت‌افزار مرجع silicon برای پردازنده مقیاس‌پذیرIntel Xeon ، خانواده Dپردازنده Intel Xeon است. مهاجم برای سوءاستفاده از این نقص نیاز به دسترسی محلی دارد.

دیگر نقص‌های با شدت بالا شامل موارد زیر است:

• آسیب‌پذیری تصفیه‌سازی (sanitization)ناصحیح داده‌ها در زیرسیستمی در سرویس‌های بستر کارگزار Intel (CVE-2019-0089)
• آسیب‌‌پذیری کنترل ناکافی دسترسی در زیرسیستم Intel CSME (CVE-2019-0090)
• آسیب‌پذیری کنترل ناکافی دسترسی (CVE-2019-0086)در نرم‌افزار بارگذار پویای برنامه کاربردی (یک ابزار Intelکه به کاربران اجازه می‌دهد بخش‌های کوچکی از کد جاوا را بر Intel CSMEاجرا کنند)
• نقص سرریز بافر در زیرسیستمی در بارگزار پویای برنامه‌ی کاربردی Intel (CVE-2019-0170)

Intelبه کاربران توصیه می‌کند سفت‌افزار خود را به این نسخه‌ی سفت‌افزاری (یا جدیدتر) اختصاص‌داده شده برای مدل محصول متأثر خود، ارتقا دهند.

‫ انتشار وصله‌ی‌های امنیتی رایگان REMOTE DESKTOP مایکروسافت برای نسخه‌های قدیمی ویندوز جهت جلوگیری از بروز مجدد حملات WANNACRY

مایکروسافت  در به‌روزرسانی ماه می سال 2019 خود، 79 آسیب‌پذیری از جمله یک آسیب‌پذیری در سیستم‌عامل‌های قدیمی Windows XP و Server 2003 که دیگر از آن‌ها پشتیبانی نمی‌کند را وصله کرده است.
معمولاً پشتیبانی از سیستم‌عامل‌‌‌های قدیمی هزینه‌بر است؛ اما مایکروسافت با توجه به ماهیت خطرناک این نقص بحرانی، وصله‌ی رایگانی را برای آن منتشر ساخته است. این آسیب‌پذیری با شناسه‌ی CVE-2019-0708 ردیابی می‌شود و در سرویس‌های Remote Desktop وجود دارد. این آسیب‌‌پذیری اجازه‌ی اجرای کد راه دور را می‌دهد؛ بدون آنکه نیازی به دخالت کاربر یا احرازهویت باشد. برای سوءاستفاده، مهاجم یکی از بیشمار بسته‌‌های ویندوزی آسیب‌پذیر را که به اینترنت یا یک شبکه متصل هستند را می‌یابد، بسته‌های ساختگی دقیق را به سرویس Remote Desktop آن ارسال می‌کند، اگر در حال اجرا باشد، شروع به اجرای کد مخرب در دستگاه می‌کند. از آنجا، رایانه‌های آسیب‌پذیر دیگر، با اسکن دامنه‌های IP، یافت خواهند شد. این آسیب‌‌پذیری «کرم‌گونه» است؛ بدین معنی که هر بدافزاری که در آینده از این آسیب‌پذیری سوءاستفاده می‌‌کند می‌تواند از رایانه‌ی آسیب‌پذیری به رایانه‌ی آسیب‌پذیر دیگر پخش شود. این روش مشابه روشی است که بدافزار WannaCry در سال 2017 در سراسر جهان انتشار یافت.
از آنجاییکه هیچ سوءاستفاده‌ای از این آسیب‌پذیری مشاهده نشده است، به احتمال زیاد، عاملین تهدید سوءاستفاده‌ای برای این آسیب‌پذیری خواهند نوشت و آن را در بدافزار خود قرار خواهند داد. لذا ضروری است سیستم‌های متأثر در اسرع وقت به‌منظور جلوگیری از چنین حوادثی، وصله شوند. به همین دلیل مایکروسافت به روزرسانی امنیتی برای تمامی مشتریان به‌منظور حفاظت بسترهای ویندوزی، از جمله برخی نسخه‌های قدیمی ویندوز ارایه کرده است.

دریافت متن کامل

‫ امکان اجرای کد از راه دور با استفاده از نقص موجود در هسته‌ی لینوکس

میلیون‌ها سیستم  لینوکس می‌توانند نسبت به نقص race condition با شدت بالا در هسته‌ی لینوکس آسیب‌پذیر باشند. کارشناسان امنیتی یک آسیب‌پذیری (CVE-2019-11815) در هسته‌ی لینوکس، نسخه‌های قبل از 5.0.8 کشف کردند که سیستم را در معرض خطر اجرای کد از راه دور قرار می‌دهد. 
مهاجمین می‌توانند مسئله‌ی race condition که در پیاده‌سازی "rds_tcp_kill_sock TCP / IP" در "net / rds / tcp.c" قرار دارد و باعث ایجاد شرایط انکار سرویس (DoS) و اجرای کد از راه دور در دستگاه‌های آسیب‌پذیر لینوکس می‌شود، تحریک کنند. این وضعیت زمانی اتفاق می‌افتد که یک فرآیند متشکل از وظایف خاصی که در یک دنباله‌ی خاص رخ می‌دهند، با یک درخواست برای انجام دو یا چند عملیات به‌طور همزمان دچار اشتباه شود. در طی این سردرگمی، یک فرایند سرکش می‌تواند وارد شود.
در آسیب‌پذیری "CVE-2019-11815"، مهاجمان می‌توانند از ارسال بسته‌های TCP مخصوص ساخته‌شده از راه دور به‌منظور تحریک یک وضعیت UAF مربوط به پاکسازی فضای نام شبکه، استفاده کنند. UAF یک کلاس از نقص فیزیکی حافظه است که می‌تواند منجر به سقوط سیستم و توانایی مهاجم برای اجرای کد دلخواه شود.
مهاجم می‌تواند بدون هیچ‌گونه امتیاز بالایی، بدون احراز هویت و بدون تعامل با کاربر، از این اشکال سوءاستفاده کند. بهره‌برداری از این نقص می‌تواند مهاجمان را قادر به دسترسی به منابع، تغییر هرگونه فایل و دسترسی به منابع ممنوع کند. آسیب‌پذیری "CVE-2019-11815" دارایCVSS v3.0 از امتیاز پایه‌ی 8.1 است، اما به دلیل دشواری سوءاستفاده از آن، امتیاز سوءاستفاده‌ی 2.2 و امتیاز تأثیر 5.9 را دریافت کرده است. تیم توسعه‌ی هسته‌ی لینوکس یک وصله‌ی امنیتی را منتشر کرد و این آسیب‌پذیری به‌طور کامل با نسخه‌ی لینوکس 5.0.8 رفع شد.

‫ سوءاستفاده‌ی مهاجمان از نقص موجود در واتس‌آپ برای نصب نرم‌افزار جاسوسی

واتس آپ جزئیات مربوط به یک آسیب‌پذیری جدی در برنامه‌ی پیام‌رسان خود را افشا کرده است که به کلاه‌برداران این امکان را می‌دهد تا از راه دور، جاسوس‌افزار اسرائیلی را در دستگاه‌های iPhone و اندروید به‌سادگی و با برقراری تماس تلفنی با هدف، تزریق کنند.این اشکال که توسط فیس‌بوک کشف شده است، یک آسیب‌پذیری سرریز بافر در تابع VOIP واتس‌آپ است.
مهاجم باید با هدف، تماس بگیرد و بسته‌های پروتکل حمل‌ونقل امن (SRTP) را به تلفن ارسال کند تا بتواند از نقص حافظه‌ی موجود در تابع VOIP در واتس‌آپ برای تزریق نرم‌افزارهای جاسوسی و کنترل دستگاه استفاده کند.
برای تزریق نرم‌افزار جاسوسی حتی نیازی به پاسخ هدف به تماس نیست و تماس اغلب از ورودی‌های مربوط به تماس پاک می‌شود.
در حالی که واتس‌آپ از رمزگذاری انتها-به-انتها پشتیبانی می‌کند که باید از محتوای ارتباطات بین کاربران محافظت کند، اما اگر دستگاه با نرم‌افزارهای مخرب سازش پیدا کند، این اقدام امنیتی می‌تواند تضعیف شود.
طبق گزارشات، این نرم‌افزار جاسوسی از گروه NSO (یک شرکت اسرائیلی) است که متهم به فروش نرم‌افزارهای جاسوسی خود به دولت‌هایی با پرونده‌های مشکوک حقوق بشر است.
محصول پیشگام گروه NSO ، ابزاری به نام " Pegasus" است. این ابزار مخرب، نه‌تنها برای مبارزه با جرایم و تروریسم محلی بلکه برای نظارت بر مرزهای بین‌المللی نیز استفاده می‌شود.
این نرم‌افزار مخرب می‌تواند مکالمات را ضبط کند، پیام‌های خصوصی را به سرقت ببرد، عکس‌ها را پاک کند، دوربین گوشی را روشن و داده‌های موقعیت مکانی را جمع‌آوری کند.
به‌گفته‌ی مهندسین واتس‌آپ، هفته‌ی گذشته این آسیب‌پذیری برای نصب بدافزار "Pegasus" مورد استفاده قرار گرفت و چند روز بعد یک وصله برای کاربران نهایی عرضه کرد.
نقص VOIPدر واتس‌آپ بر روی نسخه‌های اندروید واتس‌آپ قبل از نسخه‌ی 2.19.134، واتس‌آپ تجاری برای اندروید قبل از 2.19.44، واتس‌آپ برای iOS قبل از 19.19.51، واتس‌آپ تجاری برای iOS قبل از 2.19.51، واتس‌آپ برای ویندوز فون قبل از 2 .18.348 و واتس‌آپ برای Tizen قبل از 1.18.15 تأثیر می‌گذارد.
این آسیب‌پذیری در حال حاضر رفع شده است؛ به این معنی که کاربران واتس‌آپ تنها نیاز به دانلود آخرین نسخه از این نرم‌افزار دارند.

آلوده‌شدن 150 میلیون کاربر اندروید به بدافزار "SIMBAD"

یک پویش پیشرفته‌ی مخرب کشف شده است که بدافزار سیمباد (SimBad) را از طریق فروشگاه Google Playمنتشر می‌کند. به‌گفته‌ی کارشناسان، بیش از 150 میلیون کاربر در حال حاضر تحت تأثیر این پویش قرار گرفته‌اند.

سیمباد خود را به‌ تبلیغات مبدل می‌کند و در مجموعه‌ی کیت توسعه‌ی نرم‌افزار RXDrioder (SDK) که برای اهداف تبلیغاتی و کسب درآمد استفاده می‌شود، مخفی می‌شود. هر برنامه‌ای که با استفاده از SDKمخرب توسعه می‌یابد، شامل کد مخرب است.

این بدافزار توسط دامنه‌ی "addoider [.] com" به‌عنوان یک SDKمرتبط با تبلیغ ارائه شده است. با دسترسی به این دامنه، کاربران به یک صفحه‌ی ورودی دسترسی پیدا می‌کنند که به‌نظر می‌رسد مشابه سایر پنل‌های بدافزار است. پیوندهای «ثبت نام» شکسته می‌شوند و کاربر به صفحه‌ی ورود به سایت هدایت می‌شود.

بدافزار سیمباد همچنین قادر به هدایت کاربران اندرویدی به وب‌سایت‌های ماحیگیری است تا برنامه‌های مخرب بیشتری را از فروشگاه Playیا از یک سرور از راه دور دانلود ‌کند.

هنگامی که یک کاربر اندروید یک برنامه‌ی آلوده را دریافت و نصب می‌کند، بدافزار سیمباد خود را در "BOOT_COMPLETE" و "USER_PRESENT" ثبت می‌کند. به این ترتیب، نرم‌افزارهای مخرب می‌توانند عملیات را پس از اتمام مرحله‌ی بوت‌شدن انجام دهند، در حالی که کاربر، بدون اطلاع از دستگاه خود استفاده می‌کند.

پس از نصب، بدافزار سیمباد به سرور فرماندهی و کنترل (C&C) متصل می‌شود و فرمانی را برای انجام آن دریافت می‌کند. سپس آیکون خود را از لانچر حذف می‌کند که این کار حذف برنامه‌ی مخرب را برای کاربر دشوار می‌سازد. همزمان، تبلیغات را در پس‌زمینه نمایش می‌دهد و یک مرورگر با یک URLمشخص برای تولید درآمد، بدون ایجاد سوءظن باز می‌کند.

سیمباد دارای قابلیت‌هایی است که می‌توانند به سه گروه نمایش تبلیغات، ماحیگیری و قرارگرفتن در معرض دیگر برنامه‌ها تقسیم شوند. با استفاده از قابلیت بازکردن یک URLمشخص‌شده در مرورگر، مهاجم سیمباد می‌تواند صفحات ماحیگیری را برای سیستم‌عامل‌های مختلف ایجاد کند و آن‌ها را در یک مرورگر باز کند، بدن ترتیب، حملات ماحیگیری هدف‌دار را بر روی کاربر انجام دهد.

با توانایی بازکردن برنامه‌های بازاری مانند Google Playو 9Apps، با جستجوی کلیدواژه‌ی خاص یا حتی یک صفحه‌ی برنامه‌‌ی منفرد، این مهاجم می‌تواند به دیگر مهاجمان تهدید دست یابد و سود خود را افزایش دهد. مهاجم حتی می‌تواند با نصب یک برنامه‌ی از راه دور از یک سرور اختصاصی، فعالیت‌های مخرب خود را به سطح بالاتر ببرد تا به او اجازه‌ی نصب نرم‌افزارهای مخرب جدید را بدهد.

با توجه به تحقیقات انجام‌شده، اکثر برنامه‌های آلوده، بازی‌های شبیه‌ساز، ویرایشگر عکس و برنامه‌های کاربردی تصاویر پس‌زمینه هستند. 10 برنامه‌ی برتر آلوده به بدافزار سیمباد عبارتنداز:

1. شبیه‌ساز Snow Heavy Excavator(10،000،000 دانلود)
2. مسابقه‌ی Hoverboard(5،000،000 دانلود)
3. شبیه‌ساز Real Tractor Farming(5.000.000.000 دانلود)
4. Ambulance Rescue Driving (5،000،000 دانلود)
5. شبیه‌ساز Heavy Mountain Bus 2018 (5،000،000 دانلود)
6. Fire Truck Emergency Driver (5،000،000 دانلود)
7. شبیه‌ساز Farming Tractor Real Harvest(5،000،000 دانلود)
8. Car Parking Challenge (5،000،000 بارگیری)
9. مسابقات Speed Boat Jet Ski (5،000،000 دانلود)
10. Water Surfing Car Stunt (5،000،000 دانلود)

لیست کامل برنامه‌های آلوده به این بدافزار در اینجا موجود است.