سوءاستفاده از نقص انکار سرویس در چندین مسیریاب MIKRO TIK

شرکت MikroTik# بار دیگر از وجود نقصی در مسیریاب‌های خود خبر داد. این شرکت در هفته‌ی اول ماه آوریل سال 2019، جزئیات فنی مربوط به یک آسیب پذیری قدیمی که دستگاه را به مهاجمان راه دور نشان می‌دهد، منتشر ساخته است.

مهاجمان می‌توانند از این آسیب‌پذیری برای راه‌اندازی یک حالت انکار سرویس (DoS) در دستگاه‌هایی که RouterOS را اجرا می‌کنند، سوءاستفاده کنند. RouterOS حاوی چندین مشکل خسته‌شدن بیش از اندازه‌ی منبع مربوط به IPv6 است که در حال حاضر برطرف شده‌اند.

اولین مسئله باعث می‌شود در صورتی که ترافیک به سمت تعداد زیادی آدرس مقصد مختلف، تعیین مسیر شود، دستگاه مجدداً راه‌اندازی شود. این راه اندازی‌های مجدد توسط یک تایمر نگهبان (watchdog) دایماً تکرار و در نتیجه منجر به به بارگیری بیش از اندازه و توقف پاسخ‌گویی دستگاه می‌شوند.

به‌روزرسانی‌های امنیتی برای RouterOS منتشر شده است که این نقص (CVE-2018-19299) را برطرف می‌سازد؛ اما به گفته‌ی کارشناسان، برخی از دستگاه‌های متأثر همچنان آسیب‌پذیر هستند.

آسیب‌پذیری CVE-2018-19299، دستگاه‌های وصله‌نشده‌ی Mikro Tik را که مسیر بسته‌های IPv6 را تعیین می‌کنند، تحت‌تأثیر قرار می‌دهد. مهاجم می‌تواند با ارسال یک دنباله‌ی خاص از بسته‌های IPv6 که استفاده از RAM را اشباع می‌سازد، از این نقص سوءاستفاده کند.

پس از رفع نقص مربوط به راه‌اندازی مجدد، مسئله‌ی دیگری باعث پرشدن حافظه می‌شود، زیرا اندازه‌ی کش مسیر IPv6 می‌تواند بزرگتر از RAM موجود باشد. این مشکل نیز با محاسبه‌ی خودکار اندازه‌ی کش بر اساس حافظه‌ی موجود، رفع شده است.

MikroTik این آسیب‌پذیری‌ها را در نسخه‌های RouterOS که در ماه آوریل سال 2019 منتشر شده‌اند (تمامی زنجیره‌های انتشار: RouterOSv6.44.2، RouterOS v6.45beta23 و RouterOSv6.43.14)، برطرف ساخته است.

کارشناسان کشف کرده‌اند که نقص DoS تنها در دستگاه‌های با بیش از 64 مگابایت RAM رفع شده است.

Javier Prieto، یکی از اعضای Mikro Tik، این نقص را بر روی Cloud Hoster Router (CHR) با RAM 256 مگابایت مورد آزمایش قرار داده است. او مشاهده کرد که این حمله باعث استفاده‌ی بیش از 20Mib شده است. Prieto چندین تست مختلف با GNS3 بااستفاده از CHR 6.44.2 (ثابت) انجام داده است و از آنجاییکه مسیریاب دارای حافظه‌ی کافی بود ، نابود نشد.

در این آزمایش و با استفاده از CHR دارای 256 مگابایت حافظه، منابع سیستم، پیش از حمله، کل حافظه‌ را 224 MiB و حافظه‌ی آزاد را 197 MiB نشان می‌دهد. در حین حمله و تنها از یک رایانه، حافظه‌ی آزاد تا حدود 20 MiB و گاهی تا 13 MiB کاهش می‌یابد. در استفاده از دو مهاجم، به نظر می‌رسد نتایج مشابه است و بدتر نیست. استفاده از مسیریاب دارای حافظه‌ی 200 مگابایت منجر به راه‌اندازی مجدد می‌شود.

این نقص توسط چندین متخصص مختلف، از جمله Isalski، در 16 آوریل سال 2018 گزارش شده بود. به گفته‌ی این متخصص، Mikro Tik بر وجود این نقص اذعان داشت؛ اما آن را به عنوان آسیب‌پذیری امنیتی دسته‌بندی نکرد. Isalski این نقص را در ماه مارس به چندین تیم پاسخگویی اورژانسی گزارش داد و مدارک سوءاستفاده از این آسیب‌پذیری در حملات وحشیانه را منتشر ساخت. Isalski ثابت کرد که نقص CVE-2018-19299 تقریباً هر دستگاه Mikro Tik را تحت‌تأثیر قرار می‌دهد؛ حتی دستگاه‌هایی که به عنوان مسیریاب‌های “core” یا “backhaul” استفاده می‌شوند.

Mikro Tik بیش از 20 نسخه RouterOS پس از کشف این آسیب‌پذیری منتشر ساخته است. یکی از دلایل این امر علاوه بر رد خطر امنیتی آن، این است که این نقص در سطح هسته (kernel) است و رفع آن بسیار دشوار است. به گفته‌ی یکی از اعضای تیم پشتیبانی شرکت Mikro Tik، Router v6 دارای هسته‌ی قدیمی‌تری است و نمی‌توان آن را تغییر داد.

کارشناسان معتقدند، Mikro Tik تعدادی بهینه‌سازی در نسخه‌ی بتای بعدی RouterOS برای سخت‌افزار با منبع کم RAM، معرفی خواهد کرد.

‫ به‌روزرسانی ماه آوریل مایکروسافت و رفع دو آسیب‌پذیری روز صفرم

شرکت مایکروسافت، به‌روزرسانی ماه آوریل خود را منتشر کرد و آسیب‌پذیری‌های متعددی ازجمله دو آسیب‌پذیری روز صفرم ویندوز که در حملات گسترده مورد سوءاستفاده قرار گرفته‌اند، رفع کرد.
در این به‌روزرسانی، بیش از ده آسیب‌پذیری اجرای کد از راه دور و افزایش امتیاز که بر ویندوز و مرورگرهای مایکروسافت تأثیر می‌گذارند، وصله شدند.
15 به‌روزرسانی منتشرشده، در مجموع 74 آسیب‌پذیری منحصربه‌فرد در ویندوز، اینترنت اکسپلورر، Edge، آفیس، SharePoint و Exchange را پوشش می‌دهند.
آسیب‌پذیری‌های روز صفرمی که به‌طور گسترده مورد سوءاستفاده قرار گرفته‌اند، "CVE-2019-0803" و "CVE-2019-0859" هستند که می‌توانند به یک مهاجم، اجازه‌ی افزایش دسترسی در سیستم‌های هدف دهند.
آسیب‌پذیری افزایش امتیاز در ویندوز زمانی به‌وجود می‌آید که مؤلفه‌ی "Win32k" نتواند به‌درستی اشیاء را در حافظه کنترل کند. مهاجم می‌تواند پس از سوءاستفاده‌ی موفقیت‌آمیز از این آسیب‌پذیری، کد دلخواه را در حالت هسته اجرا، برنامه‌ها را نصب، داده‌ها را مشاهده، تغییر یا حذف و حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
برای سوءاستفاده از این آسیب‌پذیری، یک مهاجم باید ابتدا به سیستم وارد شود. برای این کار می‌تواند یک برنامه‌ی خاص طراحی‌شده را اجرا کند که می‌تواند از این آسیب‌پذیری سوءاستفاده کند و کنترل سیستم آسیب‌دیده را به‌دست گیرد.
به‌روزرسانی مایکروسافت، این آسیب‌پذیری را با تصحیح چگونگی کنترل اشیاء توسط "Win32k" رفع می‌کند.
علاوه بر آسیب‌پذیری‌های روز صفرم، دیگر محصولات امنیتی مایکروسافت نیز وجود دارند که کاربران باید وصله‌های منتشرشده را بر روی آن‌ها اعمال کنند.
به‌عنوان مثال، سه اشکال در Microsoft Office Access Connectivity با شناسه‌های "CVE-2019-0824"، "CVE-2019-0825" و "CVE-2019-0827" وجود دارند که می‌توانند مهاجمین را قادر به اجرای کد در سیستم‌های آسیب‌پذیر کنند. این اشکالات می‌توانند از راه دور مورد سوءاستفاده قرار گیرند و محیط‌های سازمانی را در معرض خطر قرار دهند.
در هنگام تجزیه‌ی فایل‌های EMF، آسیب‌پذیری اجرای کد از راه دور ("CVE-2019-0853")، مؤلفه‌ی GDI ویندوز را تحت تأثیر قرار می‌دهد. با توجه به اینکه بهره‌برداری از این آسیب‌پذیری می‌تواند با متقاعدکردن کاربران به بازدید از یک وب‌سایت یا ارسال ایمیل حاوی فایل مخرب به کاربران انجام شود، این نقص نیز یک مسئله‌ی بسیار جدی است که اعمال وصله‌های منتشرشده را ضروری می‌سازد.
Adobe و SAP نیز به‌روزرسانی‌های امنیتی مربوطه خود را منتشر کردند. Adobe هفت به‌روزرسانی را برای رفع 43 آسیب‌پذیری در محصولات خود مانند Adobe Reader، Acrobat، AIR، Flash و Shockwave منتشر کرد.
Wireshark نیز سه به‌روزرسانی را برای حل ده آسیب‌پذیری منتشر کرد. Wireshark یکی از ابزارهای نادیده گرفته‌شده‌ی IT است که می‌تواند خطر قابل توجهی را برای محیط اطراف کاربر ایجاد کند.
باتوجه به اهمیت آسیب‌پذیری‌های ذکرشده، به‌روزرسانی این محصولات برای رفع نقایص موجود امری ضروری است و به کاربران توصیه می‌شود تا هرچه سریع‌تر وصله‌های منتشرشده را اعمال کنند.

‫ انتشار به‌روزرسانی امنیتی ماه آوریل سال 2019 شرکت ادوبی

شرکت ادوبی وصله‌ی به‌روزرسانی امنیتی بزرگی برای چندین نرم‌افزار ارائه‌شده‌ی خود منتشر ساخته است که تعدادی از اشکالات مهم و بحرانی را برطرف می‌سازد.
ادوبی در بولتین امنیتی ماه آوریل سال 2019 خود یک به‌روزرسانی برای تقویت امنیت Adobe Bridge CC، Adobe Experience Manager Forms، InDesign، Adobe XD، Adobe Dreamweaver، Adobe Shockwave Player، Adobe Flash Player و Adobe Acrobat and Reader لیست کرده است.
برخی از آسیب‌پذیری‌های برطرف‌شده می‌توانند منجر به مشکلات اجرای کد دلخواه، افشای اطلاعات حساس و اجرای کد راه‌دور در متن کاربر فعلی شوند.
در Adobe Bridge CC، یک خطای سرریز پشته با شناسه‌ی CVE-2019-7130 که می‌توانست منجر به اجرای کد راه دور شود به همراه یک نقص نوشتن خارج از محدوده (out-of-bounds-write) با شناسه‌ی CVE-2019-7132 که می‌تواند با همان هدف مورد سوءاستفاده قرار گیرد، وصله شده است. این به‌روزرسانی امنیتی، شش خطای افشای اطلاعات را نیز در این نرم‌افزار برطرف می‌سازد.
ادوبی آسیب‌پذیری اسکریپت‌نویسی متقابل (XSS) با شناسه‌ی CVE-2019-7129 را در Experience Manager Forms برطرف ساخته است که اگر توسط مهاجم مورد سوءاستفاده قرار گیرد ممکن است منجر به نشت اطلاعات حساس شود.
در InDesign آسیب‌پذیری با شناسه‌ی CVE-2019-7107 وصله شده است. این اشکال بحرانی ناشی از پردازش hyperlink ناامنی است که می‌تواند منجر به اجرای کد دلخواه در متن کاربر فعلی شود. دو آسیب‌پذیری CVE-2019-7105 و CVE-2019-7106 نیز در Adobe XD وصله شده‌اند که سوءاستفاده از آن‌ها می‌تواند منجر به اجرای کد دلخواه شود.
در مجموع هفت آسیب‌پذیری امنیتی جدی در آخرین وصله‌ی به‌روزرسانی امنیتی ادوبی برای Shockwave برطرف شده است. این اشکالات (CVE-2019-7098، CVE-2019-7099، CVE-2019-7100، CVE-2019-7101، CVE-2019-7102، CVE-2019-7103 و CVE-2019-7104) همگی مسائل مربوط به خرابی حافظه هستند که می‌توانند به‌منظور اجرای کد دلخواه مورد سوءاستفاده قرار گیرند.
یک جفت آسیب پذیری مهم و حیاتی با شناسه‌های CVE-2019-7108 و CVE-2019-7096 در Adobe Flash رفع شده است. این نقص‌های خواندن خارج از محدوده و استفاده پس از آزادسازی (use-after-free) می‌توانند منجر به نشت اطلاعات یا استفاده از کد دلخواه شوند.
Adobe Acrobat and Reader به‌روزرسانی قابل‌توجهی در وصله‌ی ماه آوریل ادوبی دریافت کرده است. در مجموع، 21 مسئله برطرف شده است که 10 مورد از آن‌ها می‌تواند منجر به افشای اطلاعات شود و 11 اشکال می‌تواند به منظور اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.
یک نقص امنیتی متوسط با شناسه‌ی CVE-2019-7097 نیز Adobe Dreamweaver را تحت‌تأثیر قرار داده است. اگر پروتکل‌های انسداد پیامک کارگزار (SMB) نهاد رله‌سازی حملات در این نرم‌افزار باشند، این نقص می‌تواند برای نشت اطلاعات حساس مورد سوءاستفاده قرار گیرد.
توصیه می‌شود کاربران به‌روزرسانی‌های خودکار را به منظور کاهش خطرات سوءاستفاده دریافت نمایند.

‫ ‫ بررسی برنامه‌های اندرویدی ((افزایش سرعت اینترنت))

متاسفانه برنامک‌های متعددی تحت عنوان "افزایش سرعت اینترنت" در فروشگاه‌های برنامک ‌های اندروید وجود دارند. این برنامک‌ها با ظاهرسازی و ادعاهای دروغین سعی در ترغیب کاربران به نصب برنامک را دارند اما هیچ‌کدام نمی‌توانند منجر به افزایش سرعت اینترنت شوند، چرا که چنین کاری در دنیای واقعی عملی نیست. این برنامک‌ها به محض شروع اعلام می‌کنند که سرعت اینترنت پایین است، سپس با نمایش اعلان‌هایی و بعد از چند ثانیه، ادعا می‌کنند که سرعت اینترنت افزایش یافته است. در این گزارش برنامک‌های پرنصب (29 برنامک با بیش از 127هزار کاربر) در این زمینه مورد بررسی قرار گرفته و نشان داده شده که این برنامک‌ها در پس‌زمینه هیچ کار مفیدی انجام نمی‌دهند و تنها با هدف نمایش تبلیغات و کنترل گوشی کاربر منتشر شده‌اند.

جهت مطالعه و دریافت متن کامل کلیک نمایید

‫ سوءاستفاده‌ی گسترده از آسیب‌پذیری‌های روز صفرم کروم و مایکروسافت

یک آسیب پذیری روز صفرم (CVE-2019-5786) در کروم کشف شده که شامل یک اشکال عدم مدیریت حافظه در بخشی از کروم با نام "FileReader" می باشد.

"FileReader" به توسعه‌دهندگان وب کمک می‌کند تا فهرست‌ها و محاوره‌های تازه را به نمایش بگذارند. مهاجم می‌تواند کنترل زیادی در مورد این اشکال خاص داشته باشد. این کار فقط به خواندن از فایل‌ها محدود نمی‌شود و می‌تواند منجر به اجرای کد از راه دور شود. بدین معنی که هرگونه نرم‌افزار مخربی می‌تواند بدون هیچ‌گونه هشدار یا پاپ‌آپ، بر روی سیستم قربانی نصب شود.
گوگل اعلام کرد که آسیب‌پذیری روز صفرمی که این شرکت در هفته‌ی گذشته وصله کرد، در واقع با یک آسیب‌پذیری روز صفرم دیگر که بر روی سیستم‌عامل مایکروسافت ویندوز 7 تأثیر می‌گذارد، مورد استفاده قرار می‌گیرد.
مهاجمان از این آسیب‌پذیری‌های روز صفرم کروم و ویندوز 7 برای اجرای کد مخرب و کنترل سیستم‌های آسیب‌پذیر استفاده می‌کنند.
این شرکت در روز پنج‌شنبه، هفتم مارس اعلام کرد که این حملات به‌شدت در وب مورد سوءاستفاده قرار گرفته‌اند و مایکروسافت در حال رفع این مشکل است.
آسیب‌پذیری روز صفرم موجود در ویندوز 7، یک آسیب‌پذیری افزایش دسترسی محلی در درایور هسته‌ی "win32k.sys" است که می‌تواند به عنوان یک فرار امنیتی از سندباکس مورد سوءاستفاده قرار گیرد.
این آسیب‌پذیری، یک ارجاع به اشاره‌گر NULL در "win32k!MNGetpItemFromIndex" است. زمانی که فراخوانی سیستمی "NtUserMNDragOver()" تحت شرایط خاصی فراخوانی می‌شود.
تا به امروز، فقط سوءاستفاده‌ی فعال از این اشکال تنها در سیستم‌های 32 بیتی ویندوز 7 مشاهده شده است.
این سوء‌استفاده به‌طور مستقیم کد کروم را هدف قرار داده است. مرکز ماهر از تمامی کاربران این مرورگر می‌خواهد بلافاصله آن‌را به آخرین نسخه (72.0.3626.121) به‌روز کنند.
کاربران باید پس از به‌روزرسانی، مرورگر خود را مجدداً راه‌اندازی کنند. برای اکثر کاربران، به‌روزرسانی به‌صورت خودکار انجام می‌شود، اما راه‌اندازی مجدد معمولاً یک اقدام دستی است.
تنها راه برای مقابله با نقص موجود در ویندوز 7 نیز، ارتقاء سیستم‌های خود به ویندوز 10 است. البته، به کاربران توصیه می‌شود وصله‌ها را به محض اینکه در دسترس قرار گرفتند، اعمال کنند.
گوگل هفته‌ی گذشته جزئیات یک آسیب‌پذیری روز صفرم در ویندوز را منتشر کرد که همراه با نقص " CVE-2019-5786" در کروم به‌طور جدی در حملات هدفمند مورد سوءاستفاده قرار گرفته است.
آسیب‌پذیری روز صفرم در ویندوز، یک مسئله‌ی تشدید امتیاز محلی در درایور هسته‌ی "win32k.sys" است و می‌تواند برای فرار از سندباکس امنیتی مورد سوءاستفاده قرار گیرد.
گوگل این موضوع را در مرورگر خود با راه‌اندازی یک نسخه‌ی پایدار (72.0.3626.121) برای سیستم‌عامل های ویندوز، مک و لینوکس رفع کرد.

‫ وصله‌ی دو نقص روز صفرم ویندوز در به‌روزرسانی امنیتی ماه مارس سال 2019 مایکروسافت

مایکروسافت در به‌روزرسانی ماه مارس سال 2019 خود، 64 آسیب‌پذیری وصله کرده است که 17 مورد از آن‌ها از نظر شدت «بحرانی»، 45 مورد «مهم»، یک مورد «متوسط» و یک مورد «پایین» رتبه‌بندی شده‌اند. وصله‌های ماه مارس مایکروسافت ویندوز، سرویس‌های آفیس و برنامه‌های تحت وب، Internet Explorer، Microsoft Edge، Exchange Server، Chakracore، .Net Framework، Team Foundation Services و NuGet را پوشش می‌دهد.
دو مورد از نقص‌هایی که در حملات مورد سوءاستفاده قرار گرفته‌اند، دو آسیب‌پذیری افزایش امتیاز روز صفرم هستند که هر دو «مهم» رتبه‌بندی شده‌اند و به مهاجم اجازه می‌‌دهند به سیستم دسترسی یافته، امتیازات خود را افزایش دهند و کنترل سیستم را در دست گیرند.
اولین آسیب‌پذیری روز صفرم، هفته‌ی گذشته توسط تیم تجزیه و تحلیل تهدیدات گوگل گزارش شد و دارای شناسه‌ی CVE-2019-0808 است و در حملات علیه کاربران 32 بیتی ویندوز 7 مورد سوءاستفاده قرار گرفته است. به گفته‌‌ی گوگل، مهاجمان از این آسیب‌پذیری روز صفرم به همراه یک آسیب‌پذیری روز صفرم کروم برای فرار از جعبه‌شنی مرورگر کروم و اجرای کد دلخواه در سیستم‌های هدف استفاده می‌کنند. نقش CVE-2019-0808 در زنجیره‌ی سوءاستفاده این است که به مهاجمان اجازه می‌دهد کد مخرب خود را با افزایش امتیاز مدیریتی اجرا کنند و آسیب‌پذیری روز صفرم کروم به مهاجمان کمک می‌کند از جعبه‌شنی امنیتی کروم فرار کنند. مایکروسافت در به‌روزرسانی ماه مارس خود، وصله را هم برای سیستم‌های ویندوز 7 و هم سیستم‌های Windows Server 2008 که تحت‌تأثیر این نقص قرارگرفته‌‌اند، منتشر ساخته است. ویندوز 10 تحت‌تأثیر این آسیب‌پذیری قرار نگرفته است. گوگل نیز نقص خود را با انتشار Chrome 72.0.3626.121 وصله کرده است.
آسیب‌پذیری روز صفرم دیگری که در ماه مارس وصله شده است نیز یک آسیب‌پذیری افزایش امتیاز ویندوز 32 بیتی با شناسه‌ی CVE-2019-0797 است و توسط کارشناسان آزمایشگاه کسپرسکی گزارش شده است.
برخلاف CVE-2019-0808، آسیب‌پذیری CVE-2019-0797، ویندوز 10، ویندوز 8.1، Windows Server 2012، Windows Server 2016 و Windows Server 2019 را تحت‌تأثیر قرار می‌دهد. این آسیب‌پذیری افزایش امتیاز زمانی در ویندوز وجود دارد که اجزای ویندوز 32 بیتی نتوانند اشیا را به درستی در حافظه مدیریت کنند.
به گفته‌ی کارشناسان کسپرسکی، نقص‌ CVE-2019-0797 توسط چندین عامل تهدید مختلف از جمله گروه‌های FruityArmor (گروه جاسوس سایبری که اولین بار در سال 2016 مشاهده شد و فعالان، محققان و اشخاص مربوط به سازمان‌های دولتی در تایلند، ایران، الجزایر، یمن، عربستان سعودی و سوئد را هدف قرار می‌دهد) و SandCat APT (توسط آزمایشکاه کسپرسکی در اواخر سال 2018 کشف شد) مورد سوءاستفاده قرار گرفته است. 
علاوه بر دو آسیب‌پذیری روز صفرم فوق، مایکروسافت دوباره سه آسیب‌پذیری بزرگ در سرویس‌گیرنده‌ی DHCP مایکروسافت که به مهاجمان راه دور اجازه‌ی غلبه بر ماشین‌های آسیب‌پذیر را می‌دهد (CVE-2019-0697، CVE-2019-0698، CVE-2019-0726)، برطرف ساخته است. سازندگان سیستم‌عامل چندی پیش تعداد زیادی از این نقص‌های امنیتی DHCP را وصله کردند.
مایکروسافت همچنین اشکال Windows Deployment Services (WDS) را که اولین بار سال گذشته برطرف ساخته بود، وصله کرد. این نقص متفاوت از نقص WDS مشابهی است که توسط Check Point گزارش شده است.
توصیه می‌شود کاربران به پورتال رسمی Security Update Guide مایکروسافت که هم شامل اطلاعات مربوط به نقص‌های وصله‌شده و هم گزینه‌های فیلترسازی تعاملی است، مراجعه کنند تا وصله‌ها و به‌روزرسانی‌ها را تنها برای محصولات مورد علاقه‌ی خود بیابند.

رمزگشای باج‌افزار GANDCRAB نسخه های 1 ، 4 و 5.1

رمزگشای  باج افزار GandCrabبرای نسخه های ۱ ، ۴ و ۵.۱ توسط کمپانی بیت دیفندر منتشر شد. در صورتی که فایل‌های شما توسط این باج‌افزار رمزگذاری شده اند، هم اکنون می توانید فایل های خود را رمزگشایی کنید

به منظور دانلود رمزگشا به همراه راهنمای آن به لینک زیر مراجعه بفرمایید.

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/

‫ وصله‌شدن یک آسیب‌پذیری روز صفرم در اینترنت اکسپلورر

مایکروسافت وصله‌ی ماه فوریه‌ی سال ۲۰۱۹ را منتشر کرد که شامل به‌روز‌رسانی‌های امنیتی برای 77 خطا، 20 آسیب‌پذیری بحرانی، 54 آسیب‌پذیری مهم و 3 آسیب‌پذیری با شدت متوسط است.
یکی از این به روزرسانی‌ها، مربوط به یک آسیب‌پذیری روز صفرم در اینترنت اکسپلورر است که توسط گوگل کشف شده و در حملات مورد سوءاستفاده قرار گرفته است.
این نقص که با شناسه‌ی "CVE-2019-0676" شناسایی می‌شود، نقص افشای اطلاعات است که مسیر راه‌اندازی اینترنت اکسپلورر را در حافظه‌ها بررسی می‌کند.
مهاجم می‌تواند این نقص را با فریب‌دادن قربانیان به بازدید از یک وب‌سایت مخرب و با استفاده از نسخه‌ی آسیب‌پذیر اینترنت اکسپلورر، مورد سوء‌استفاده قرار دهد. پس از آن، مهاجم می‌تواند وجود فایل در دیسک سخت قربانی را بررسی‌کند.
به‌گفته‌ی مایکروسافت، به‌روزرسانی امنیتی، این آسیب‌پذیری را با تغییر چگونگی کنترل اشیاء در اینترنت اکسپلورر، رفع می‌کند.
مایکروسافت اخیراً به کاربران خود توصیه کرده است که از اینترنت اکسپلورر استفاده نکنند. این مرورگر اینترنتی دیگر از قابلیت‌های امنیتی بالایی برخوردار نیست و نمی‌تواند از نفوذ هکرها و مجرمان سایبری و همچنین حملات فیشینگ و بدافزاری به رایانه‌ها و دستگاه‌های الکترونیکی محافظت کند. به عبارتی دیگر، اینترنت اکسپلورر از امنیت سایبری قابل قبولی برخوردار نیست و کاربران به منظور حفاظت از اطلاعات و حریم شخصی خود دیگر نباید از آن استفاده کنند.
این شرکت به کاربران ویندوز توصیه کرده است که این مرورگر را از حالت پیش‌فرض خارج کرده و در صورت امکان آن را لغو نصب کنند و به مرورگر جدید این شرکت یعنی مایکروسافت Edge مهاجرت نمایند.

‫ آسیب پذیری روترهای میکروتیک با شناسه CVE-2019-3924

آسیب‌پذیری حیاتی جدید در روترهایمیکروتیک و مشخصات سیستم عامل RouterOS پیدا شده است که به حمله کننده این اجازه را می‌دهد که با ارسال بسته های شبکه، یک ضعف افزایش سطح دسترسی را مورد حمله قرار دهد (CWE-269). با استفاده از این آسیب‌پذیری مهاجم می‌تواند به نوعی فایروال را دور بزند. شماره این آسیب‌پذیری CVE-2019-3924 بوده و حمله از طریق شبکه و به‌صورت راه دور قابل اجراست. با توجه به اینکه این حمله به سطح دسترسی خاصی نیاز نداشته و فقط با چند بسته تحت شبکه قابل بهره‌گیری است، ضروری است جهت رفع آسیب پذیری مورد نظر سیستم‌عامل روتر خود را به 6.42.12 (در نسخه long-term) یا 6.43.12 (در نسخه stable) ارتقا دهید.

جزییات فنی:
CVE-2019-3924
CWE-269
cpe:/a:mikrotik:routeros
CVSSvs Score: 7.3
Attack Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X

وضعیت زرد - هشدار حملات بی‌سابقه سایبری به شبکه‌های کشور از طریق ریموت دسکتاپ (آمادگی برای مقابله)

به گزارش تیم رصد پادویش، در روزهای گذشته شبکه‌های شرکت‌ها و سازمان‌های سراسر کشور، شاهد حجم بسیار بالا و بی‌سابقه‌ای از حملات باج‌افزاری و تحرکات هک و نفوذ بوده‌اند. اغلب این حملات از طریق سرویس ریموت و بعضا حتی VPNها و ابزارهای ریموت انجام گرفته‌اند.
از این جهت پادویش با اعلام هشدار جدی وضعیت زرد امنیتی، توجه عموم کاربران بخصوص مدیران محترم شبکه‌ها و مسئولین فاوا را به نکات ایمنی و امنیتی زیر معطوف می‌دارد. امید است با جدیت در پیگیری و توجه به رعایت مسائل امنیتی، آمادگی بیشتری برای مقابله با این حملات در شبکه‌ها به وجود آمده و از این حملات در امان بمانند.

در ادامه نکات مهم برای یادآوری بیان شده است:

۱. تهیه پشتیبان به‌روز از اطلاعات حیاتی

وجود یک پشتیبان به روز، که به صورت آفلاین نگهداری شود شرط اول موفقیت در بازگرداندن سیستم‌ها به وضعیت عادی پس از حمله است. بنابراین توصیه می‌شود که یکبار دیگر کل سیستم‌های حیاتی خود را مرور کرده و از اطلاعات آن‌ها پشتیبانگیری کرده و پشتیبان‌ها را به صورت آفلاین نگهداری نمایید. دقت کنید که حتماً علاوه بر گرفتن پشتیبان، امکان بازیابی پشتیبان‌ها را تست نمایید تا بعداً به مشکل برنخورید.

علاوه بر سیستم‌های اطلاعاتی و عملیاتی، گرفتن پشتیبان از تجهیزات شبکه شامل روترها، سوییچ‌ها، فایروال، و سایر سیستم‌های مهم مانند اکتیودایرکتوری نیز فراموش نشود.

۲. غیرفعال کردن فوری و سریع راه‌های ارتباطی ریموت و کاهش درجه خطر تا حد ممکن

تقریبا در تمامی حملات اخیر نفوذگران از سرویس ریموت دسکتاپ (Remote Desktop) ویندوز جهت نفوذ اولیه خود به سیستم استفاده کرده‌اند. همچنین نفوذ از طریق VPN یا ابزارهای ریموت کلاینتی (مانند AnyDesk و ابزارهای مشابه) نیز محتمل است. بنابراین بهتر است به طور موقت این راه‌ها را غیرفعال کنید یا حداقل آن‌ها را با پسوردها و پالیسی‌های سختگیرانه‌تر (مانند محدودیت آی‌پی) محدود نمایید.

همچنین ابزارهای ریموت کلاینتی مانند AnyDesk و نمونه‌های مشابه را که ممکن است روی یک سرور یا کلاینت باز مانده باشند را نیز در نظر داشته باشید.

۳.  بررسی سیاست‌های شبکه و محدودسازی تا حد امکان

در وضعیت زرد لازم است که یکبار دیگر سیاست‌های امنیت شبکه را مرور نمایید و از اینکه این سیاست‌ها از اصل حداقل دسترسی پیروی می‌کنند اطمینان حاصل کنید. پورت‌های باز اضافی و غیرضروری را ببندید. تا حد امکان سرویس‌های غیرضروری را نیز غیرفعال نمایید.
 در مقابله با باج‌افزار، فراموش نکنید که فولدرهای اشتراکی را ببندید یا دسترسی کاربران را به حالت فقط خواندنی محدود نمایید.

۴. فعال کردن سیستم‌های لاگبرداری و Auditing

اگر خدای نکرده حمله‌ای رخ دهد، برای بررسی منشاء حمله (جهت کشف نقاط نفوذ و جلوگیری از وقوع مجدد) و میزان تخریب و پیشروی حمله (جهت بازگرداندن سرویس‌ها و حذف درب‌های پشتی) به انواع لاگ‌های Audit نیاز خواهید داشت.

بنابراین از فعال بودن لاگ‌های Audit در تجهیزات شبکه و نیز سیستم‌عامل‌های خود اطمینان حاصل کنید. در ویندوز لازم است لاگ‌های Security و System فعال باشند. توصیه می‌کنیم لاگ Audit Process Creation را نیز روی Group Policy فعال نمایید. همچنین میزان فضای هارد دیسک را برای ذخیره این لاگ‌ها در نظر بگیرید.

۵​. به‌روز کردن سیستم‌عامل و نرم‌افزارها

کمترین کاری که برای امن کردن سیستم انجام می‌شود بروزرسانی سیستم‌عامل، بروزرسانی نرم‌افزارهای سرویس‌دهنده (وب، ایمیل، اشتراک فایل ...) و نرم‌افزارهای امنیتی مانند ضدویروس و … است. در وضعیت زرد لازم است دقت و وسواس بیشتری در این مورد داشته باشید تا از آسیب‌پذیری‌های شناخته‌شده عمومی در امان بمانید و سطح آسیب‌پذیری را کاهش دهید.

۶. اطمینان از عملکرد سیستم‌های امنیتی، مانیتورینگ و هشداردهی آنها

آخرین توصیه: لاگ‌های سیستم‌های خود را مرور کنید و گوش به زنگ رویدادهای نامتعارف (ریموت‌های خارج ساعت کاری یا از کشورهای خارجی و ...) باشید.

طبعا لازم است مجددا از عملکرد سنسورهای امنیتی مانند IDS, WAF و ضدویروس‌ها و نیز نرم‌افزارهای مانیتورینگ اطمینان حاصل کنید تا به محض رخداد اتفاق امنیتی از آن مطلع شوید. بد نیست سیستم هشدار این نرم‌افزارها را نیز تست کنید تا از عملکرد صحیح آن‌ها مطمئن شوید.

در پایان، لازم به تأکید است که این هشدار وضعیت زرد در پاسخ به حملات گسترده و رویدادهای واقعی اخیر اعلام شده که در کمین همه شبکه‌های کشور است. آمادگی برای این نوع حملات قطعاً در پیشگیری یا کاهش ریسک آنها موثر خواهد بود.