شیوع گسترده باج‌افزار STOP/DJVU در کشور

گزارشات بدست آمده از رخدادهای حملات باج‌افزاری اخیر، خبر از شیوع گسترده باج‌افزار STOP/Djvu در سطح کشور می‌دهد. باج‌افزار STOP برای اولین بار در اواخر سال ۲۰۱۷ میلادی مشاهده گردید. Djvu نسخه جدیدتر آن می‌باشد که از نظر عملکرد شبیه والد خود (STOP) می‌باشد و امروزه آن‌ها را با نام STOP/Djvu می‌شناسند. این باج‌افزار برای رمزگذاری فایل‌ها از الگوریتم AES-256 استفاده می‌کند و مبلغی بین ۲۰۰ تا ۶۰۰ دلار (به بیت‌کوین) را به عنوان باج از قربانی درخواست می‌کند.

باج‌افزار STOP/Djvu به محض اجرا در سیستم قربانی با سرور کنترل و فرمان (C&C) خود ارتباط می‌گیرد و فایل‌ها را با کلید آنلاین رمزگذاری می‌کند. در صورتی که به هر دلیل موفق به برقراری ارتباط با سرور خود نگردد از روش آفلاین برای رمزگذاری فایل‌ها استفاده می‌کند. این باج‌افزار از روش‌های متنوعی برای نفوذ و انتشار خود به سیستم قربانی استفاده می‌کند. پیوست هرزنامه‌ها، کرک‌های آلوده ویندوز و محصولات آفیس، درایورها و آپدیت‌های جعلی و همچنین سوء استفاده از پروتکل RDP از روش‌های انتشار این باج‌افزار می‌باشد.

تاکنون تعداد محدودی از نسخه‌های آفلاین باج‌افزار STOP/Djvu تحت شرایط خاص قابل رمزگشایی بودند. اما اخیراً با توجه به اینکه توسعه‌دهندگان این باج‌افزار در نسخه‌های جدیدتر، شیوه خود را تغییر داده و از الگوریتم رمزنگاری نامتقارن استفاده کرده‌اند، از این پس، فایل‌های رمزگذاری شده توسط باج‌افزار STOP/Djvu بدون کلید خصوصی توسعه‌دهنده باج‌افزار قابل رمزگشایی نخواهند بود.

آسیب پذیری Sim jacking نسل بعدی جاسوسی از موبایل ها

امروز شما را با یک آسیب پذیری جدید با نام Sim Jacking آشنا می کنیم. در دو سال گذشته این آسیب پذیری توسط گروهی حرفه ای در بسیاری از کشور ها به منظور نظارت مورد استفاده قرار گرفته است. آنالیزها نشان می دهد این حمله نسبت به حملات قبل از این بسیار پیشرفته تر است و در نوع خود منحصر به فرد است، و مشخصاً نشان از افزایش قابل توجه مهارت ها و توانایی مهاجمینی دارد که می خواهند از آن سوء استفاده کنند.

Sim Jacking چگونه کار می کند؟

به شکل ساده می توان گفت یک کد مخرب به صورت SMS برای قربانی ارسال می گردد و بعد از آن کنترل سیم کارت را در اختیار می گیرد و اطلاعات حساس را خارج می کند.

حمله با یک SMS آغاز می شود که شامل دستورات UICC/eUICC مربوط به سیم کارت است. برای این که این دستورات کار کند یک نرم افزار خاص باید روی سیم کارت وجود داشته باشد. نام این نرم افزار S@T Browser یا SIMalliance Toolbox Browser می باشد. وقتی اولین SMS ارسال می گردد با اجرای کد درون S@T Browser در ابتدا IMEI و موقعیت موبایل را از سیم کارت درخواست می کند و برای مهاجم ارسال می نماید. در زمان حمله مشترک هیچگونه آگاهی از ارسال و دریافت SMS ها ندارد و کلا هیچ پیامی در Inbox و OutBox خود مشاهده نمی کند.

اما چه چیز این حمله را خاص می کند:

این حمله بر اساس آسیب پذیری که در S@T Browser وجود دارد این امکان را به مهاجم می دهد تا با یک سری دستورات خاص UICC کنترل سیم کارت قربانی را بدست بگیرد. این نرم افزار خیلی شناخته شده نیست به دلیل اینکه خیلی قدیمی است و در ابتدا به این منظور در سیم کارت ها قرار گرفت تا میزان اعتبار یک حساب را از طریق سیم کارت در خود نگهدارد و اکثر کاربردهای این نرم افزار با تکنولوژی های جدید جایگزین و آخرین بار در سال 2009 به روز رسانی شده است. با اینکه تکنولوژی های جدید در سیم کارت ها مورد استفاده قرار گرفته ولی این نرم افزار در پس زمینه باقی مانده و تا آنجا که حداقل در 30 کشور پروتکل S@T هنوز مورد استفاده قرار می گیرد، پس شعاع آسیب پذیری افزایش می یابد.

این بدافزار به کلیه دستورات STK Command دسترسی دارد:

• PLAY TONE
• SEND SHORT MESSAGE
• SET UP CALL
• SEND USSD
• SEND SS
• PROVIDE LOCAL INFORMATION
• Location Information, IMEI, Battery, Network, Language, etc
• POWER OFF CARD
• RUN AT COMMAND
• SEND DTMF COMMAND
• LAUNCH BROWSER
• OPEN CHANNEL
• CS BEARER, DATA SERVICE BEARER, LOCAL BEARER, UICC SERVER MODE, etc
• SEND DATA
• GET SERVICE INFORMATION
• SUBMIT MULTIMEDIA MESSAGE
• GEOGRAPHICAL LOCATION REQUEST

با این دستورات امکان دستکاری پیام ها، فریب، جاسوسی، پخش بدافزار، از کار انداختن سیم کارت و غیره وجود دارد. از مزایای این نوع حمله مستقل بودن حمله از نوع موبایل است و تمامی گوشی های موبایل مثل Apple, Samsung, Zte, Motoroala ,… حتی IOT ها در مقابل این حمله آسیب پذیر هستند.

پیش گیری از Sim Jacking

به شکل ساده می توان گفت یک کد مخرب به صورت SMS برای قربانی ارسال می گردد و بعد از آن کنترل سیم کارت را در اختیار می گیرد و اطلاعات حساس را خارج می کند.

در کل پیشنهاد می گردد اپراتورهای موبایل علاوه بر جلوگیری از SMS های غیر معمول، به صورت Remote تنظیمات مربوط به UICC را در سیم کارت ها تغییر دهند و نرم افزار S@T Browser را غیر فعال نمایند.

چگونه امنیت اندروید خود را تامین کنیم؟!

1. Lock Security

“قفل سیم کارت” را که در آدرس Settings-> Personal-> Security-> Setup a SIM Card Lock قرار دارد فعال کنید. با کمک این قابلیت می توانید پین را بر روی سیم کارت خود اعمال کنید تا هر وقت سیم کارت شما وارد تلفن می شود، برای استفاده از آن باید رمز عبور (PIN) وارد شود. با وارد کردن هر پین ، امکان برقراری تماس تلفنی وجود ندارد و با ادامه این کار برای چندین بار سیم کارت بلاک میشود و نیاز به کد PUK دارد. همچنین شما می توانید “SCREEN LOCK” را هم در گوشی موبایل خود فعال کنید. تنظیمات فعال سازی آن مطابق با آدرس بالا می باشد. که با فعال کردن آن می توانید به راحتی یک رمز عبور چند رقمی، قفل الگوی صفحه، رمز عادی یا حتی در گوشی های جدید اثر انگشت و تصویر چهره خود را تنظیم کنید. همچنین می توانید یک تایمر امنیتی قفل نیز تنظیم کنید که در آن تلفن شما پس از مدت معینی به طور خودکار قفل می شود.

2. به روزرسانی های نرم افزاری

برای امنیت بیشتر، نرم افزار دستگاه اندروید شما باید به آخرین نسخه به روز شود. به طور عمده دو نوع بروزرسانی وجود دارد که هر تلفن به آن نیاز دارد:

1. به روزرسانی دستگاه (Settings -> About Phone -> Updates -> Check For Updates)
2. به روزرسانی های برنامه ها (می توانید تمام برنامه های خود را از طریق PLAY STORE یا نسخه ایرانی آن Bazaar به روز کنید)

3. مخفی کردن شناسه تماس گیرنده

اگر می خواهید شناسه تماس گیرنده خود را مخفی کنید، می توانید با مراجعه به Settings -> Additional Settings -> Caller ID -> HIDE Number شناسه تماس گیرنده را به راحتی مخفی کنید.

4. تنظیمات شبکه

اگر از WiFi یا بلوتوث استفاده نمی کنید، باید این دو گزینه خاموش شوند زیرا با روش بودن آنها امکان اتصال به شبکه های ناشناس به صورت خودکار وجود دارد که باعث شنود گوشی شما می شود.

5- تنظیمات موقعیت مکانی

در صورت عدم استفاده از موقعیت مکانی بی سیم و GPS، باید آن ها را خاموش کنید، بسیار مهم است که این سرویس ها به صورت پس زمینه اجرا نشوند زیرا خطر ردیابی موقعیت مکانی را کاهش می دهد و در واقع باعث صرفه جویی در مصرف باتری تلفن شما نیز می شود.

6. رمزگذاری دستگاه

اگر از Android نسخه 4.0 یا جدید استفاده می کنید، باید تنظیمات “رمزگذاری دستگاه” شما روشن شود. این کار را می توان از طریق Settings -> Personal> Security -> Encryption انجام داد.

نکته: قبل از استفاده از این امنیت، اطمینان حاصل کنید که تلفن شما به طور کامل شارژ شده و به منبع تغذیه وصل شده است.

علاوه بر این ، بسیاری از برنامه ها وجود دارد که می توانید برای امنیت بهتر آن را بارگیری و نصب کنید:

1. APG – که پرونده ها و ایمیل های شما را رمزگذاری و رمزگشایی می کند.
2. Chatsecure – برنامه IM که از مکانیزم رمزگذاری OTR استفاده می کند.
3. k-9 Mail و APG – یک سرویس دهنده پست الکترونیکی است که با APG برای ارسال و دریافت ایمیل های رمزگذاری شده ادغام می شود.
4. KeePassDroid – ابزار مدیریت رمز عبور ایمن و آسان
5. TextSecure – از طریق آن می توانید پیام های متنی رمزگذاری شده را از طریق WIFI و اینترنت موبایل ارسال یا دریافت کنید.

دیپلمات‌ها و نظامیان بازنشسته قربانیان جدید حملات سایبری

گروه هکری کیم‌سو‌کی (Kimsuki) دیپلمات‌ها و نظامیان بازنشسته را موردتهاجم سایبری قرار می‌دهد.

• 

به گزارش کارگروه حملات سایبری سایبربان؛ گروه معروف هکرهای کره شمالی به نام کیم‌سوکی (Kimsuki) که توسط دولت کره شمالی حمایت می‌شود عملیاتی را آغاز کرده است که طی آن دیپلمات‌ها و نظامیان بازنشسته کره جنوبی را موردتهاجم قرار می‌دهد. سایمون چویی (Simon Choi)، کارشناس حوزه امنیت در این خصوص می‌گوید این حملات از اواسط ماه ژوئیه تا اواسط اوت سال جاری انجام‌شده و روی حساب کاربری نظامیان و دیپلمات‌های بازنشسته در جیمل (Gmail) و ناور (Naver) متمرکز بوده است. 

طی این حملات پیام‌های مخربی ارسال می‌شود که قربانیان را به صفحات جعلی احراز هویت هدایت می‌کند. مهاجمان پس از سرقت داده‌های کاربری به اکانت قربانیان دسترسی پیداکرده و اقدام به جمع‌آوری اطلاعات و یا تدارک حمله به دولت کنونی می‌کنند. به گفته وی قربانیان افرادی هستند که همچنان با مقامات و دولت فعلی کره جنوبی ارتباط داشته و اغلب به‌عنوان مشاور فعالیت می‌کنند.

گروه کیم‌سوکی از سال 2011 فعالیت‌های مخرب خود را آغاز کرده است. هدف عمده این گروه دولت کره جنوبی، نیروگاه‌های هسته‌ای و تأسیسات نظامی است. طی دو سال اخیر نیز جامعه هدف خود را گسترش داده است. به‌عنوان نمونه، در سال گذشته دانشگاه‌های ایالات‌متحده و سازمان‌های غیرانتفاعی آسیا را با استفاده از افزونه‌های مخرب گوگل کروم (Google Chrome) آماج حملات خود قرار داده است.  

کشف بدافزار جدید از سوی کسپرسکی

کسپرسکی: اپلیکیشن CamScanner به بدافزار آلوده است، آن را پاک کنید.

اگر از اپلیکیشنی به نام CamScanner برای اسکن اسناد خود استفاده می کنید بهتر است بلافاصله آن را از گوشی خود پاک کنید. پژوهشی که اخیرا توسط کارشناسان کسپرسکی انجام شده نشان می دهد این اپ که حدودا یک دهه از فعالیتش می گذرد و بالغ بر یکصد میلیون کاربر در اکوسیستم اندروید دارد حالا به بدافزاری خطرناک آلوده شده است.

در این گزارش کارشناسان کسپرسکی از کشف نوعی کد مخرب درون نسخه های مختلف CamScanner خبر داده اند که در بازه خرداد تا مرداد منتشر شده اند. گفته می شود در این بازه توسعه دهندگان این اپ یک ماژول تبلیغاتی تازه را به آن اضافه کرده اند که به بدافزار آلوده بوده است.

بدافزار مورد اشاره در این گزارش بعد از فعال شدن اقدام به اجرا و دانلود فایل های مخرب اضافی روی گوشی می کند. نسخه ای از این بدافزار هم که به اپ CamScanner اضافه شده طوری برنامه ریزی شده که به صورت کاملا خودکار تبلیغات آزاردهنده ای را در تمام محیط گوشی اجرا کند. در چندین مورد مشاهده شده که این بدافزار کاربران را بدون دریافت رضایت، در سرویس های اشتراکی پولی ثبت نام کرده است.

از زمانی که این اطلاعات در وبسایت کسپرسکی منتشر شد گوگل CamScanner را از پلی استور حذف نمود. توسعه دهندگان این اپ نیز در بیانیه ای تایید کردند افزودن یک کیت توسعه نرم افزاری تبلیغاتی تازه به نام AdHub به برنامه مورد بحث، باعث بروز این مشکلات شده:

بعد از چندین بررسی امنیتی ما هیچ شواهدی که نشان دهد ماژول تبلیغاتی میتواند باعث درز اطلاعات کاربران شود پیدا نکردیم.

این شرکت در اکانت توییتری خود از انتشار نسخه جدید CamScanner خبر داد و خاطرنشان کرد که خطری کاربران iOS را تهدید نمی کند.

با این حال دست کم تا زمانی که گوگل چراغ سبز خود را برای نسخه جدید این اپلیکیشن نشان دهد و مجددا آن را به پلی استور باز گرداند بهتر است که CamScanner را از موبایل های خود پاک کنید. جالب است بدانید این نخستین باری نیست که CamScanner با چنین بحرانی روبرو شده است. اوایل امسال نیز یکی از آپدیتهای ارائه شده برای آن باعث پخش تیزرهای تبلیغاتی تمام صفحه با صدای بلند روی گوشی کاربران شد.

در واقع از زمانی که یک شرکت چینی به نام Instig این اپ را خریداری کرد شاهد قرار گرفتن نام آن در سر خطر خبرهای مهم روز بوده ایم. عجیب آنکه کد مخرب کشف شده در نسخه های اخیر این اپ ظاهرا از قبل در گوشی های چینی نصب شده است.

اگر به دنبال جایگزینی مناسب برای این اپ هستید شاید بهتر باشد نگاهی به آفیس لنز مایکروسافت بیاندازید که کلیه امکانات مورد انتظار از یک اپ اسکنر را در خود ارد و به خاطر برخورداری از یک الگوریتم هوشمند به صورت خودکار اسکن های دریافتی را اسکن می کند.

اپراتورهای موبایلی، هدف تازه ی تریک بات

بدافزار تریک بات بروزرسانی شده و اپراتورهای تلفن همراه و پین کد سیم‌کارت را هدف گرفته است.

• 
  

به گزارش کارگروه حملات سایبری سایبربان؛ توسعه‌دهندگان بدافزار «تریک بات» (TrickBot)، به تازگی آن را بروزرسانی کرده‌اند. این تروجان بانکی در کمپین جدید اپراتورهای موبایلی بزرگ را هدف قرار داده است.

تریک بات به صورت مخفیانه ترافیک شبکه قربانیان را ره‌گیری و داده‌های آن را به سرورهای مخرب منتقل می‌کند. سپس پیش از این که مرورگر وب قادر به بارگذاری صفحه باشد، سرور مذکور به آن کدهای HTML و جاوا اسکریپت آلوده تزریق می‌کند. این حملات در رده «مردمیانی در مرورگر» (man-in-the-browser) قرار می‌گیرند و به گونه‌ای محتوا و زبان را دست‌کاری می‌کنند که کاربر فریب بخورد.

بر اساس گزارش شرکت سکیورورک (Secureworks)، تریک بات از اوایل ماه آگوست شرکت‌های ورایزن، تی موبایل و اسپرینت را هدف گرفته است. زمانی که کاربران آلوده به هر یک از وبگاه‌های این شرکت‌ها مراجعه می‌کنند، سرور فرماندهی و کنترل تریک بات، یک فرم دروغین به نمایش می‌گذارد. در این بخش از قربانیان خواسته می‌شود پین کد ابزار و حداقل نام کاربری و رمز عبور خود را وارد کنند.

محققان فکر می‌کنند با توجه به درخواست پین کد، گروه هکری که از آن‌ها با عنوان «Gold Blackburn» یاد می‌شود به کلاه‌برداری از طریق تعویض پورت سیم‌کارت علاقه دارند. کارشناسان توصیه کرده‌اند، دارندگان ابزارهای هوشمند بهتر است از راه‌کارهای تعیین هویت دومرحله‌ای بهره بگیرند.

‫ رفع 26 آسیب‌پذیری امنیتی در به‌روزرسانی امنیتی ماه اوت سال 2019 اندروید

گوگل با انتشار وصله امنیتی اندرویدی ماه اوت 2019، انواع آسیب پذیری هایی که به تازگی کشف شده‌اند را برطرف ساخته است. این وصله امنیتی برای تمامی سیستم‌‌عامل‌های تلفن همراه که اندروید 9 “Pie” را اجرا می‌کنند، در دسترس است. 
وصله امنیتی ماه اوت سال 2019 اندروید، شامل دو سطح وصله‌ی امنیتی 2019-08-01 و 2019-08-05 است که 26 آسیب‌پذیری موجود در Android runtime، Media framework، Framework و اجزای سیستمی اندروید و همچنین ترکیبات Broadcom و Qualcomm را برطرف می‌سازد. شدیدترین آسیب‌پذیری از میان آسیب‌پذیری‌های رفع‌شده، یک آسیب‌پذیری امنیتی بحرانی در اجزای سیستمی است که به مهاجم راه‌دور اجازه می‌دهد با استفاده از یک فایل ساختگی خاص PAC، کد دلخواه را در متن یک فرایند ممتاز اجرا سازد. ارزیابی شدت این آسیب‌پذیری بر اساس تأثیری است که سوءاستفاده از آن ممکن است بر روی دستگاه آسیب‌پذیر داشته باشد. تاکنون گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری منتشر نشده است.
آسیب‌پذیری موجود در Android runtime با شناسه‌ی CVE-2019-2120 ردیابی می‌شود و از نظر شدت «بالا» رتبه‌بندی شده است. سوءاستفاده از این آسیب‌پذیری، به یک مهاجم داخلی اجازه می‌دهد الزامات تعامل کاربر را جهت دسترسی به مجوزهای بیشتر دور بزند.
در FrameWork، سه آسیب‌پذیری با شناسه‌‌های CVE-2019-2121 با شدت «بالا»، CVE-2019-2122 با شدت «بالا» و CVE-2019-2125 با شدت «متوسط» وجود دارد که در وصله‌ی امنیتی ماه اوت برطرف شده‌اند. شدیدترین آسیب‌پذیری در این بخش، برنامه کاربردی مخرب داخلی را قادر می‌سازد بااستفاده از یک فایل ساختگی خاص کد دلخواه را در متن یک فرایند ممتاز اجرا سازد.
آسیب‌پذیری‌های موجود در Media framework که در وصله امنیتی ماه اوت در سطح وصله امنیتی 2019-08-01 برطرف شده‌اند عبارتند از CVE-2019-2126 با شدت «بالا»، CVE-2019-2127 با شدت «بالا»، CVE-2019-2128 با شدت «بالا» و CVE-2019-2129 با شدت «بالا». شدیدترین آسیب پذیری در این بخش، مهاجم راه دور را قادر می‌سازد کد دلخواه را بااستفاده از یک فایل ساختگی خاص در متن یک فرایند غیرممتاز اجرا سازد.
آسیب‌پذیری‌های موجود در بخش اجزای سیستمی اندروید عبارتند از CVE-2019-2130 با شدت «بحرانی»، CVE-2019-2131 با شدت «بالا»، CVE-2019-2132 با شدت «بالا»، CVE-2019-2133 با شدت «بالا»، CVE-2019-2134 با شدت «بالا»، CVE-2019-2135 با شدت «بالا»، CVE-2019-2136 با شدت «بالا» و CVE-2019-2137 با شدت «بالا». شدیدترین آسیب‌پذیری‌ در این بخش، مهاجم راه دور را قادر می سازد کد دلخواه را بااستفاده از یک فایل ساختگی خاص PAC در متن یک فرایند ممتاز، اجرا نماید. این آسیب‌پذیری، شدیدترین آسیب‌پذیری از میان آسیب‌پذیری‌های رفع‌شده در این وصله امنیتی است.
آسیب‌پذیری موجود در اجزای Broadcom، یک آسیب‌پذیری بحرانی با شناسه‌ی CVE-2019-11516 در بخش بلوتوث دستگاه است که مهاجم راه‌دور را قادر می‌سازد بااستفاده از یک انتقال ساختگی خاص، کد دلخواه را در متن یک فرایند ممتاز اجرا نماید.
آسیب‌پذیری‌های موجود در اجزای Qualcomm عبارتند از:
• CVE-2019-10492 با شدت «بحرانی» در بخش HLOS،
• CVE-2019-10509 با شدت «بالا» در بخش BTHOST،
• CVE-2019-10510 با شدت «بالا» در بخش BTHOST،
• CVE-2019-10499 با شدت «بالا» در بخش MProc،
• CVE-2019-10538 با شدت «بالا» در بخش WLAN.
آسیب‌پذیری‌های موجود در اجزای متن‌بسته‌ی (closed-source) Qualcomm که در وصله امنیتی ماه اوت سال 2019 اندورید برطرف شده‌اند عبارتند از CVE-2019-10539 با شدت «بحرانی»، CVE-2019-10540 با شدت «بحرانی»، CVE-2019-10489 با شدت «بالا» و CVE-2019-2294 با شدت «بالا».
وصله امنیتی ماه اوت سال 2019 اندورید، همچنین رفع نقص امنیتی و بهبودهایی برای تمامی دستگاه‌های Pixel تحت پشتیبانی، به همراه آورده است. سه آسیب‌‌پذیری‌ CVE-2019-10538، CVE-2019-10539 و CVE-2019-10540 که مربوط به اجزای Qualcomm و اجزای متن‌بسته‌ی Qualcomm هستند، در دستگاه Pixel وجود دارند.
یکی از بهبودهای ارائه‌شده، مربوط به حالت sleep گوشی‌های هوشمند Pixel 3a و Pixel 3a XL است. تنظیمات شبکه‌ی وای‌فای برای دستگاه‌های Pixel، Pixel XL، Pixel 2، Pixel 2 XL، Pixel 3 XL، Pixel 3a XL و همچنین ثبات CaptivePortalLogin وای‌فای نیز در این وصله امنیتی بهبود یافته‌اند.
وصله امنیتی ماه اوت سال 2019، برای تمامی دستگاه‌های Pixel پشتیبانی شده منتشر شده است و به زودی برای دیگر گوشی‌های هوشمند اندرویدی سایر تولیدکنندگان نیز منتشر می‌شود. لازم است تمامی کاربران در اولین فرصت دستگاه‌های خود را به‌روزرسانی کنند.

‫ انتشار به‌روزرسانی امنیتی VMWARE برای چندین محصول خود

VMwareیک توصیه‌نامه‌ی امنیتی جهت رفع آسیب‌پذیری‌هایی که محصولات مختلف آن را تحت‌تأثیر قرار می‌دهد، منتشر ساخته است. مهاجم می‌تواند با سوءاستفاده از این آسیب‌پذیری‌ها کنترل سیستم متأثر را در دست گیرد.

محصولاتی که تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند عبارتند از:

• VMware vSphere ESXi (ESXi)
• VMware Workstation Pro/Player (Workstation)
• VMware Fusion Pro/ Fusion (Fusion)

VMware ESXi، Workstationو Fusionدارای آسیب‌پذیری‌های خواندن خارج از محدوده با شناسه‌ی CVE-2019-5521و نوشتن خارج از محدوده با شناسه‌ی CVE-2019-5684در عملکرد pixel shaderهستند. هر دوی این آسیب‌پذیری‌ها از نظر شدت «مهم» رتبه‌بندی شده‌اند. آسیب پذیری CVE-2019-5521دارای امتیاز CVSSv3 6.3-7.7و آسیب‌پذیری CVE-2019-5684دارای امتیاز CVSSv3 8.5است.

جهت سوءاستفاده از این آسیب‌پذیری‌ها، لازم است مهاجم به یک ماشین مجازی که گرافیک سه‌بعدی آن فعال است دسترسی داشته باشد. گرافیک سه‌بعدی در ESXiبه طور پیش‌فرض فعال نیست؛ ولی در Workstationو Fusionبه طور پیش‌فرض فعال است.

سوءاستفاده‌ی موفق از آسیب‌پذیری خواندن خارج از محدوده (CVE-2019-5521)ممکن است منجر به افشای اطلاعات شود یا به مهاجمان دارای امتیاز دسترسی معمولی اجازه دهد یک حالت انکار سرویس در میزبان ایجاد نمایند.

آسیب‌پذیری نوشتن خارج از محدوده (CVE-2019-5684)تنها در صورتی می‌تواند مورد سوءاستفاده قرار گیرد که میزبان دارای درایو گرافیکNVIDIAکه تحت‌تأثیر آسیب‌پذیری قرار گرفته است، باشد. سوءاستفاده‌ی موفق از این آسیب‌پذیری می‌تواند منجر به اجرای کد در میزبان شود.

یکی از راه‌های مقابله با این آسیب‌پذیری‌ها، غیرفعال‌کردن ویژگی 3D-accelerationاست.

جهت رفع این آسیب‌پذیری‌ها لازم است وصله‌های لیست‌شده در جدول زیر با توجه به نسخه‌ی محصول آسیب‌پذیر، به کار گرفته شود.

محصول آسیب‌پذیر	نسخه	سیستم‌عامل اجرایی	نسخه به‌روزرسانی‌شده
ESXi	6.7	همه	ESXi670-201904101-SG
ESXi	6.5	همه	ESXi650-201903001
Workstation	15.x	همه	15.0.3
Workstation	14.x	همه	14.1.6
Fusion	11.x	OSX	11.0.3
Fusion	10.x	OSX	10.16

از طرفی دیگر، آسیب‌‌پذیری CVE-2019-5684را می‌توان با نصب درایو گرافیک NVIDIAبه‌روزرسانی‌شده، برطرف ساخت.

‫ باج‌افزار اندرویدی "FILECODER" با قابلیت انتشار از طریق پیامک

خانواده‌ی جدیدی ازباج-افزاربرای حمله به سیستم‌عامل تلفن همراه اندروید طراحی شده است که از پیام کوتاه برای انتشار خود استفاده می‌کند.
این باج‌افزار که "Android / Filecoder.C" نامگذاری شده‌ است، از طریق پست‌های مخرب در انجمن‌های برخط از جملهRedditو XDA-Developers منتشر می‌شود.
مهاجمان برای فریب کاربران برای کلیک کردن بر روی لینک‌های آلوده در پست‌های ارسالی، از مضامین غیراخلاقی و در برخی موارد، موضوعات مرتبط با تکنولوژی استفاده می‌کنند.
این باج‌افزار بعد از نصب بر روی تلفن همراه قربانی، با ارسال لینک بدافزار از طریق پیامک به تمامی مخاطبان موجود در فهرست مخاطبین قربانی، تعداد قربانیان خود را افزایش می‌دهد.
بسته به تنظیمات زبان دستگاه آلوده، پیام‌ها در یکی از 42 نسخه‌ی ممکن زبان ارسال می‌شوند و نام مخاطب نیز به‌صورت خودکار در پیام درج می‌شود.
پس از ارسال پیام‌ها، Filecoder دستگاه آلوده را اسکن می‌کند تا تمام فایل‌های ذخیره را پیدا و اکثر آن‌ها را رمزگذاری کند. Filecoder انواع فایل‌ها از جمله فایل‌های متنی و تصاویر را رمزگذاری می‌کند اما فایل‌هایی با ویژگی‌های زیر را رمزگذاری نخواهد کرد:
• فایل‌های موجود در مسیرهای حاوی رشته‌های ".cache"، "tmp" یا "temp"
• فایل‌های دارای پسوند ".zip" و ".rar"
• فایل‌های با اندازه‌ی بزرگ‌تر از ۵۰ مگابایت
• تصاویر دارای پسوند ".jpeg"، ".jpg" و ".png" و با اندازه‌ی کوچکتر از ۱۵۰ کیلوبایت
• فایل‌های اندرویدی مانند ".apk" و ".dex"
پس از آن، یک یادداشت دریافت باج نمایش داده می‌شود که مبلغ درخواستی آن حدود 98 تا 188 دلار و به صورت ارز رمزنگاری‌شده است.
این باج‌افزار برخلاف دیگر باج‌افزارهای اندرویدی، صفحه‌ی نمایش دستگاه را قفل نمی‌کند یا مانع از استفاده از تلفن هوشمند نمی‌شود، اما اگر قربانی برنامه را حذف کند، فایل‌ها رمزگشایی نخواهند شد.
Filecoder هنگام رمزگذاری محتویات دستگاه، یک کلید عمومی و یک کلید خصوصی ایجاد می‌کند. کلید خصوصی با یک الگوریتم RSA و یک مقدار به‌طور خاص کدگذاری شده، رمزگذاری شده است و برای مرکز کنترل و فرمان ارسال می‌شود. بنابراین اگر قربانی مبلغ درخواستی را پرداخت کند، مهاجم می‌تواند کلید خصوصی و در نتیجه فایل‌ها را رمزگشایی کند.
لازم به ذکر است که این بدافزار از آدرس‌های زیر به عنوان مرکز کنترل و فرمان خود استفاده می‌کند:
• http://rich۷.xyz
• http://wevx.xyz
• https://pastebin.com/raw/LQwGQ۰RQ
متخصصان امنیت سایبری معتقدند که می‌توان فرایند رمزگشایی را با استفاده از کلید خصوصی و بدون پرداخت هزینه، انجام داد. آن‌ها ادعا می‌کنند که می‌توان فرایند رمزنگاری را به رمزگشایی تبدیل کرد. برای انجام چنین فرایندی، تنها به UserID نیاز خواهد بود که آن هم از سوی مجرم سایبری در پیام درخواست وجه، ارایه می‌شود.
به دلیل هدف‌گیری محدود و نقص در اجرای برنامه و رمزگذاری آن‌، تأثیر این باج‌افزار جدید محدود است. با این وجود، اگر توسعه‌دهندگان، نقص‌ها را برطرف و اپراتورها شروع به هدف‌گیری گروه‌های وسیع‌تری از کاربران کنند، باج‌افزار Android / Filecoder.C می تواند تبدیل به یک تهدید جدی شود.
برای جلوگیری از آلودگی به این نوع از باج‌افزارها لازم است موارد زیر در نظر گرفته شوند:
• نصب برنامه‌ها از منابع معتبر
• به‌روزرسانی سیستم‌عامل دستگاه
• توجه به مجوزهای درخواستی برنامه‌ها
• نصب آنتی‌ویروس و به‌روزرسانی آن

‫ هشدار آسیب‌پذیری بحرانی در سرویس REMOTE DESKTOP

مایکروسافت در تاریخ 13 آگوست 2019 (22 مرداد 98) تعدادی وصله امنیتی برای برطرف‌سازی دو آسیب‌پذیری بحرانی از نوع Remote Code Execution (RCE) در سرویس ریموت دسکتاپ (RDP) با شناسه‌های CVE-2019-1181 ، CVE-2019-1182 ، CVE-2019-1222 و CVE-2019-1226 ارائه نمود.

به گزارش مرکز پاسخ‌دهی به حوادث سایبری مایکروسافت، آسیب‌پذیری‌های مورد اشاره که ویندوزهای 7 SP1 ، Server 2008 R2 SP1 ، Server 2012 ، 8.1 ، Server 2012 R2 و تمامی نسخه‌های ویندوز 10 شامل نسخه‌های سرور آن را تحت تأثیر قرار می‌دهند.(آسیب پذیری های CVE-2019-1222 و CVE-2019-1226 مربوط به ویندوز 10 و ویندوز سرور میباشند) بر اساس این آسیب پذیری، هنگامی که یک مهاجم از طریق پروتکل RDP با ارسال درخواست‌هایی با سیستم هدف ارتباط برقرار می‌کند، به علت اینکه این آسیب پذیری‌ها مربوط به پیش از احراز هویت می‌باشند، به هیچ گونه تعامل با کاربر نیاز ندارد. لذا در صورت سوء‌استفاده مهاجمین از این آسیب پذیری‌ها، امکان اجرای کد دلخواه از راه دور بر روی سیستم هدف و کنترل کامل سیستم عامل قربانی وجود خواهد داشت. وصله امنیتی منتشر شده توسط مایکروسافت با اصلاح نحوه پاسخگویی به درخواست های اتصال در سرویس ریموت دسکتاپ امکان این سوء‌استفاده را از بین می‌برد.

تجارب گذشته در خصوص حملات گسترده مبتنی بر آسیب‌پذیری (از جمله باج‌افزار واناکرای) در سطح اینترنت نشان می‌دهد که معمولاً پس از گذشت مدتی از انتشار آسیب‌پذیری‌ها و وصله‌های امنیتی مربوط به آن‌ها، سیستم‌های در معرض خطر که در آن‌ها آسیب‌پذیری مذکور مرتفع نشده، هم خود مورد حملات متعدد قرار گرفته و هم از آن‌ها برای حمله به سیستم‌ها و شبکه‌های دیگر بهره‌برداری می‌گردد.

لذا با توجه به اهمیت موضوع، به تمام مدیران و راهبران شبکه توصیه اکید می‌گردد که قبل از انتشار کدهای مخرب برای سوءاستفاده از این آسیب‌پذیری‌ها، نسبت به رفع آن‌ها در سیستم‌عامل‌های مجموعه تحت مدیریت خود اقدامات لازم را در دستور کار قرار دهند. وصله‌های امنیتی منتشرشده برای آسیب‌پذیری‌های مذکور از وب‌سایت رسمی مایکروسافت به آدرس‌های زیر قابل دریافت است. همچنین کاربران با فعال‌سازی قابلیت به‌روز‌رسانی خودکار ویندوز نیز قادر به دریافت این وصله‌ها می‌باشند.

MITRE CVE-2019-1181

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181

MITRE CVE-2019-1182

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182

در پایان توصیه می‌گردد با توجه به سوءاستفاده اکثر مهاجمین و بدافزارها از سرویس ریموت دسکتاپ، اولاً این سرویس در صورت امکان مسدود گردد. ثانیاً در صورت ضرورت استفاده، با رعایت ملاحظات امنیتی و اعمال سیاست‌های امنیتی مناسب در فایروال بکار گرفته شود.