‫ آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در VLC MEDIA PLAYER

آسیب پذیری های چندگانه‌ای درVLC_Media_Playerشناسایی شده است که شدید‌ترین آن می‌تواند موجب اجرای کد دلخواه شود. VLC یک پخش‌کننده محتواهای چندرسانه‌ای است. بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب اجرای کد دلخواه در محتوای نرم‌افزار آسیب‌پذیر شود. بسته به مجوزهای مربوط به این نرم‌افزار، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. اگر این نرم‌افزار به گونه‌ای پیکربندی شده‌ باشد که سطح دسترسی کاربری کمتری در سیستم داشته باشد، می‌تواند کمتر از نرم‌افزارهایی که با دسترسی مدیریتی کار می‌کنند، آسیب‌پذیر باشند. بهره‌برداری ناموفق می‌تواند منجر به اجرای شرایط منع سرویس شود.

تهدید امنیتی:
در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها در دنیای بیرون ارائه نشده است.

سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها:
• VLC Media Player، نسخه‌‌های تا قبل از 3.0.7

ریسک‌پذیری و مخاطره:
دولتی : 
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کسب و کار و تجارت : 
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کاربران خانگی : 
• کم

توصیه ها:
توصیه می‌شود که اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط VLC به سیستم‌های آسیب‌پذیر اعمال شود.
• برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن از وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
• اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصاً از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منابع:
REFERENCES:
VLC:
http://www.videolan.org/
CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5439

‫ آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در MOZILLA THUNDERBIRD

آسیب پذیری های چندگانه‌ای در Mozilla_Thunderbirdشناسایی شده است که شدید‌ترین آن می‌تواند موجب اجرای کد دلخواه شود. Mozilla Thunderbird یک سرویس ایمیل است. بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب به دست گرفتن کنترل سیستم آسیب‌پذیر توسط مهاجمان شود و بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌ است که سطح دسترسی کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند.
تهدید امنیتی:
در حال حاضر هیچ گزارشی مبنی بر سوء استفاده از این آسیب‌پذیری‌ها در دنیای بیرون ارائه نشده است.
سیستم‌های تحت‌تاثیر این آسیب‌پذیری‌ها:
• سرویس Mozilla Thunderbird، نسخه‌ 60.7.1 و قبل از آن

ریسک‌پذیری و مخاطره:
دولتی : 
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

کسب و کار و تجارت : 
• موسسات دولتی بزرگ و متوسط : زیاد
• موسسات دولتی کوچک : متوسط

جزئیات این آسیب‌پذیری‌ها به شرح زیر است:
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر heap در parser_get_next_char می‌شود. CVE-2019-11703
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر heap در icalmemory_strdup_and_dequote می‌شود. CVE-2019-11704
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به سرریز بافر پشته در icalmemory_strdup_and_dequote می‌شود. CVE-2019-11705
• یک نقص اجرای iCal در Thunderbird که هنگام پردازش ایمیل‌های خاص، منجر به type confusion در icaltimezone_get_vtimezone_properties می‌شود. CVE-2019-11706
• 
بهره‌برداری موفق از شدیدترین این آسیب‌پذیری‌ها می‌تواند موجب به دست گرفتن کنترل سیستم آسیب‌پذیر توسط مهاجمان شود و بسته به مجوزهای مربوط به این برنامه، مهاجم می‌تواند نرم‌افزار‌ها را نصب و یا حذف کند و همچنین اطلاعات و داده‌ها را مشاهده، تغییر یا حذف کند و یا حساب‌های جدید با حقوق کامل کاربری را ایجاد کند. کاربرانی که حساب‌های آنها به گونه‌ای پیکربندی شده‌ است که سطح دسترسی کاربری کمتری در سیستم داشته باشند، می‌توانند کمتر از کسانی که با حقوق کاربری مدیریتی کار می‌کنند، آسیب‌پذیر باشند.
توصیه ها:
توصیه می‌شود که اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط موزیلا به سیستم‌های آسیب‌پذیر اعمال شود.
• برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن از وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
• اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصاً از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منابع:
Mozilla:
https://www.mozilla.org/en-US/security/advisories/mfsa2019-17/
CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11703
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11705
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11706

‫ شناسایی و رفع آسیب پذیری های بحرانی در محصولات اینتل

شرکت اینتل  بیش از 30آسیب پذیری در محصولات مختلف خود از جمله یک آسیب پذیری بحرانی در موتور همگرای مدیریت و امنیت Intel (CSME)که سوءاستفاده از آن می‌تواند منجر به افزایش امتیاز شود را برطرف نموده است.

این نقص (CVE-2019-0153)در زیرسیستم Intel CSMEوجود دارد. این زیرسیستم، فن‌آوری سفت‌افزار و سخت‌افزار سیستم مدیریت فعال Intelرا که برای مدیریت از راه دور خارج از محدوده‌ی رایانه‌های شخصی استفاده می‌شود، قدرت می‌بخشد. یک کاربر بدون احرازهویت می‌تواند به صورت بالقوه از این نقص برای اعمال افزایش امتیاز طی دسترسی شبکه‌ای، سوءاستفاده کند. این نقص، یک آسیب‌پذیری سرریز بافر با امتیاز CVSS9 از 10 است. نسخه‌های 12تا 12.0.34 CSMEتحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند. شرکت Intelبه کاربران Intel CSMEتوصیه می‌کند به آخرین نسخه‌ی منتشرشده توسط سازنده‌ی سیستم که این نقص‌ها را برطرف ساخته است، به‌روزرسانی کنند.

Intelدر مجموع 34 آسیب‌‌پذیری را برطرف ساخته است که علاوه بر این یک نقص بحرانی، 7 مورد از آن‌ها از نظر شدت «بالا»، 21 مورد «متوسط» و 5 مورد «پایین» رتبه‌بندی شده‌اند. این نقص‌ها جدا از نقص‌هایی هستند که Intelچندی پیش برطرف ساخته است. آن نقص‌ها، آسیب‌پذیری‌های اجرایی احتمالی به نام نمونه‌برداری داده‌‌ای ریزمعماری (MDS) بودند که تمامی CPUهای جدید Intelرا تحت‌تأثیر قرار داده بودند. چهار حمله‌ی کانالیZombieLoad، Fallout، RIDL (Rogue In-Flight Data Load)و Store-to-Leak Forwardingاجازه‌ی استخراج داده‌ها از سیستم‌های متأثر آن آسیب‌‌پذیری‌ها را می‌دادند.

یکی از آسیب‌پذیری‌های با شدت بالا که در توصیه‌نامه‌ی جدید Intelبرطرف شده است، یک آسیب‌‌پذیری اعتبارسنجی ناکافی ورودی است که درKernel Mode Driverتراشه‌های گرافیکی Intel i915لینوکس وجود دارد. این نقص، یک کاربر احرازهویت‌شده را قادر می‌سازد از طریق یک دسترسی محلی، امتیاز خود را افزایش دهد. این آسیب‌پذیری با شناسه‌ی CVE-2019-11085ردیابی می‌‌شود و دارای امتیاز CVSS8.8 از 10 است.

آسیب‌‌پذیری با شدت بالای دیگر در سفت‌افزار سیستم ابزارگان Intel NUC(یک ابزارگان کوچک رایانه شخصی که قابلیت‌های پردازش، حافظه و ذخیره‌سازی را برای برنامه‌‌هایی همچون مجموعه نشانه‌های دیجیتال، مراکز رسانه‌ای و کیوسک‌ها را ارایه می‌دهد) وجود دارد. این نقص با شناسه‌ی CVE-2019-11094ردیابی می‌‌شود و دارای رتبه‌ی CVSS7.5 از 10 است. این نقص ممکن است به کاربر احرازهویت‌شده اجازه دهد افزایش امتیاز، انکار سرویس یا افشای اطلاعات را به طور بالقوه از طریق دسترسی محلی اعمال سازد. شرکت Intelتوصیه می‌کند که محصولات متأثر زیر به آخرین نسخه‌ی سفت‌افزاری به‌روزرسانی کنند.

محصول متأثر	سفت‌افزار به‌روزرسانی‌شده
Intel® NUC Kit NUC8i7HNK	نسخه‌ی BIOS 0054یا جدیدتر
Intel® NUC Kit NUC8i7HVK	نسخه‌ی BIOS 0054یا جدیدتر
Intel® NUC Kit NUC7i7DNHE	نسخه‌ی BIOS 0062یا جدیدتر
Intel® NUC Kit NUC7i7DNKE	نسخه‌ی BIOS 0062یا جدیدتر
Intel® NUC Kit NUC7i5DNHE	نسخه‌ی BIOS 0062یا جدیدتر
Intel® NUC Kit NUC7i5DNHE	نسخه‌ی BIOS 0062یا جدیدتر
Intel® NUC Board NUC7i7DNBE	نسخه‌ی BIOS 0062یا جدیدتر

نقص با شدت بالای دیگر که توسط خود Intelکشف شد در واسط سفت‌افزاری توسعه‌پذیر یکپارچه (UEFI) وجود دارد. UEFIمشخصه‌ای است که یک واسط نرم‌افزاری بین یک سیستم‌عامل و سفت‌افزار بستر تعریف می‌کند (اگرچه UEFIیک مشخصه‌ی صنعتی است، سفت‌افزار UEFIبااستفاده از کد مرجع Intelتحت‌تأثیر این آسیب‌پذیری قرار گرفته است). این نقص با شناسه‌ی CVE-2019-0126ردیابی می‌شود و دارای امتیاز CVSS7.2 از 10 است سوءاستفاده از آن می‌تواند به طور بالقوه منجر به افزایش امتیاز یا انکار سرویس در سیستم‌های متأثر شود. به گفته‌ی Intel، این نقص ناشی کنترل ناکافی دسترسی در سفت‌افزار مرجع silicon برای پردازنده مقیاس‌پذیرIntel Xeon ، خانواده Dپردازنده Intel Xeon است. مهاجم برای سوءاستفاده از این نقص نیاز به دسترسی محلی دارد.

دیگر نقص‌های با شدت بالا شامل موارد زیر است:

• آسیب‌پذیری تصفیه‌سازی (sanitization)ناصحیح داده‌ها در زیرسیستمی در سرویس‌های بستر کارگزار Intel (CVE-2019-0089)
• آسیب‌‌پذیری کنترل ناکافی دسترسی در زیرسیستم Intel CSME (CVE-2019-0090)
• آسیب‌پذیری کنترل ناکافی دسترسی (CVE-2019-0086)در نرم‌افزار بارگذار پویای برنامه کاربردی (یک ابزار Intelکه به کاربران اجازه می‌دهد بخش‌های کوچکی از کد جاوا را بر Intel CSMEاجرا کنند)
• نقص سرریز بافر در زیرسیستمی در بارگزار پویای برنامه‌ی کاربردی Intel (CVE-2019-0170)

Intelبه کاربران توصیه می‌کند سفت‌افزار خود را به این نسخه‌ی سفت‌افزاری (یا جدیدتر) اختصاص‌داده شده برای مدل محصول متأثر خود، ارتقا دهند.

‫ انتشار وصله‌ی‌های امنیتی رایگان REMOTE DESKTOP مایکروسافت برای نسخه‌های قدیمی ویندوز جهت جلوگیری از بروز مجدد حملات WANNACRY

مایکروسافت  در به‌روزرسانی ماه می سال 2019 خود، 79 آسیب‌پذیری از جمله یک آسیب‌پذیری در سیستم‌عامل‌های قدیمی Windows XP و Server 2003 که دیگر از آن‌ها پشتیبانی نمی‌کند را وصله کرده است.
معمولاً پشتیبانی از سیستم‌عامل‌‌‌های قدیمی هزینه‌بر است؛ اما مایکروسافت با توجه به ماهیت خطرناک این نقص بحرانی، وصله‌ی رایگانی را برای آن منتشر ساخته است. این آسیب‌پذیری با شناسه‌ی CVE-2019-0708 ردیابی می‌شود و در سرویس‌های Remote Desktop وجود دارد. این آسیب‌‌پذیری اجازه‌ی اجرای کد راه دور را می‌دهد؛ بدون آنکه نیازی به دخالت کاربر یا احرازهویت باشد. برای سوءاستفاده، مهاجم یکی از بیشمار بسته‌‌های ویندوزی آسیب‌پذیر را که به اینترنت یا یک شبکه متصل هستند را می‌یابد، بسته‌های ساختگی دقیق را به سرویس Remote Desktop آن ارسال می‌کند، اگر در حال اجرا باشد، شروع به اجرای کد مخرب در دستگاه می‌کند. از آنجا، رایانه‌های آسیب‌پذیر دیگر، با اسکن دامنه‌های IP، یافت خواهند شد. این آسیب‌‌پذیری «کرم‌گونه» است؛ بدین معنی که هر بدافزاری که در آینده از این آسیب‌پذیری سوءاستفاده می‌‌کند می‌تواند از رایانه‌ی آسیب‌پذیری به رایانه‌ی آسیب‌پذیر دیگر پخش شود. این روش مشابه روشی است که بدافزار WannaCry در سال 2017 در سراسر جهان انتشار یافت.
از آنجاییکه هیچ سوءاستفاده‌ای از این آسیب‌پذیری مشاهده نشده است، به احتمال زیاد، عاملین تهدید سوءاستفاده‌ای برای این آسیب‌پذیری خواهند نوشت و آن را در بدافزار خود قرار خواهند داد. لذا ضروری است سیستم‌های متأثر در اسرع وقت به‌منظور جلوگیری از چنین حوادثی، وصله شوند. به همین دلیل مایکروسافت به روزرسانی امنیتی برای تمامی مشتریان به‌منظور حفاظت بسترهای ویندوزی، از جمله برخی نسخه‌های قدیمی ویندوز ارایه کرده است.

دریافت متن کامل

‫ امکان اجرای کد از راه دور با استفاده از نقص موجود در هسته‌ی لینوکس

میلیون‌ها سیستم  لینوکس می‌توانند نسبت به نقص race condition با شدت بالا در هسته‌ی لینوکس آسیب‌پذیر باشند. کارشناسان امنیتی یک آسیب‌پذیری (CVE-2019-11815) در هسته‌ی لینوکس، نسخه‌های قبل از 5.0.8 کشف کردند که سیستم را در معرض خطر اجرای کد از راه دور قرار می‌دهد. 
مهاجمین می‌توانند مسئله‌ی race condition که در پیاده‌سازی "rds_tcp_kill_sock TCP / IP" در "net / rds / tcp.c" قرار دارد و باعث ایجاد شرایط انکار سرویس (DoS) و اجرای کد از راه دور در دستگاه‌های آسیب‌پذیر لینوکس می‌شود، تحریک کنند. این وضعیت زمانی اتفاق می‌افتد که یک فرآیند متشکل از وظایف خاصی که در یک دنباله‌ی خاص رخ می‌دهند، با یک درخواست برای انجام دو یا چند عملیات به‌طور همزمان دچار اشتباه شود. در طی این سردرگمی، یک فرایند سرکش می‌تواند وارد شود.
در آسیب‌پذیری "CVE-2019-11815"، مهاجمان می‌توانند از ارسال بسته‌های TCP مخصوص ساخته‌شده از راه دور به‌منظور تحریک یک وضعیت UAF مربوط به پاکسازی فضای نام شبکه، استفاده کنند. UAF یک کلاس از نقص فیزیکی حافظه است که می‌تواند منجر به سقوط سیستم و توانایی مهاجم برای اجرای کد دلخواه شود.
مهاجم می‌تواند بدون هیچ‌گونه امتیاز بالایی، بدون احراز هویت و بدون تعامل با کاربر، از این اشکال سوءاستفاده کند. بهره‌برداری از این نقص می‌تواند مهاجمان را قادر به دسترسی به منابع، تغییر هرگونه فایل و دسترسی به منابع ممنوع کند. آسیب‌پذیری "CVE-2019-11815" دارایCVSS v3.0 از امتیاز پایه‌ی 8.1 است، اما به دلیل دشواری سوءاستفاده از آن، امتیاز سوءاستفاده‌ی 2.2 و امتیاز تأثیر 5.9 را دریافت کرده است. تیم توسعه‌ی هسته‌ی لینوکس یک وصله‌ی امنیتی را منتشر کرد و این آسیب‌پذیری به‌طور کامل با نسخه‌ی لینوکس 5.0.8 رفع شد.

‫ سوءاستفاده‌ی مهاجمان از نقص موجود در واتس‌آپ برای نصب نرم‌افزار جاسوسی

واتس آپ جزئیات مربوط به یک آسیب‌پذیری جدی در برنامه‌ی پیام‌رسان خود را افشا کرده است که به کلاه‌برداران این امکان را می‌دهد تا از راه دور، جاسوس‌افزار اسرائیلی را در دستگاه‌های iPhone و اندروید به‌سادگی و با برقراری تماس تلفنی با هدف، تزریق کنند.این اشکال که توسط فیس‌بوک کشف شده است، یک آسیب‌پذیری سرریز بافر در تابع VOIP واتس‌آپ است.
مهاجم باید با هدف، تماس بگیرد و بسته‌های پروتکل حمل‌ونقل امن (SRTP) را به تلفن ارسال کند تا بتواند از نقص حافظه‌ی موجود در تابع VOIP در واتس‌آپ برای تزریق نرم‌افزارهای جاسوسی و کنترل دستگاه استفاده کند.
برای تزریق نرم‌افزار جاسوسی حتی نیازی به پاسخ هدف به تماس نیست و تماس اغلب از ورودی‌های مربوط به تماس پاک می‌شود.
در حالی که واتس‌آپ از رمزگذاری انتها-به-انتها پشتیبانی می‌کند که باید از محتوای ارتباطات بین کاربران محافظت کند، اما اگر دستگاه با نرم‌افزارهای مخرب سازش پیدا کند، این اقدام امنیتی می‌تواند تضعیف شود.
طبق گزارشات، این نرم‌افزار جاسوسی از گروه NSO (یک شرکت اسرائیلی) است که متهم به فروش نرم‌افزارهای جاسوسی خود به دولت‌هایی با پرونده‌های مشکوک حقوق بشر است.
محصول پیشگام گروه NSO ، ابزاری به نام " Pegasus" است. این ابزار مخرب، نه‌تنها برای مبارزه با جرایم و تروریسم محلی بلکه برای نظارت بر مرزهای بین‌المللی نیز استفاده می‌شود.
این نرم‌افزار مخرب می‌تواند مکالمات را ضبط کند، پیام‌های خصوصی را به سرقت ببرد، عکس‌ها را پاک کند، دوربین گوشی را روشن و داده‌های موقعیت مکانی را جمع‌آوری کند.
به‌گفته‌ی مهندسین واتس‌آپ، هفته‌ی گذشته این آسیب‌پذیری برای نصب بدافزار "Pegasus" مورد استفاده قرار گرفت و چند روز بعد یک وصله برای کاربران نهایی عرضه کرد.
نقص VOIPدر واتس‌آپ بر روی نسخه‌های اندروید واتس‌آپ قبل از نسخه‌ی 2.19.134، واتس‌آپ تجاری برای اندروید قبل از 2.19.44، واتس‌آپ برای iOS قبل از 19.19.51، واتس‌آپ تجاری برای iOS قبل از 2.19.51، واتس‌آپ برای ویندوز فون قبل از 2 .18.348 و واتس‌آپ برای Tizen قبل از 1.18.15 تأثیر می‌گذارد.
این آسیب‌پذیری در حال حاضر رفع شده است؛ به این معنی که کاربران واتس‌آپ تنها نیاز به دانلود آخرین نسخه از این نرم‌افزار دارند.

آلوده‌شدن 150 میلیون کاربر اندروید به بدافزار "SIMBAD"

یک پویش پیشرفته‌ی مخرب کشف شده است که بدافزار سیمباد (SimBad) را از طریق فروشگاه Google Playمنتشر می‌کند. به‌گفته‌ی کارشناسان، بیش از 150 میلیون کاربر در حال حاضر تحت تأثیر این پویش قرار گرفته‌اند.

سیمباد خود را به‌ تبلیغات مبدل می‌کند و در مجموعه‌ی کیت توسعه‌ی نرم‌افزار RXDrioder (SDK) که برای اهداف تبلیغاتی و کسب درآمد استفاده می‌شود، مخفی می‌شود. هر برنامه‌ای که با استفاده از SDKمخرب توسعه می‌یابد، شامل کد مخرب است.

این بدافزار توسط دامنه‌ی "addoider [.] com" به‌عنوان یک SDKمرتبط با تبلیغ ارائه شده است. با دسترسی به این دامنه، کاربران به یک صفحه‌ی ورودی دسترسی پیدا می‌کنند که به‌نظر می‌رسد مشابه سایر پنل‌های بدافزار است. پیوندهای «ثبت نام» شکسته می‌شوند و کاربر به صفحه‌ی ورود به سایت هدایت می‌شود.

بدافزار سیمباد همچنین قادر به هدایت کاربران اندرویدی به وب‌سایت‌های ماحیگیری است تا برنامه‌های مخرب بیشتری را از فروشگاه Playیا از یک سرور از راه دور دانلود ‌کند.

هنگامی که یک کاربر اندروید یک برنامه‌ی آلوده را دریافت و نصب می‌کند، بدافزار سیمباد خود را در "BOOT_COMPLETE" و "USER_PRESENT" ثبت می‌کند. به این ترتیب، نرم‌افزارهای مخرب می‌توانند عملیات را پس از اتمام مرحله‌ی بوت‌شدن انجام دهند، در حالی که کاربر، بدون اطلاع از دستگاه خود استفاده می‌کند.

پس از نصب، بدافزار سیمباد به سرور فرماندهی و کنترل (C&C) متصل می‌شود و فرمانی را برای انجام آن دریافت می‌کند. سپس آیکون خود را از لانچر حذف می‌کند که این کار حذف برنامه‌ی مخرب را برای کاربر دشوار می‌سازد. همزمان، تبلیغات را در پس‌زمینه نمایش می‌دهد و یک مرورگر با یک URLمشخص برای تولید درآمد، بدون ایجاد سوءظن باز می‌کند.

سیمباد دارای قابلیت‌هایی است که می‌توانند به سه گروه نمایش تبلیغات، ماحیگیری و قرارگرفتن در معرض دیگر برنامه‌ها تقسیم شوند. با استفاده از قابلیت بازکردن یک URLمشخص‌شده در مرورگر، مهاجم سیمباد می‌تواند صفحات ماحیگیری را برای سیستم‌عامل‌های مختلف ایجاد کند و آن‌ها را در یک مرورگر باز کند، بدن ترتیب، حملات ماحیگیری هدف‌دار را بر روی کاربر انجام دهد.

با توانایی بازکردن برنامه‌های بازاری مانند Google Playو 9Apps، با جستجوی کلیدواژه‌ی خاص یا حتی یک صفحه‌ی برنامه‌‌ی منفرد، این مهاجم می‌تواند به دیگر مهاجمان تهدید دست یابد و سود خود را افزایش دهد. مهاجم حتی می‌تواند با نصب یک برنامه‌ی از راه دور از یک سرور اختصاصی، فعالیت‌های مخرب خود را به سطح بالاتر ببرد تا به او اجازه‌ی نصب نرم‌افزارهای مخرب جدید را بدهد.

با توجه به تحقیقات انجام‌شده، اکثر برنامه‌های آلوده، بازی‌های شبیه‌ساز، ویرایشگر عکس و برنامه‌های کاربردی تصاویر پس‌زمینه هستند. 10 برنامه‌ی برتر آلوده به بدافزار سیمباد عبارتنداز:

1. شبیه‌ساز Snow Heavy Excavator(10،000،000 دانلود)
2. مسابقه‌ی Hoverboard(5،000،000 دانلود)
3. شبیه‌ساز Real Tractor Farming(5.000.000.000 دانلود)
4. Ambulance Rescue Driving (5،000،000 دانلود)
5. شبیه‌ساز Heavy Mountain Bus 2018 (5،000،000 دانلود)
6. Fire Truck Emergency Driver (5،000،000 دانلود)
7. شبیه‌ساز Farming Tractor Real Harvest(5،000،000 دانلود)
8. Car Parking Challenge (5،000،000 بارگیری)
9. مسابقات Speed Boat Jet Ski (5،000،000 دانلود)
10. Water Surfing Car Stunt (5،000،000 دانلود)

لیست کامل برنامه‌های آلوده به این بدافزار در اینجا موجود است.

سوءاستفاده از نقص انکار سرویس در چندین مسیریاب MIKRO TIK

شرکت MikroTik# بار دیگر از وجود نقصی در مسیریاب‌های خود خبر داد. این شرکت در هفته‌ی اول ماه آوریل سال 2019، جزئیات فنی مربوط به یک آسیب پذیری قدیمی که دستگاه را به مهاجمان راه دور نشان می‌دهد، منتشر ساخته است.

مهاجمان می‌توانند از این آسیب‌پذیری برای راه‌اندازی یک حالت انکار سرویس (DoS) در دستگاه‌هایی که RouterOS را اجرا می‌کنند، سوءاستفاده کنند. RouterOS حاوی چندین مشکل خسته‌شدن بیش از اندازه‌ی منبع مربوط به IPv6 است که در حال حاضر برطرف شده‌اند.

اولین مسئله باعث می‌شود در صورتی که ترافیک به سمت تعداد زیادی آدرس مقصد مختلف، تعیین مسیر شود، دستگاه مجدداً راه‌اندازی شود. این راه اندازی‌های مجدد توسط یک تایمر نگهبان (watchdog) دایماً تکرار و در نتیجه منجر به به بارگیری بیش از اندازه و توقف پاسخ‌گویی دستگاه می‌شوند.

به‌روزرسانی‌های امنیتی برای RouterOS منتشر شده است که این نقص (CVE-2018-19299) را برطرف می‌سازد؛ اما به گفته‌ی کارشناسان، برخی از دستگاه‌های متأثر همچنان آسیب‌پذیر هستند.

آسیب‌پذیری CVE-2018-19299، دستگاه‌های وصله‌نشده‌ی Mikro Tik را که مسیر بسته‌های IPv6 را تعیین می‌کنند، تحت‌تأثیر قرار می‌دهد. مهاجم می‌تواند با ارسال یک دنباله‌ی خاص از بسته‌های IPv6 که استفاده از RAM را اشباع می‌سازد، از این نقص سوءاستفاده کند.

پس از رفع نقص مربوط به راه‌اندازی مجدد، مسئله‌ی دیگری باعث پرشدن حافظه می‌شود، زیرا اندازه‌ی کش مسیر IPv6 می‌تواند بزرگتر از RAM موجود باشد. این مشکل نیز با محاسبه‌ی خودکار اندازه‌ی کش بر اساس حافظه‌ی موجود، رفع شده است.

MikroTik این آسیب‌پذیری‌ها را در نسخه‌های RouterOS که در ماه آوریل سال 2019 منتشر شده‌اند (تمامی زنجیره‌های انتشار: RouterOSv6.44.2، RouterOS v6.45beta23 و RouterOSv6.43.14)، برطرف ساخته است.

کارشناسان کشف کرده‌اند که نقص DoS تنها در دستگاه‌های با بیش از 64 مگابایت RAM رفع شده است.

Javier Prieto، یکی از اعضای Mikro Tik، این نقص را بر روی Cloud Hoster Router (CHR) با RAM 256 مگابایت مورد آزمایش قرار داده است. او مشاهده کرد که این حمله باعث استفاده‌ی بیش از 20Mib شده است. Prieto چندین تست مختلف با GNS3 بااستفاده از CHR 6.44.2 (ثابت) انجام داده است و از آنجاییکه مسیریاب دارای حافظه‌ی کافی بود ، نابود نشد.

در این آزمایش و با استفاده از CHR دارای 256 مگابایت حافظه، منابع سیستم، پیش از حمله، کل حافظه‌ را 224 MiB و حافظه‌ی آزاد را 197 MiB نشان می‌دهد. در حین حمله و تنها از یک رایانه، حافظه‌ی آزاد تا حدود 20 MiB و گاهی تا 13 MiB کاهش می‌یابد. در استفاده از دو مهاجم، به نظر می‌رسد نتایج مشابه است و بدتر نیست. استفاده از مسیریاب دارای حافظه‌ی 200 مگابایت منجر به راه‌اندازی مجدد می‌شود.

این نقص توسط چندین متخصص مختلف، از جمله Isalski، در 16 آوریل سال 2018 گزارش شده بود. به گفته‌ی این متخصص، Mikro Tik بر وجود این نقص اذعان داشت؛ اما آن را به عنوان آسیب‌پذیری امنیتی دسته‌بندی نکرد. Isalski این نقص را در ماه مارس به چندین تیم پاسخگویی اورژانسی گزارش داد و مدارک سوءاستفاده از این آسیب‌پذیری در حملات وحشیانه را منتشر ساخت. Isalski ثابت کرد که نقص CVE-2018-19299 تقریباً هر دستگاه Mikro Tik را تحت‌تأثیر قرار می‌دهد؛ حتی دستگاه‌هایی که به عنوان مسیریاب‌های “core” یا “backhaul” استفاده می‌شوند.

Mikro Tik بیش از 20 نسخه RouterOS پس از کشف این آسیب‌پذیری منتشر ساخته است. یکی از دلایل این امر علاوه بر رد خطر امنیتی آن، این است که این نقص در سطح هسته (kernel) است و رفع آن بسیار دشوار است. به گفته‌ی یکی از اعضای تیم پشتیبانی شرکت Mikro Tik، Router v6 دارای هسته‌ی قدیمی‌تری است و نمی‌توان آن را تغییر داد.

کارشناسان معتقدند، Mikro Tik تعدادی بهینه‌سازی در نسخه‌ی بتای بعدی RouterOS برای سخت‌افزار با منبع کم RAM، معرفی خواهد کرد.

‫ به‌روزرسانی ماه آوریل مایکروسافت و رفع دو آسیب‌پذیری روز صفرم

شرکت مایکروسافت، به‌روزرسانی ماه آوریل خود را منتشر کرد و آسیب‌پذیری‌های متعددی ازجمله دو آسیب‌پذیری روز صفرم ویندوز که در حملات گسترده مورد سوءاستفاده قرار گرفته‌اند، رفع کرد.
در این به‌روزرسانی، بیش از ده آسیب‌پذیری اجرای کد از راه دور و افزایش امتیاز که بر ویندوز و مرورگرهای مایکروسافت تأثیر می‌گذارند، وصله شدند.
15 به‌روزرسانی منتشرشده، در مجموع 74 آسیب‌پذیری منحصربه‌فرد در ویندوز، اینترنت اکسپلورر، Edge، آفیس، SharePoint و Exchange را پوشش می‌دهند.
آسیب‌پذیری‌های روز صفرمی که به‌طور گسترده مورد سوءاستفاده قرار گرفته‌اند، "CVE-2019-0803" و "CVE-2019-0859" هستند که می‌توانند به یک مهاجم، اجازه‌ی افزایش دسترسی در سیستم‌های هدف دهند.
آسیب‌پذیری افزایش امتیاز در ویندوز زمانی به‌وجود می‌آید که مؤلفه‌ی "Win32k" نتواند به‌درستی اشیاء را در حافظه کنترل کند. مهاجم می‌تواند پس از سوءاستفاده‌ی موفقیت‌آمیز از این آسیب‌پذیری، کد دلخواه را در حالت هسته اجرا، برنامه‌ها را نصب، داده‌ها را مشاهده، تغییر یا حذف و حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
برای سوءاستفاده از این آسیب‌پذیری، یک مهاجم باید ابتدا به سیستم وارد شود. برای این کار می‌تواند یک برنامه‌ی خاص طراحی‌شده را اجرا کند که می‌تواند از این آسیب‌پذیری سوءاستفاده کند و کنترل سیستم آسیب‌دیده را به‌دست گیرد.
به‌روزرسانی مایکروسافت، این آسیب‌پذیری را با تصحیح چگونگی کنترل اشیاء توسط "Win32k" رفع می‌کند.
علاوه بر آسیب‌پذیری‌های روز صفرم، دیگر محصولات امنیتی مایکروسافت نیز وجود دارند که کاربران باید وصله‌های منتشرشده را بر روی آن‌ها اعمال کنند.
به‌عنوان مثال، سه اشکال در Microsoft Office Access Connectivity با شناسه‌های "CVE-2019-0824"، "CVE-2019-0825" و "CVE-2019-0827" وجود دارند که می‌توانند مهاجمین را قادر به اجرای کد در سیستم‌های آسیب‌پذیر کنند. این اشکالات می‌توانند از راه دور مورد سوءاستفاده قرار گیرند و محیط‌های سازمانی را در معرض خطر قرار دهند.
در هنگام تجزیه‌ی فایل‌های EMF، آسیب‌پذیری اجرای کد از راه دور ("CVE-2019-0853")، مؤلفه‌ی GDI ویندوز را تحت تأثیر قرار می‌دهد. با توجه به اینکه بهره‌برداری از این آسیب‌پذیری می‌تواند با متقاعدکردن کاربران به بازدید از یک وب‌سایت یا ارسال ایمیل حاوی فایل مخرب به کاربران انجام شود، این نقص نیز یک مسئله‌ی بسیار جدی است که اعمال وصله‌های منتشرشده را ضروری می‌سازد.
Adobe و SAP نیز به‌روزرسانی‌های امنیتی مربوطه خود را منتشر کردند. Adobe هفت به‌روزرسانی را برای رفع 43 آسیب‌پذیری در محصولات خود مانند Adobe Reader، Acrobat، AIR، Flash و Shockwave منتشر کرد.
Wireshark نیز سه به‌روزرسانی را برای حل ده آسیب‌پذیری منتشر کرد. Wireshark یکی از ابزارهای نادیده گرفته‌شده‌ی IT است که می‌تواند خطر قابل توجهی را برای محیط اطراف کاربر ایجاد کند.
باتوجه به اهمیت آسیب‌پذیری‌های ذکرشده، به‌روزرسانی این محصولات برای رفع نقایص موجود امری ضروری است و به کاربران توصیه می‌شود تا هرچه سریع‌تر وصله‌های منتشرشده را اعمال کنند.

‫ انتشار به‌روزرسانی امنیتی ماه آوریل سال 2019 شرکت ادوبی

شرکت ادوبی وصله‌ی به‌روزرسانی امنیتی بزرگی برای چندین نرم‌افزار ارائه‌شده‌ی خود منتشر ساخته است که تعدادی از اشکالات مهم و بحرانی را برطرف می‌سازد.
ادوبی در بولتین امنیتی ماه آوریل سال 2019 خود یک به‌روزرسانی برای تقویت امنیت Adobe Bridge CC، Adobe Experience Manager Forms، InDesign، Adobe XD، Adobe Dreamweaver، Adobe Shockwave Player، Adobe Flash Player و Adobe Acrobat and Reader لیست کرده است.
برخی از آسیب‌پذیری‌های برطرف‌شده می‌توانند منجر به مشکلات اجرای کد دلخواه، افشای اطلاعات حساس و اجرای کد راه‌دور در متن کاربر فعلی شوند.
در Adobe Bridge CC، یک خطای سرریز پشته با شناسه‌ی CVE-2019-7130 که می‌توانست منجر به اجرای کد راه دور شود به همراه یک نقص نوشتن خارج از محدوده (out-of-bounds-write) با شناسه‌ی CVE-2019-7132 که می‌تواند با همان هدف مورد سوءاستفاده قرار گیرد، وصله شده است. این به‌روزرسانی امنیتی، شش خطای افشای اطلاعات را نیز در این نرم‌افزار برطرف می‌سازد.
ادوبی آسیب‌پذیری اسکریپت‌نویسی متقابل (XSS) با شناسه‌ی CVE-2019-7129 را در Experience Manager Forms برطرف ساخته است که اگر توسط مهاجم مورد سوءاستفاده قرار گیرد ممکن است منجر به نشت اطلاعات حساس شود.
در InDesign آسیب‌پذیری با شناسه‌ی CVE-2019-7107 وصله شده است. این اشکال بحرانی ناشی از پردازش hyperlink ناامنی است که می‌تواند منجر به اجرای کد دلخواه در متن کاربر فعلی شود. دو آسیب‌پذیری CVE-2019-7105 و CVE-2019-7106 نیز در Adobe XD وصله شده‌اند که سوءاستفاده از آن‌ها می‌تواند منجر به اجرای کد دلخواه شود.
در مجموع هفت آسیب‌پذیری امنیتی جدی در آخرین وصله‌ی به‌روزرسانی امنیتی ادوبی برای Shockwave برطرف شده است. این اشکالات (CVE-2019-7098، CVE-2019-7099، CVE-2019-7100، CVE-2019-7101، CVE-2019-7102، CVE-2019-7103 و CVE-2019-7104) همگی مسائل مربوط به خرابی حافظه هستند که می‌توانند به‌منظور اجرای کد دلخواه مورد سوءاستفاده قرار گیرند.
یک جفت آسیب پذیری مهم و حیاتی با شناسه‌های CVE-2019-7108 و CVE-2019-7096 در Adobe Flash رفع شده است. این نقص‌های خواندن خارج از محدوده و استفاده پس از آزادسازی (use-after-free) می‌توانند منجر به نشت اطلاعات یا استفاده از کد دلخواه شوند.
Adobe Acrobat and Reader به‌روزرسانی قابل‌توجهی در وصله‌ی ماه آوریل ادوبی دریافت کرده است. در مجموع، 21 مسئله برطرف شده است که 10 مورد از آن‌ها می‌تواند منجر به افشای اطلاعات شود و 11 اشکال می‌تواند به منظور اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.
یک نقص امنیتی متوسط با شناسه‌ی CVE-2019-7097 نیز Adobe Dreamweaver را تحت‌تأثیر قرار داده است. اگر پروتکل‌های انسداد پیامک کارگزار (SMB) نهاد رله‌سازی حملات در این نرم‌افزار باشند، این نقص می‌تواند برای نشت اطلاعات حساس مورد سوءاستفاده قرار گیرد.
توصیه می‌شود کاربران به‌روزرسانی‌های خودکار را به منظور کاهش خطرات سوءاستفاده دریافت نمایند.