هشداردرخصوص آسیب پذیری امنیتی ویندوز

مطابق بررسی های بعمل آمده آسیب پذیری هایی در نسخه‌های پشتیبان‌شده‌ی Microsoft Windows و Winows Server وجودداشته که یک مهاجم راه‌دور می‌تواند از این آسیب‌پذیری‌ها سوءاستفاده کند تا کنترل سیستم هدف را به‌دست گیرد.مایکروسافت اطلاعات مربوط به این آسیب‌پذیری‌ها با شناسه‌ی CVE-2018-8611 و CVE-2018-8626 را ارایه داده است.
آسیب‌پذیری CVE-2018-8611، یک آسیب‌پذیری ارتقا سطح دسترسی هسته ویندوز است که تمامی نسخه‌های کارگزار و مشتری ویندوز، از جمله Windows 10 و Windows Server 2019 را تحت‌تأثیر قرار می‌دهد. این آسیب‌پذیری زمانی وجود دارد که هسته‌ی ویندوز نتواند به‌درستی اشیا را در حافظه مدیریت (handle) کند. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در حالت هسته اجرا کند. سپس مهاجم می‌تواند برنامه نصب کند، داده‌ها را مشاهده کند؛ تغییر دهد یا حذف نماید یا حساب‌های جدید با دسترسی کامل ایجاد کند. یک حمله‌ی موفق نیاز به یک عامل مخرب دارد تا وارد سیستم شود و برنامه‌ی ساختگی که کنترل کامل بر روی ماشین هدف را فراهم می‌آورد، اجرا نماید. به گفته‌ی مایکروسافت، این نقص اخیراً مورد سوءاستفاده قرار گرفته است؛ اما با توجه به اینکه به صورت عمومی افشا نشده است، تأثیر آن به میزان قابل توجهی کاهش یافته است.
آسیب‌پذیری CVE-2018-8626 یک آسیب‌پذیری برای کارگزارهای سیستم نام دامنه (DNS) ویندوز است. یک نقص اجرا کد راه‌دور است که در کارگزارهای سیستم نام دامنه (DNS) ویندوز، زمانی که نتوانند درخواست‌ها را به درستی مدیریت کنند، وجود دارد. این آسیب پذیری تنها در Windows 10، Windows Server 2012 R2، Winows Server 2016 و Windows Server 2019 وجود دارد. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در قالب حساب کاربری سیستم داخلی (Local System Account) اجرا نماید. کارگزارهایی که به عنوان کارگزار DNS پیکربندی شده‌اند، در معرض خطر این آسیب‌پذیری قرار دارند. این حمله بستگی به درخواست‌های مخربی دارد که حتی بدون احرازهویت به کارگزار DNS ویندوز ارسال شده‌اند.
هر دو آسیب‌پذیری فوق در چرخه‌ی به‌روزرسانی ماه دسامبر سال 2018 مایکروسافت وصله شده‌اند و وصله‌های آن‌ها از Windows Update تمامی نسخه‌های پشتیبان‌شده‌ وبندوز قابل دانلود است.

هشدار به کاربران ایرانی درخصوص استفاده از نرم‌افزار اسکایپ

اسکایپ  یکی از قدیمی‌ترین و بهترین برنامه‌های کاربردی برای برقراری تماس صوتی و تصویری است. با ارائه‌ی امکان تماس صوتی درتلگرام و از طرف دیگر فیلترشدن آن در ایران، بحث تماس صوتی و تصویری رایگان و استفاده از نرم‌افزارهایی همچون اسکایپ که این قابلیت را فراهم می‌کنند، دوباره بر سر زبان‌ها افتاده است. اما یک آسیب‌پذیری جدید در اسکایپ تحت اندروید کشف شده است که به یک مهاجم ناشناس اجازه می‌دهد تا گالری و مخاطبین کاربر را مشاهده کند و حتی لینک‌های بازشده در مرورگر را رصد کند.
مهاجم برای سوءاستفاده از این آسیب‌پذیری، نیاز به دسترسی مؤثر به دستگاه هدف دارد. سپس، باید یک تماس اسکایپ را دریافت کند و به آن پاسخ دهد. به‌طور معمول، با دستگاه قفل‌شده، مهاجم نباید دسترسی به داده‌هایی مانند عکس‌ها و مخاطبین را بدون تأیید اعتبار با یک رمز عبور، یک PIN، یک الگوی قفل صفحه یا یک اثر انگشت داشته باشد، اما با وجود این آسیب‌پذیری، مهاجم می‌تواند پس از پاسخ به تماس، اجازه‌ی دسترسی به داده‌های کاربر، حتی اگر دستگاه قفل شده باشد را پیدا کند.
به‌نظر می‌رسد یک خطای کد در اسکایپ برای اندروید، به مهاجم امکان دسترسی به عکس‌ها، مشاهده مخاطبین و حتی ارسال پیام بدون نیاز به احراز هویت را می‌دهد. مهاجم همچنین می‌توان مرورگر دستگاه را به‌طور مستقیم از اسکایپ راه‌اندازی کند. برای این کار، فقط باید یک لینک را در یک پیام جدید تایپ کند، پیام را ارسال کند و سپس روی لینک کلیک کند.
این آسیب‌پذیری که میلیون‌ها تلفن همراه اندرویدی دارای اسکایپ را تحت تأثیر قرار می‌دهد، در ماه اکتبر کشف و بلافاصله به مایکروسافت گزارش شد. این شرکت به سرعت پاسخ داد و موضوع را در نسخه‌ی جدید اسکایپ رفع کرد.
باتوجه به افزایش میزان تماس تصویری و محبوبیت بسیار اسکایپ در میان کاربران ایرانی، توصیه می‌شود تا هرچه سریع‌تر نسبت به دریافت آخرین نسخه از این نرم‌افزار اقدام کنند.

تحلیل فنی باج‌افزار Ghost

مشاهده و رصد فضای سایبری در زمینه باج افزار، از شروع فعالیت نمونه‌ جدیدی به نام Ghost خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اواسط ماه نوامبر سال 2018 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. طبق بررسی‌های صورت گرفته بر روی فایل باج‌افزار Ghost، به نظر می‌رسد فایل‌های مختلفی در آن تعبیه شده است که پس از اجرای باج‌افزار، این فایل‌ها در یک پوشه به نام Ghost، واقع در دایرکتوری Roaming ایجاد می‌شوند و سپس فرایند مربوط به فایل اصلی خاتمه پیدا می‌کند و یک سرویس جدید تحت عنوان GhostService جهت ادامه‌ی فعالیت باج‌افزار، ایجاد می‌شود

دانلود پیوست 

تحلیل فنی باج‌افزار Mega Cryptorr

مشاهده و رصد فضای سایبری در زمینه  باج افزار، از شروع فعالیت نمونه‌ جدیدی از خانواده‌ی InsaneCrypt به نام Mega Cryptorr خبر می‌دهد که پس از رمزگذاری فایل‌ها، به انتهای آن‌ها پسوند .bip را اضافه می‌کند. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 29 نوامبر سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد.

دانلود پیوست 

تحلیل فنی باج‌افزار Outsider

رصد فضای سایبری در حوزه باج افزار، از ظهور باج‌افزار Outsider خبر می دهد. فعالیت این باج‌‍‌افزار نخستین بار در تاریخ 8 دسامبر 2018 میلادی گزارش شده است. براساس نتایج بدست آمده از تحلیل‌ها، سیستم‌هایی که زبان صفحه کلید روسی، بلاروسی یا تاتاری فعال دارند، از رمزگذاری توسط این باج‌افزار در امان هستند

دانلود پیوست 

تحلیل فنی باج‌افزار Delphimorix

رصد فضای سایبری در حوزه باج افزار، از ظهور باج‌افزار Delphimorix خبر می دهد. بر اساس گزارش وبسایت Id-ransomware.blogspot.ru این باج‌افزار با استفاده از کد باج‌افزار InducVirus توسعه یافته است و نخستین بار در تاریخ 21نوامبر 2018 میلادی مشاهده شده است. به فاصله دو روز بعد از این تاریخ، دوبار به روز رسانی شده است و تحلیل پیش رو مربوط به به‌روزرسانی در تاریخ 23نوامبر می‌باشد

دانلود پیوست 

تحلیل فنی باج‌افزار win_defender_patch

مشاهده و رصد فضای سایبری در زمینه باج افزار، از شروع فعالیت نمونه‌ جدیدی به نام win_defender_patch خبر می‌دهد. بررسی ها نشان می دهد فعالیت این باج افزار در نیمه‌ی دوم ماه دسامبر سال 2018 میلادی شروع شده است. این باج‌افزار از الگوریتم رمزنگاری DES برای رمزگذاری فایل‌ها استفاده می‌کند و تنها فایل‌های موجود در دایرکتوری‌هایی خاص را که در ادامه به آن‌ها اشاره خواهیم نمود، رمزگذاری می‌کند

دانلود پیوست 

تحلیل فنی باج‌افزار SaveFiles

مشاهده و رصد فضای سایبری در زمینه باج افزار، از شروع فعالیت نمونه‌ی جدیدی از خانواده‌ی STOP به نام SaveFiles خبر می‌دهد. که پس از رمزگذاری فایل‌ها، پسوند آن‌ها را به.SAVEfiles تغییر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در تاریخ 10 سپتامبر سال 2018 میلادی شروع شده و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد.

دانلود پیوست 

فریزشدن رایانه‌های ویندوزی ناشی از نقص جدید مرورگر Chrome

اشکال جدیدی در مرورگر Google Chrome کشف و گزارش شده است که می‌تواند به‌طور بالقوه دستگاه‌های ویندوز 10 را به‌طور کامل فریز سازد. این نقص با معرفی خود به عنوان پشتیبان فنی قلابی، سبب فریزشدن کامل Windows 10 می‌شود و سپس به کاربر می‌گوید دستگاهش آلوده به ویروس شده است.
این نقص جدید بااستفاده از یک کد جاوا اسکریپت و ایجاد حلقه، مانع از بستن سربرگ یا مرورگر می‌شود. همچنین یک پنجره‌ی pop-up نمایش داده می‌شود که ادعا می‌کند از سوی وب‌سایت رسمی پشتیبانی مایکروسافت است و رایانه آلوده به ویروسی شده است که می‌تواند گذرواژه‌ها، تاریخچه‌ی مرورگر، اطلاعات کارت اعتباری و سایر داده‌ها را به مخاطره بیندازد. از آنجایی که این یک حلقه است، هر بار که کاربر تلاش می‌کند این pop-up را ببندد، تقریباً بلافاصله دوباره باز می‌شود و این امر منجر به استفاده‌ی 100% از منابع خواهد شد و در نهایت رایانه را ناگهان فریز خواهد کرد.
این مشکل، مسئله‌ی جدیدی در مرورگر کروم نیست و این نوع گروگان‌گیری اینترنتی، یکی از رایج‌ترین کلاهبرداری‌های اینترنتی است؛ اما با اجرای گام‌های زیر به راحتی می‌توان این مشکل رایانه را رفع کرد:
• بازکردن Task Manager از نوار وظیفه
• رفتن به سربرگ Processes
• کلیک‌کردن بر روی Google Chrome (یا GoogleChrome.exe)
• کلیک‌کردن بر روی دکمه‌ی End Task در گوشه‌ی پایین سمت راست
همچنین باید مطمئن شد که Google Chrome به گونه‌ای تنظیم نشده است که دفعه بعد که این مرورگر باز می‌شود، سربرگ‌های قدیمی دوباره بازگردند. برای این کار بهتر است تاریخچه‌‌ی کوکی از مرورگر پاک شود.
یک راه‌حل خوب برای مقابله با گروگان‌گیری‌های اینترنتی این است که کاربر پیش از اجازه‌ی دسترسی به اطلاعات و پرداخت هرگونه وجهی برای رفع مشکل دستگاه، از واقعی‌بودن اطلاعات و پیشینه‌ی آن‌ها مطمئن شود. این اولین گروگان‌گیری اینترنتی نیست که Google Chrome را هدف قرار داده است. طبق گزارشی، در اوایل سال جاری، حمله‌ی Download Bomb مرورگرهای بزرگ را هدف قرار داده بود و تنها مرورگر Microsoft Edge در برابر این حمله ایمن بود.
در پایان باید به این نکته توجه داشته باشد که شرکتهای بزرگی همچون مایکروسافت معمولاً برای رفع نقص از کاربران خود درخواست پول نمی‌کنند، مگر اینکه دستگاه را به‌طور کامل بررسی و مشکل را شناسایی کرده باشند.

هک پسورد ادمین ویندوز از طریق CMD

باز هم CMD و باز هم قابلیت های این ابزار دوست داشتنی و پرکاربرد و این بار هک کردن پسورد ادمین ویندوز های Windows XP ، Windows 7 ، Windows 8 . خیلی پیش می آید کاربری پسورد ورود به ویندوز خود را فراموش میکند تلکیف چیست؟ آیا نصب مجدد ویندوز درست است؟ حتماً کار اشتباهی است و شاید آخرین راه تعویض ویندوز باشد هر گاه شما میخواهید پسورد ویندوز را از بین ببرید یا Reset کنید میتوانید ازابزار Hirens’ Boot CD سی دی Bootable با ابزارهای کاربردی استفاده کنید که البته قبلاً آموزش این کار را در انجمن توضیح داده ام 

• ریست کردن پسورد های ویندوز توسط Hirens Boot CD

خب اگر Hirens’ Boot CD را نداشتیم این مطلب میتواند برای شما مفید باشد که با CMD اقدام به حذف پسورد ویندوز کنید ، ابتدا CD ویندوز را داخل CD Rom قرار داده سپس با CD سیستم را بوت کنید همانگونه که همیشه ویندوز را نصب میکنیم تصویر زیر که نمایان شد با کلید های کنترلی Shift+F10 پنجره CMD باز میشود. 

پس از باز کردن CMD چند مرحله را که در زیر توضیح خواهم داد را انجام میدهیم من تمامی این مراحل را در یک تصویر نشان داده ام. 

1. توسط دستور :C و سپس Enter به root درایو C میرویم البته اگر ویندوز شما در درایو دیگری نصب شده است باید آدرس همان درایو را بدهیم
2. توسط دستور dir محتویات آدرس مورد نظر(درایو C) را میتوانیم ببینیم ، پس از این دستور فولدر هایی که داخل درایو C هستند از قبیل windows , Programs file نمایشد داده میشود
3. پس از اینکه فهمیدیم آدرس را درست امده ایم با دستور cd windows وارد پوشه ویندوز میشویم.
4. داخل پوشه ویندوز فولدری قرار دارد به نام system32 توسط دستور cd system32 وارد آن فولدر میشویم
5. توسط دستور rename اقدام به تغییر نام فایلی به نام sethc.exe میکنیم (به هر نامی دلخواه میتوان تغییر نام داد)
6. توسط دستور rename اقدام به تغییر نام CMD میکنیم (نه به هر نام دلخواه ، بلکه فقط به نام sethc.exe باید تغییر نام پیدا کند)
7. این دستور نیز محیط محبوب CMD را ترک میکند.

خب دستورات فوق را یکی یکی اجرا کرده سپس سیستم را ریست کرده تا هنگامی که ویندوز از شما پسورد بخواهد یعنی پنجره Login ویندوز سپس مجدداً توسط کلید های کنترلی Shift+F10 پنجره CMD را باز کنید . 

حالا نوبت تغییر پسورد هست توسط دستور net user میتوانیم یوزر های مختلف را Active کنیم یا غیر فعالشان کنیم یا پسورد هایشان را تغییر دهیم ، اگر از این دستور بدون هیچ سوئیچی استفاده کنیم لیستی از تمامی یوزر های این سیستم را به ما نمایش میدهد اگر یوزر مدیر شما یعنی Administrator غیر فعال است(به صورت پیشفرض در Xp فعال و پس از XP غیر فعال شد) میتوانید توسط دستور زیر که در تصویر مشاهده میکنید این یوزر را فعال کنید. 

حالا میتوانید توسط دستور زیر اقدام به تغییر پسورد یوزر مورد نظرتان کنید اگر از ستاره استفاده کنید موقع تایپ پسورد آن را نشان نمیدهد این زمانی به کار می آید که شخصی کنار شما ایستاده یا کاربری سیستم شما را مانیتور میکند البته میتوان به جای ستاره مستقیماً خود پسورد را وارد کرد تصاویر زیر گویای این موضو هست. 

net user administrator *
or
net user "itpro" 12345

خب برای بازگشت تغییراتی که داده ایم مجدد با CD ویندوز بوت کرده و مانند قبل دستوراتی را در cmd وارد میکنیم یعنی rename هایی که قبلاً انجام دادیم را مجدداً به حالت قبل باز میگردانیم.