بلاگ / بایگانی نویسنده «رضا فتاح»
اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی سپتامبر

سه‌شنبه ۲۳ شهریور، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی سپتامبر منتشر کرد. اصلاحیه‌های مذکور بیش از ۶۰ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند. درجه اهمیت ۳ مورد از آسیب‌پذیری‌های ترمیم شده این ماه “حیاتی” (Critical) و تقریباً تمامی موارد دیگر “مهم” (Important) اعلام شده است.این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را به شرح زیر در محصولات مختلف مایکروسافت ترمیم می‌کنند:“افزایش سطح دسترسی” (Elevation of Privilege)“عبور از سد امکانات امنیتی” (Security Feature Bypass)“اجرای کد از راه دور” (Remote Code Execution)“افشای اطلاعات” (Information Disclosure)“منع سرویس” (Denial of Service – به‌اختصار DoS)“جعل” (Spoofing)۲ مورد از آسیب‌پذیری‌های …

ادامه مطلب
شناسایی بات نت جدید Meris

Meris  بات نت جدیدی است که حملات DDoS  را پیاده‌سازی می‌کند. این بات نت بزرگترین حمله DDoS در روسیه را رقم زد که توسط شرکت آمریکایی Cloudflare تایید شده است. این حمله که موتور جستجوی روسی Yandex را در ۵ سپتامبر ۲۰۲۱ مورد هدف قرار داد با تعداد درخواست حدود ۲۲ میلیون درخواست در ثانیه (RPS) رکورد زد. به گزارش مرکز مدیریت راهبردی افتا، بر اساس تحقیقات انجام شده توسط Yandex و آزمایشگاه Qrator، بات نت Meris از بیش از ۲۰۰هزار دستگاه قوی متصل به شبکه های اترنت تشکیل شده است. Meris به دلیل قدرت RPS عظیمی که به همراه دارد تقریبا  کل زیر ساخت ها را …

ادامه مطلب
افشای رمزهای عبور تجهیزات فورتی نت

یک مهاجم فهرستی از ۵۰۰ هزار نام کاربری و رمز عبور VPN تجهیزات ساخت شرکت فورتی نت (Fortinet) را که ظاهراً تابستان گذشته از دستگاه‌های آسیب‌پذیر سرقت شده بود به‌صورت عمومی منتشر کرده است. به گزارش مرکز مدیریت راهبردی افتا، این مهاجم اعلام کرده که آسیب‌پذیری سوءاستفاده شده در تجهیزات ساخت شرکت فورتی نت بعداً وصله شده است. درعین‌حال مدعی است که بسیاری از اطلاعات (رمزهای عبور VPN) افشا شده همچنان معتبر هستند.این نشت یک رویداد جدی است؛ در اختیار داشتن رمز عبور VPN، دسترسی و نفوذ به یک شبکه، حذف اطلاعات، نصب بدافزار و اجرای حملات باج‌افزاری را برای مهاجمان فراهم می‌کند.این رمزهای عبور، ۱۶ …

ادامه مطلب
هشدار مایکروسافت در خصوص یک آسیب‌پذیری روز صفر

مایکروسافت (Microsoft Corp) در اطلاعیه‌ای که در تاریخ ۱۶ شهریور منتشر شده به حملاتی اشاره کرده که به‌واسطه سوءاستفاده از آسیب‌پذیری موجود در MSHTML بر سیستم‌عامل Windows تأثیر می‌گذارند. این ضعف امنیتی با شناسه CVE-۲۰۲۱-۴۰۴۴۴ از نوع “روز – صفر” و دارای درجه اهمیت “مهم” (Important) است. به گزارش مرکز مدیریت راهبردی افتا، MSHTML که با نام Trident نیز شناخته می‌شود، یک مؤلفه نرم‌افزاری است که توسط مایکروسافت برای برنامه‌های بی‌شماری در Windows از جمله مرورگرها (Browser) توسعه‌یافته است.Trident در ابتدا با انتشار Internet Explorer ۴ در سال ۱۹۹۷ استفاده و برای بهبود انطباق با استانداردهای وب و اضافه‌کردن پشتیبانی از فناوری‌های جدید در نسخه‌های بعدی مرورگر، تغییرات …

ادامه مطلب
سوءاستفاده باج‌افزار Conti از ProxyShell

بررسی‌ها نشان می‌دهد، گردانندگان Conti با سوء‌استفاده از آسیب‌پذیری‌های ProxyShell در سرورهای Exchange در حال نفوذ به شبکه قربانیان خود هستند.به گزارش مرکز مدیریت راهبردی افتا، ProxyShell به مجموعه سه آسیب‌پذیری زیر اطلاق می‌شود:     CVE-۲۰۲۱-۳۴۴۷۳ که ضعفی از نوع Remote Code Execution است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.     CVE-۲۰۲۱-۳۴۵۲۳  که ضعفی از نوع Elevation of Privilege است. این آسیب‌پذیری نیز در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت وصله شد.     CVE-۲۰۲۱-۳۱۲۰۷ که ضعفی از نوع Security Feature Bypass است و در ۲۱ اردیبهشت ۱۴۰۰ توسط مایکروسافت وصله شد. جزئیات این سه آسیب‌پذیری توسط یک محقق امنیتی در جریان مسابقات هک Pwn۲Own در آوریل …

ادامه مطلب
افشای کدهای برنامه‌نویسی باج‌افزار Babuk

به‌تازگی، کدهای برنامه‌نویسی Source Code باج‌افزار Babuk در یک تالار گفتگوی اینترنتی متعلق به هکرهای روسی زبان در دسترس قرار گرفته است. Babuk Locker که با نام Babyk نیز شناخته می‌شود، از ابتدای سال ۲۰۲۱ آغاز به کار کرده و گردانندگان آن سازمان‌های فعال در حوزه‌های مختلف را به‌منظور سرقت و رمزگذاری داده‌ها مورد هدف قرار می‌دهند.به گزارش مرکز مدیریت راهبردی افتا، پس از حمله به اداره پلیس واشنگتن، این مهاجمان ادعا کردند که فعالیت خود را متوقف کرده‌اند. با این‌حال، چند تن از اعضا از گروه جدا شده و با راه‌اندازی نسخه جدیدی از Babuk (معروف به Babuk V۲)، همچنان به اجرای حملات باج‌افزاری ادامه …

ادامه مطلب
افشای اسرار حملات باج‌افزار Conti

تقریباً یک ماه پس از افشای سناریوی گروه باج‌افزاری Conti توسط یکی از اعضای جداشده و ناراضی این گروه، محققان امنیتی سیسکو (Cisco Systems, Inc) نسخه ترجمه شده‌ای از آن را به اشتراک گذاشته‌اند. به گزارش مرکز مدیریت راهبردی افتا، در این سناریوی، ضمن پرداختن به روش‌های حمله، دستورالعمل‌های دقیق و مبسوطی ارائه شده که حتی به مهاجمان مبتدی اجازه می‌دهند تا به‌عنوان مشترک Conti RaaS اهداف ارزشمندی را مورد حمله قرار دهند.محققان امنیتی سیسکو با همکاری تعدادی زبان‌شناس، به بررسی مطالب نشت شده پرداخته که منجر به توصیف تکنیک‌ها و ابزارهای مهاجمان به طور دقیق شد.به نقل از محققان امنیتی، سناریوهای حمله توصیف شده …

ادامه مطلب
بدافزارهای قابل‌اجرا در GPU؛ تهدیدی جدید علیه کاربران

بررسی‌ها از گرایش احتمالی مهاجمان سایبری در به‌کارگیری بدافزارهای قابل‌اجرا بر روی “واحد پردازش گرافیکی” (Graphic Processing Unit – به‌اختصار GPU) حکایت دارد. بااین‌حال این روش جدید نبوده و امکان‌پذیر بودن آن قبلاً نیز در مقالات آکادمیک مطرح شده بود.به گزارش مرکز مدیریت راهبردی افتا، در ۱۷ مرداد، نمونه اثبات‌گر (Proof-of-Concept – به‌اختصار PoC) این نوع از بدافزارها در یک تالار گفتگوی هکرها برای فروش قرار داده شد که به طور ضمنی گرایش مجرمان سایبری به سطح جدید و پیشرفته‌ای از حملات را نشان می‌‌دهد.در یک پست کوتاه در تالار گفتگوی مذکور، شخصی پیشنهاد فروش PoC را برای تکنیکی می‌دهد که در آن ادعا می‌شود …

ادامه مطلب

LockFile باج‌افزار جدیدی است که به دنبال کشف آسیب‌پذیری‌های ProxyShell سرورهای Microsoft Exchange، در تیرماه منتشر شد. باج‌افزار LockFile از آسیب‌پذیری‌های ProxyShell برای نفوذ به اهداف بدون وصله در سرورهای Microsoft Exchange استفاده می‌کند و سپس حمله PetitPotam NTLM برای در اختیار گرفتن کنترل دامنه انجام می‌شود.مرکز مدیریت راهبردی افتا با همکاری شرکت مهندسی شبکه گستر، در گزارشی به بررسی و تحلیل باج‌افزار LockFile در سطوح مختلف پرداخته است.  فایل pdf این گزارش از اینجا قابل دانلود است.

ادامه مطلب
افشای آسیب‌پذیری دیگری در Exchange

به تازگی جزئیات فنی آسیب‌پذیری خطرناکی در Exchange  با نام ProxyToken منتشر شده است که سوءاستفاده از آن، دستیابی به ایمیل‌های حساب کاربری سازمان را بدون احراز هویت امکان‌پذیر می‌سازد.به گزارش مرکز مدیریت راهبردی افتا، مهاجم می‌تواند با ارسال درخواستی به سرویس‌های وب موجود از طریق Exchange Control Panel  به‌اختصار ECP اقدام به سوء‌استفاده از این آسیب‌پذیری کرده و پیام‌های موجود در صندوق دریافتی (Inbox) کاربران را سرقت کند.ProxyToken که با شناسه CVE-۲۰۲۱-۳۳۷۶۶ شناخته می‌شود، بدون احراز هویت، امکان دسترسی به تنظیمات پیکربندی صندوق‌های پستی کاربران را برای مهاجم فراهم می‌کند. جایی که می‌تواند قواعد Email Forwarding را نیز تعریف کند و در جریان آن …

ادامه مطلب