بلاگ / بایگانی نویسنده «رضا فتاح»
به‌روزرسانی اضطراری مایکروسافت برای ترمیم آسیب‌پذیری PrintNightmare

شرکت مایکروسافت (Microsoft Corp) اقدام به انتشار به‌روزرسانی اضطراری برای ترمیم‌آسیب‌پذیری جدید CVE-۲۰۲۱-۳۴۵۲۷، معروف به PrintNightmare کرده است. بر اساس گزارش‌های منتشر شده،  این آسیب‌پذیری  از مدتی پیش مورد سوءاستفاده مهاجمان قرار گرفته است.CVE-۲۰۲۱-۳۴۵۲۷ از وجود ضعفی در بخش Print Spooler سیستم عامل Windows ناشی می‌شود و بهره‌جویی از آن، مهاجم را قادر به اجرای کد از راه دور با سطح دسترسی SYSTEM می‌کند.به‌روزرسانی منتشر شده به تفکیک سیستم عامل در جدول زیر قابل دسترس است. عنوان سیستم عامل لینک اصلاحیه Windows Server ۲۰۱۲ R۲ (Server Core installation) https://support.microsoft.com/help/۵۰۰۴۹۵۴   https://support.microsoft.com/help/۵۰۰۴۹۵۸   Windows Server ۲۰۱۲ R۲ https://support.microsoft.com/help/۵۰۰۴۹۵۴   https://support.microsoft.com/help/۵۰۰۴۹۵۸   Windows Server ۲۰۱۲ (Server Core …

ادامه مطلب
امکان تصاحب دامین سرور با اکسپلویت آسیب‌پذیری روز – صفر از Windows PrintNightmare

مایکروسافت، PrintNightmare را به‌عنوان یک آسیب‌پذیری روز – صفر تأیید کرد که قبل از به‌روزرسانی‌های امنیتی ژوئن ۲۰۲۱ ، بر کلیه نسخه‌های ویندوز تأثیر گذاشته است.به گزارش مرکز مدیریت راهبردی افتا، جزئیات فنی و PoC، که به بیرون درز کرده مربوط به  یک آسیب‌پذیری برطرف نشده در ویندوز است که اجازه اجرای کد از راه دور را می‌دهد .علی‌رغم نیاز به احراز هویت، شدت این باگ بسیار حیاتی است. زیرا مهاجمان می‌تواننداز این باگ جهت تصاحب یک دامین سرور ویندوز استفاده کنند تا  به راحتی  بدافزار را در شبکه یک شرکت مستقر کنند.این مسئله Windows Print Spooler را تحت تأثیر قرار می‌دهد و به دلیل …

ادامه مطلب
راهکارهای موقت مایکروسافت برای آسیب‌پذیری روز - صفر PrintNightmare

شرکت مایکروسافت (Microsoft Corp) با انتشار توصیه‌نامه‌ای، راهکارهایی برای مقاوم‌سازی موقت یک آسیب‌پذیری روز – صفر ارائه کرده است. نکته قابل‌توجه این است که مایکروسافت سوءاستفاده قرارگرفتن این آسیب‌پذیری را توسط مهاجمان تأیید کرده است.به گزارش مرکز مدیریت راهبردی افتا، آسیب‌پذیری مذکور با شناسه CVE-۲۰۲۱-۳۴۵۲۷ که تمامی نسخ سیستم عامل Windows را متأثر می‌کند، به PrintNightmare معروف شده است.این آسیب‌پذیری از وجود ضعفی در بخش Print Spooler سیستم‌عامل Windows ناشی می‌شود و بهره‌جویی از آن، مهاجم را قادر به اجرای کد از راه دور با سطح دسترسی SYSTEM می‌کند.این آسیب‌پذیری از جهاتی مشابه با CVE-۲۰۲۱-۱۶۷۵ است که در تاریخ ۱۸ خرداد به همراه مجموعه اصلاحیه‌های …

ادامه مطلب
لزوم غیرفعال کردن Windows Print Spooler بلااستفاده

هشدار به متخصصان و راهبران سیستم، Windows Print Spooler را روی سرورهایی که برای چاپ استفاده نمی‌شوند غیرفعال کنیدبه گزارش مرکز مدیریت راهبردی افتا، آژانس امنیت سایبری و زیرساخت (CISA) در مورد آسیب‌پذیری روز – صفر  PrintNightmare در اطلاعیه‌ای به مدیران توصیه می‌کند که سرویس Windows Print Spooler را روی سرورهایی که برای چاپ استفاده نمی‌شوند غیرفعال کنند.مدیران فناوری اطلاعات، ضروری است سرویس Spooler Windows Print را در دامین کنترلرها و سیستم‌هایی غیرفعال کنند که برای چاپ استفاده نمی‌شوند. علاوه بر این، مدیران باید روش‌های زیر را از راهنمای مایکروسافت که در ۱۱ ژانویه ۲۰۲۱ منتشر شده استفاده کنند. (لینک زیر) https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler طبق توصیه‌های مایکروسافت، سرویس …

ادامه مطلب
Vmware ESXi، هدف جدید باج‌افزار REvil

برخی منابع خبر داده‌اند گردانندگان باج‌افزار REvil با بکارگیری یک رمزگذار تحت Linux در حال آلوده‌سازی بسترهای مجازی Vmware ESXi و رمزگذاری ماشین‌های مجازی آنها هستند.به گزارش مرکز مدیریت راهبردی افتا، این در حالی است که سازمان‌ها به دلایلی همچون تسهیل و تسریع فرآیند تهیه نسخه پشتیبان، سادگی نگهداری و بهینه‌تر شدن استفاده از منابع سخت‌افزاری بیش از هر زمانی به بسترهای مجازی روی آورده‌اند.حدود یک ماه قبل نیز گردانندگان REvil در یک تالار گفتگوی اینترنتی انتشار نسخه تحت Linux این باج‌افزار، با توانایی اجرا بر روی دستگاه‌های NAS را تأیید کرده بودند.نسخه Linux این باج‌افزار فایلی که در قالب ELF۶۴ است و شامل تنظیماتی مشابه …

ادامه مطلب
سوءاستفاده مهاجمان از آسیب‌پذیری Cisco ASA

در پی انتشار عمومی PoC (نمونه کد بهره‌جو) CVE-۲۰۲۰-۳۵۸۰، برخی منابع از سوءاستفاده مهاجمان از این آسیب‌پذیری خبر داده‌اند.CVE-۲۰۲۰-۳۵۸۰ ضعفی از نوع Cross-site Scripting  به‌اختصار XSS  است که محصولات Cisco ASA از آن تأثیر می‌پذیرند.به گزارش مرکز مدیریت راهبردی افتا، سیسکو (Cisco Systems, Inc) در آبان سال گذشته، اصلاحیه‌ای را برای این آسیب‌پذیری منتشر کرد، اما بررسی‌های بعدی نشان داد که اصلاحیه مذکور دارای نواقصی است که در نسخه دیگری که در اردیبهشت امسال عرضه شد به طور کامل برطرف شد.نکته قابل‌ توجه اینکه از ۳ تیر PoC آسیب‌پذیری CVE-۲۰۲۰-۳۵۸۰ در دسترس عموم قرار گرفته است.سوءاستفاده از این آسیب‌پذیری از طریق روش‌هایی همچون ایمیل‌های فیشینگ …

ادامه مطلب
کشف چندین آسیب‌پذیری در سوئیچ‌های سیسکو

یک محقق امنیتی چندین آسیب‌پذیری را در سوئیچ‌های هوشمند سری Cisco’s Small Business ۲۲۰ Cisco شناسایی کرده است که شدت آن‌ها سطح بالا ارزیابی شده‌اند. این آسیب‌پذیری‌ها نسخه‌های قبل از ۱,۲.۰.۶ که رابط مدیریت وب را فعال می‌کنند، تأثیر می‌گذارد. رابط کاربری به طور پیش‌فرض فعال است.به گزارش مرکز مدیریت راهبردی افتا، چهار نوع حفره امنیتی در سوئیچ‌های سیسکو پیدا شده است.یکی از آنها که با شناسه CVE-۲۰۲۱-۱۵۴۲ شناسایی شده و دارای درجه شدت بالا است، می‌تواند توسط یک مهاجم راه دور و غیرمجاز مورد سوءاستفاده قرار گیرد تا نشست یک کاربر را سرقت و به رابط وب سوئیچ دسترسی پیدا کند. بسته به دسترسی‌های …

ادامه مطلب
نگاهی نزدیک به حملات باج‌افزاری

روی‌آوردن به سرویس‌های RaaS تغییراتی اساسی در روش کار باج‌افزارها ایجاد کرده است.به گزارش مرکز مدیریت راهبردی افتا،  Ransomware-as-a-Service (به‌اختصار RaaS) از انواع باج‌افزارهایی هست که صاحب آن فایل مخرب را به‌عنوان یک سرویس به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را برعهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به نویسنده و بخشی دیگر به متقاضی می‌رسد.بدین ترتیب از یک سو برنامه‌نویسان آن باج‌افزارها بر روی توسعه امکانات تمرکز می‌کنند و از سویی دیگر وظیفه انتشار به گروه‌هایی با تجربه، متخصص و مجهز به منابع لازم را دارند.REvil که با نام …

ادامه مطلب
اکثر توزیع‌های Linux، تحت تأثیر آسیب‌پذیری polkit

محققان از شناسایی ضعفی در polkit خبر داده‌اند که سوءاستفاده از آن، مهاجم با دسترسی محدود را قادر به دستیابی به سطح دسترسی root می‌کند.به گزارش مرکز مدیریت راهبردی افتا، سرویس اصالت‌سنجی polkit به‌صورت پیش‌فرض بر روی بسیاری از توزیع‌های اخیر Linux نصب شده است.باگ مذکور با شناسه CVE-۲۰۲۱-۳۵۶۰ در دسته آسیب‌پذیری‌های Local Privilege Escalation قرار می‌گیرد. وصله این آسیب‌پذیری که اکنون جزئیات آن به‌صورت عمومی منتشر شده،  از ۱۳ خرداد در دسترس قرار گرفته است.گفته می‌شود تمامی نسخ polkit که در ۷ سال اخیر (از نسخه ۰,۱۱۳) منتشر شده‌اند به CVE-۲۰۲۱-۳۵۶۰ آسیب‌پذیر هستند. اگرچه بسیاری از توزیع‌های Linux اخیراً فاقد نسخ آسیب‌پذیر polkit بوده‌اند اما درهرصورت هر …

ادامه مطلب
دیپلمات‌ها، هدف مهاجمان سایبری ش

شرکت ای‌ست (ESET) در گزارشی به بررسی بدافزار یک گروه APT پرداخته که به گفته این شرکت حداقل از سال ۲۰۱۷ دیپلمات‌ها را در نقاط مختلف جهان از جمله کشورهایی در آفریقا و خاورمیانه هدف قرارداده است.به گزارش مرکز مدیریت راهبردی افتا: این گروه که از آن با عنوان BackdoorDiplomacy یاد شده، از بدافزاری سفارشی با نام Turian برای آلوده‌سازی اهداف خود بهره گرفته است. به نظر می‌رسد اصلی‌ترین روش نفوذ اولیه BackdoorDiplomacy، در هر دو بستر Windows و Linux، سوءاستفاده از آسیب‌پذیری سرویس‌های قابل‌دسترس بر روی اینترنت است. چنانچه سرورهای وب یا واسط‌های مدیریت شبکه قربانی به دلیل وجود ضعف نرم‌افزاری یا عدم مقاوم‌سازی صحیح، …

ادامه مطلب