بلاگ / بایگانی نویسنده «رضا فتاح»
مراحل اصلاح آسیب پذیری سرور Microsoft Exchange

در تاریخ ۲ مارس ، چهار آسیب پذیری حیاتی Microsoft Exchange Server روز- صفر CVE-۲۰۲۱-۲۶۸۵۵ ، CVE-۲۰۲۱-۲۶۸۵۷ ، CVE-۲۰۲۱-۲۶۸۵۸ و CVE-۲۰۲۱-۲۷۰۶۵ منتشر شد.این آسیب پذیری ها به مهاجمان اجازه می دهد تا به سرورهای Exchange دسترسی پیدا کنند و به طور بالقوه به مدت طولانی به قربانیان دسترسی پیدا می کنند. در حالی که (MSTIC)  کمپین اولیه را با اطمینان بالا به HAFNIUM نسبت می دهد، گروهی که آنها ارزیابی می کنند تحت حمایت دولت و خارج از چین فعالیت و چندین تیم اطلاعاتی تهدید، از جمله MSTIC و واحد ۴۲ ، نیز تهدیدهای متعددی را مشاهده می کنند. مهاجمان اکنون از این آسیب پذیری …

ادامه مطلب
اصلاحیه‌های امنیتی مایکروسافت برای ماه میلادی مارس

شرکت مایکروسافت (Microsoft Corp)، در روز سه‌شنبه، ۱۹ اسفند، مجموعه‌اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی مارس، منتشر کرد.اصلاحیه‌های مذکور در مجموع ۸۲ آسیب‌پذیری را در Windows و محصولات و اجزای نرم‌افزاری زیر ترمیم می‌کنند: به گزارش مرکز مدیریت راهبردی افتا٬ درجه اهمیت ۱۰ مورد از این آسیب‌پذیری‌ها “حیاتی” (Critical) و ۷۲ مورد “مهم” (Important) اعلام شده است.دو مورد از آسیب‌پذیری‌های ترمیم شده توسط این اصلاحیه‌ها، روز-صفر (Zero-day) بوده و جزییات آنها پیش‌تر به‌صورت عمومی منتشر شده بود. فهرست این آسیب‌پذیری‌های روز-صفر به شرح زیر است:     CVE-۲۰۲۱-۲۶۴۱۱ که ضعفی از نوع Memory Corruption در مرورگر Internet Explorer است. هدایت کاربر به یک صفحه حاوی …

ادامه مطلب
دستگاه‌های QNAP، باز هم هدف حملات سایبری

به گزارش مرکز مدیریت راهبردی افتا بر اساس گزارشی که شرکت چیهو ۳۶۰ آن را منتشر کرده دستگاه‌های NAS ساخت QNAP هدف حملات موسوم به Cryptojacking قرار گرفته‌اند. در جریان این حملات، مهاجمان بدافزاری را بر روی دستگاه هک‌شده اجرا می‌کنند که امکان استخراج ارز رمز را با استفاده از منابع دستگاه برای آنها فراهم می‌کند.چیهو ۳۶۰، بدافزار استفاده شده در این حملات را UnityMiner نامگذاری کرده است.به گفته چیهو ۳۶۰ در حملات مذکور از دو آسیب‌پذیری RCE (اجرای فرمان به‌صورت از راه دور) به شناسه‌های CVE-۲۰۲۰-۲۵۰۶ و CVE-۲۰۲۰-۲۵۰۷ برای هک دستگاه QNAP بهره گرفته می‌شود. این در حالی است که اصلاحیه این دو آسیب‌پذیری …

ادامه مطلب
ابزار MSERT مایکروسافت وب شل های حملات Exchange Server را پیدا می کند

مایکروسافت برای شناسایی وب شل های موجود حملات اخیر Exchange Server ، به روزرسانی جدیدی را برای ابزار Microsoft Safety Scanner (MSERT)  ارائه داده است.به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت bleepingcomputer، در تاریخ ۲ مارس، مایکروسافت فاش کرد که چهار آسیب پذیری Exchange Server  در حملات علیه سرورهای Outlook تحت وب (OWA) استفاده می شود. این آسیب پذیری ها شامل CVE-۲۰۲۱-۲۶۸۵۵ ،CVE-۲۰۲۱-۲۶۸۵۷ ،CVE-۲۰۲۱-۲۶۸۵۸ ،CVE-۲۰۲۱-۲۷۰۶۵ هستند.این آسیب پذیری ها که به عنوان “ProxyLogon” شناخته می شوند، توسط مهاجمان دولت چین برای سرقت صندوق های پستی، اعتبار نامه ها و استقرار وب شل برای دسترسی به شبکه داخلی مورد استفاده قرار می گیرند.ماکروسافت …

ادامه مطلب
باج‌افزاری جدید با رفتاری متفاوت

باج‌افزار جدیدی به نام ‘Hog’ فایل‌های دستگاه‌های کاربران را رمزگذاری می‌کند و تنها در صورت پیوستن به سرور Discord توسعه‌دهنده، آن‌ها را رمزگشایی می‌کند.به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت bleepingcomputer، محققان امنیتی یک رمزگشای در حال توسعه برای باج‌افزار Hog  پیدا کرده‌اند که قربانیان را مجبور می‌کند برای رمزگشایی فایل‌های خود به سرور Discord مهاجم متصل شوند.اگر مولفه رمزگذار باج‌افزار اجرا شود، بررسی می‌شود که آیا یک سرور Discord خاص وجود دارد یا خیر و در صورت وجود، به رمزگذاری فایل‌های قربانیان شروع خواهدشد.باج‌افزار هنگام رمزگذاری فایل‌های قربانیان، پسوند hog. را همانطور که در زیر نشان داده شده است ضمیمه می‌کند …

ادامه مطلب
آسیب‌پذیری برخی تجهیزات سوپرمایکرو به بدافزار TrickBoot

شرکت سوپرمایکرو (Super Micro Computer, Inc) با انتشار توصیه‌نامه‌ای، نسبت به آسیب‌پذیر بودن برخی مادربردهای خود به بدافزار TrickBoot هشدار دادند.به گزارش مرکز مدیریت راهبردی افتا به نقل از سایتpulsesecure، در اواسط آذر ماه، اعلام شد که نویسندگان TrickBot ماژول جدیدی به این بدافزار اضافه کرده‌اند که آن را قادر به تشخیص آسیب‌پذیر بودن ثابت‌افزار Unified Extensible Firmware Interface – به اختصار UEFI – و سوءاستفاده از آن می‌کند. این ماژول TrickBot به TrickBoot معروف شد.کدهای مخربی که در ثابت‌افزار (Firmware) ذخیره می‌شوند به بوت‌کیت (Bootkit) معروف هستند. این نوع بدافزارها با دسترسی به ثابت‌افزار UEFI، نه تنها در صورت تغییر سیستم عامل ماندگار می‌مانند که حتی جایگزینی …

ادامه مطلب
اصلاحیه‌های اضطراری مایکروسافت برای Exchange

شرکت مایکروسافت با انتشار به‌روزرسانی اضطراری و خارج از برنامه، چهار آسیب‌پذیری روز-صفر را در نسخ مختلف Microsoft Exchange ترمیم کرده است. به گفته مایکروسافت مهاجمان در حال اکسپلویت کردن این آسیب‌پذیری‌ها هستند و لذا اعمال فوری اصلاحیه‌ها توصیه اکید می‌شود.به گزارش مرکز مدیریت راهبردی افتا به نقل از مایکروسافت، سوءاستفاده از مجموعه آسیب‌پذیری‌های مذکور مهاجمان را قادر به در اختیار گرفتن کنترل سرور، سرقت ایمیل‌ها و توزیع بدافزارهای بیشتر  و گسترده کردن دامنه نفوذ در سطح شبکه می‌کند.لازمه اکسپلویت موفق، قابل دسترس بودن سرور بر روی پورت ۴۴۳ اعلام شده است. در صورت فراهم بودن دسترسی، امکان بهره‌جویی از آسیب‌پذیری‌های زیر فراهم می‌شود:CVE-۲۰۲۱-۲۶۸۵۵: ضعفی …

ادامه مطلب
پنهان‌نگاری؛ تکنیک جدید ObliqueRAT

بررسی محققان سیسکو نشان می‌دهد مهاجمان از تصاویر در ظاهر بی‌خطری که در سایت‌های هک‌شده تزریق شده‌اند در فرایند انتشار نسخ جدید ObliqueRAT بهره می‌گیرند.به گزارش مرکز مدیریت راهبردی افتا به نقل از سیسکو٬ بدافزارObliqueRAT از نوع Remote Access Trojan – به اختصار RAT – است که نخستین نسخه از آن یک سال قبل شناسایی شد.نسخ ابتدایی آن دارای عملکرد معمول بدافزارهای RAT نظیر سرقت داده‌ها و متوقف‌سازی برخی پروسه‌ها بودند. با گذشت زمان و استمرار در ظهور نسخ جدید، این بدافزار مجهز به قابلیت‌های فنی پیشرفته و توانایی انتشار با روش‌های مختلف شد. یکی از روش‌های انتشار ObliqueRAT ایمیل‌های فیشینگ ناقل اسناد Office است. در …

ادامه مطلب
بدافزارهایی با زبان Go

به گزارش مرکز مدیریت راهبردی افتا، بر اساس گزارشی که شرکت اینتزر (Intezer) آن را منتشر کرده تعداد بدافزارهایی که به زبان Go برنامه‌نویسی شده‌اند در فاصله سال‌های ۲۰۱۷ تا ۲۰۲۰ افزایشی ۲۰ برابری داشته است.این یافته‌ها مهاجرت ویروس‌نویسان از زبان‌های C و C++ به Go را که پیش‌تر از سوی برخی شرکت‌ها و محققان امنیتی مطرح شده بود تایید می‌کند. برای مثال، در اواسط سال ۲۰۱۹، شرکت پالو آلتو نت‌ورکز (Palo Alto Networks) در گزارش زیر از گسترش استفاده از Go توسط مهاجمان خبر داده بود: https://unit۴۲.paloaltonetworks.com/the-gopher-in-the-room-analysis-of-golang-malware-in-the-wild Go – که برخی از آن با عنوان Golang یاد می‌کنند – یک زبان برنامه‌نویسی است که …

ادامه مطلب
ترمیم یک آسیب‌پذیری بسیار خطرناک در VMware vCenter

شرکت VMware ضعفی حیاتی (Critical) از نوع RCE (اجرای کد به صورت از راه دور) را در vCenter Server برطرف کرده که سوءاستفاده از آن به‌طور بالقوه کنترل سامانه آسیب‌پذیر را در اختیار مهاجم قرار می‌دهد.به گزارش مرکز مدیریت راهبردی افتا به نقل از سایت vmware، به آسیب‌پذیری مذکور شناسه CVE-۲۰۲۱-۲۱۹۷۲ تخصیص داده شده است. سطح حساسیت آن نیز ۹,۸ از ۱۰ – بر طریق استاندارد CVSSv۳ – اعلام شده است.اکسپلویت CVE-۲۰۲۱-۲۱۹۷۲ به‌صورت از راه دور و بدون نیاز به اصالت‌سنجی، با پیچیدگی کم ممکن گزارش شده است.طبق توصیه‌نامه این شرکت، vSphere Client (HTML۵) شامل ضعفی در یک افزونه vCenter Server است. مهاجم با دسترسی شبکه‌ای به …

ادامه مطلب