بلاگ / بایگانی ماه «شهریور 1400»

LockFile باج‌افزار جدیدی است که به دنبال کشف آسیب‌پذیری‌های ProxyShell سرورهای Microsoft Exchange، در تیرماه منتشر شد. باج‌افزار LockFile از آسیب‌پذیری‌های ProxyShell برای نفوذ به اهداف بدون وصله در سرورهای Microsoft Exchange استفاده می‌کند و سپس حمله PetitPotam NTLM برای در اختیار گرفتن کنترل دامنه انجام می‌شود.مرکز مدیریت راهبردی افتا با همکاری شرکت مهندسی شبکه گستر، در گزارشی به بررسی و تحلیل باج‌افزار LockFile در سطوح مختلف پرداخته است.  فایل pdf این گزارش از اینجا قابل دانلود است.

ادامه مطلب
افشای آسیب‌پذیری دیگری در Exchange

به تازگی جزئیات فنی آسیب‌پذیری خطرناکی در Exchange  با نام ProxyToken منتشر شده است که سوءاستفاده از آن، دستیابی به ایمیل‌های حساب کاربری سازمان را بدون احراز هویت امکان‌پذیر می‌سازد.به گزارش مرکز مدیریت راهبردی افتا، مهاجم می‌تواند با ارسال درخواستی به سرویس‌های وب موجود از طریق Exchange Control Panel  به‌اختصار ECP اقدام به سوء‌استفاده از این آسیب‌پذیری کرده و پیام‌های موجود در صندوق دریافتی (Inbox) کاربران را سرقت کند.ProxyToken که با شناسه CVE-۲۰۲۱-۳۳۷۶۶ شناخته می‌شود، بدون احراز هویت، امکان دسترسی به تنظیمات پیکربندی صندوق‌های پستی کاربران را برای مهاجم فراهم می‌کند. جایی که می‌تواند قواعد Email Forwarding را نیز تعریف کند و در جریان آن …

ادامه مطلب
نشانه‌های آلودگی (IoC) باج‌افزار Hive

خلاصه    باج افزار Hive برای اولین بار در ژوئن ۲۰۲۱ مشاهده شد که انواع مختلفی از تاکتیک ها، تکنیک ها و روش ها (TTPs) را به کار می گیرد و چالش های مهمی را برای دفاع و کاهش ایجاد می کند. باج افزار Hive از مکانیسم های متعددی برای به خطر انداختن شبکه های تجاری استفاده می کند، از جمله ایمیل های فیشینگ با پیوست های مخرب برای دسترسی و Remote Desktop Protocol (RDP) برای حرکت در شبکه.به گزارش مرکز مدیریت راهبردی افتا، پس از به خطر انداختن شبکه قربانی، مهاجمان باج افزار Hive داده ها را استخراج و فایل های موجود در شبکه را …

ادامه مطلب
به‌روزرسانی‌ها و اصلاحیه‌های مرداد ۱۴۰۰

به گزارش مرکز مدیریت راهبردی افتا، در مرداد ۱۴۰۰، مایکروسافت، سیسکو، مک‌آفی، وی‌ام‌ور، سیتریکس، اس‌آپ و دروپال اقدام به عرضه به‌روزرسانی و توصیه‌نامه امنیتی برای برخی محصولات خود کردند. مـایـکـروسـافـت۱۹ مرداد، شرکت مایکروسافت (Microsoft Corp)، مجموعه اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی آگوست منتشر کرد. اصلاحیه‌های مذکور در مجموع ۴۴ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت را ترمیم می‌کنند که ۳ مورد از نوع “روز – صفر” می‌باشد. از مجموع ۴۴ آسیب‌پذیری ترمیم شده مایکروسافت، درجه اهمیت ۷ مورد “حیاتی” (Critical) و ۳۷ مورد “مهم” (Important) اعلام شده است.۱۷ مورد از آسیب‌پذیری‌های ترمیم شده از نوع “افزایش سطح دسترسی” (Elevation …

ادامه مطلب
سرورهای آسیب‌پذیر Exchange هدف باج‌افزار جدید LockFile

یک گروه باج‌افزاری جدید به نام LockFile، با سوءاستفاده از ضعف‌های امنیتی ProxyShell،  به سرورهای آسیب‌پذیر Exchange و رمزگذاری دستگاه‌های Windows در سطح دامنه اقدام می‌کنند.به گزارش مرکز مدیریت راهبردی افتا، سوءاستفاده از این آسیب‌پذیری‌ها، مهاجم را قادر به اجرای کد از راه دور، بدون نیاز به هرگونه اصالت‌سنجی بر روی سرورهای Exchange می‌کند.جزئیات این سه آسیب‌پذیری توسط یک محقق امنیتی در جریان مسابقات هک  Pwn۲Own در آوریل ۲۰۲۱ افشا شد.ProxyShell عنوانی است که به مجموعه سه آسیب‌پذیری زیر اطلاق می‌شود:     CVE-۲۰۲۱-۳۴۴۷۳ که ضعفی از نوع “اجرای کد از راه دور” (Remote Code Execution – به‌اختصار RCE) است و در ۲۲ تیر ۱۴۰۰ توسط مایکروسافت …

ادامه مطلب