بلاگ
این ضعف امنیتی Windows، شما را Admin می‌كند

یک محقق امنیتی کد بهره‌جویی (Exploit) برای یک آسیب‌پذیری Windows از نوع “ترفیع مجوز” (Privilege Elevation) تهیه و به‌صورت عمومی منتشر کرده است. به گزارش مرکز مدیریت راهبردی افتا، آسیب‌پذیری یادشده به‌صورت محلی در سیستم‌عامل Windows، قابلیت کسب امتیازات Admin را برای مهاجم فراهم می‌کند.مهاجمان با دسترسی محدود از طریق سوءاستفاده از این ضعف امنیتی می‌توانند به‌راحتی در یک دستگاه آسیب‌پذیر، مجوز و دسترسی‌های خود را برای گسترش آلودگی در شبکه، ایجاد کاربران جدید Admin و اجرای فرمان‌های خاص افزایش دهند.این آسیب‌پذیری سیستم‌عامل Windows ۱۰ نسخه ۱۹۰۹ و بالاتر، سیستم‌عامل Windows ۱۱ و سیستم‌عامل Windows Server ۲۰۱۹ و بالاتر را قبل از اصلاحیه‌های امنیتی ماه …

ادامه مطلب
افزایش سطح دسترسی از User به Admin در كمتر از ۶۰ ثانیه

پلتفرم‌های تحت تأثیر: ویندوز کاربران تحت تأثیر: شبکه‌های مبتنی بر Active-Directory نوع تأثیرگذاری: کاربر غیرمجاز قادر خواهد بود که سطح دسترسی خود را تا حد Admin دامنه ارتقا دهد. شدت حساسیت: بحرانی در اصلاحیه نوامبر ۲۰۲۱، مایکروسافت توصیه‌هایی را برای رفع چندین آسیب‌پذیری در Active-Directory منتشر کرد. تجزیه‌وتحلیل این آسیب‌پذیری‌ها نشان داد که با ترکیب CVE-۲۰۲۱-۴۲۲۷۸ و CVE-۲۰۲۱-۴۲۲۸۷، این امکان وجود دارد که یک کاربر معمولی بتواند به‌راحتی هویت یک Admin دامنه را جعل کند. این موضوع بدین معنی است که هر یک از کاربران می‌توانند تبدیل به یک Admin دامنه شوند که باعث تشدید آسیب‌های احتمالی خواهد شد. علاوه بر این، در حال حاضر چندین …

ادامه مطلب
آسیب‌پذیری قدیمی در نسخه‌های Linux

محققان هشدار می‌دهند که تمامی نسخه‌های رایج Linux دارای آسیب‌پذیری از نوع “دست‌کاری حافظه” (Memory-corruption) هستند که به‌راحتی قابل اکسپلویت است. به گزارش مرکز مدیریت راهبردی افتا، این ضعف امنیتی قدیمی و ۱۲ ساله در تابع pkexec در ابزار شرکت Polkit بوده است و احتمالاً در آینده از آن  سوءاستفاده خواهد شد. بهره‌جویی موفقیت‌آمیز از آسیب‌پذیری یادشده، به اعطای “ترفیع مجوز” (Elevation of Privilege) و اعطای دسترسی ممتاز به کاربران غیرمجاز منجر می‌شود.این ضعف امنیتی دارای شناسه CVE-۲۰۲۱-۴۰۳۴ و درجه اهمیت “حیاتی” (Critical) با شدت ۷,۸ (بر طبق استاندارد CVSS) است.ابزار Polkit (که قبلاً با نام PolicyKit نیز نامیده می‌شد)، روشی سازماندهی‌شده برای برقراری ارتباط …

ادامه مطلب
بهره‌جویی مهاجمان از PowerPoint برای توزیع بدافزار

از دسامبر ۲۰۲۱، تعداد آن دسته از کارزارهای موسوم به “فریب سایبری” یا فیشینگ (Phishing) افزایش قابل‌توجهی داشته است که در آن از اسناد مخرب PowerPoint برای توزیع انواع مختلف بدافزارها استفاده می‌شود. به گزارش مرکز مدیریت راهبردی افتا، بدافزارهای بکار گرفته‌شده در این کارزارها از نوع “تروجان” (Trojan) هستند که شرایط دسترسی غیرمجاز از راه دور (Remote Access) و سرقت اطلاعات (Information-Stealing Trojan) را برای مهاجمان فراهم می‌کنند.بنا بر گزارش آزمایشگاه تهدیدات سایبری نت‌اسکوپ (Netskope Threat Labs)، مهاجمان از سرویس‌های ابری معتبر برای میزبانی فایل‌های PowerPoint که حاوی کدهای بدافزاری هستند، استفاده کرده‌اند.در این کارزار از Warzone (که به AveMaria نیز معروف است) و …

ادامه مطلب
احتمال وقوع حملات فریب سایبری موسوم به فیشینگ در سایت‌های مبتنی بر WordPress

افزونه‌ای به نام WP HTML Mail که در بیش از ۲۰ هزار سایت مبتنی بر WordPress نصب شده، دارای یک ضعف امنیتی با درجه اهمیت “بالا” است و می‌تواند به “تزریق کد” و عملیات “فریب سایبری” موسوم به فیشینگ منجر شود. به گزارش مرکز مدیریت راهبردی افتا،WP HTML Mail  افزونه‌ای است که به منظور طراحی ایمیل‌های سفارشی، اعلان‌ها و به طور کلی پیام‌های سفارشی بکار برده می‌شود که در بسترهای آنلاین برای مخاطبان موجود در فرم تماس (Contact Form) ارسال می‌شود، این افزونه با WooCommerce،  Ninja Forms و BuddyPress نیز سازگار است. با وجود این که تعداد سایت‌هایی که از این افزونه استفاده می‌کنند، زیاد نیست …

ادامه مطلب
هشدار در خصوص آسیب‌پذیری حیاتی در Zoho ManageEngine

شرکت زوهو به کاربران محصولات خود در خصوص وجود یک آسیب‌پذیری امنیتی با درجه اهمیت “حیاتی” (Critical) در بسترهای Zoho ManageEngine Desktop Central و Desktop Central MSP هشدار داده است.به گزارش مرکز مدیریت راهبردی افتا، ضعف امنیتی یادشده دارای شناسه CVE-۲۰۲۱-۴۴۷۵۷ و از نوع Authentication-bypass  است و می‌تواند برای مهاجم، امکان “اجرای کد از راه دور” و انجام فعالیت‌های غیرمجاز را در سرور بدون اصالت‌سنجی فراهم کند. بنا بر توصیه‌نامه شرکت زوهو (Zoho Corporation)، این ضعف امنیتی می‌تواند امکان دسترسی مهاجمان را به اطلاعات غیرمجاز و همچنین امکان قراردادن یک فایل .ZIP  را بر روی سرور فراهم کند.Zoho ManageEngine Desktop Central راهکار یکپارچه مدیریت  Endpoint(Unified Endpoint Management – …

ادامه مطلب
شركت‌های صنعتی هدف نرم‌افزار جاسوسی Anomalous

محققان تاکنون چندین کمپین جاسوس‌افزار را کشف کرده‌اند که با سرقت اکانت‌های ایمیل برای کلاهبرداری مالی و یا فروش مجدد آنها به سایر کاربران، شرکت‌های صنعتی را هدف قرار می‌دهند. به گزارش مرکز مدیریت راهبردی افتا، این کمپین‌ها از ابزار‌های جاسوس‌افزار رده عام (off-the-shelf) استفاده می‌کنند، اما به‌منظور فرار از شناسایی هر یک از این موارد را برای مدت‌زمان بسیار محدودی استفاده می‌کنند. نمونه‌هایی از بدافزارهایی که در این قبیل حملات مورداستفاده قرار می‌گیرند عبارت‌اند از:  AgentTesla/Origin Logger، HawkEye، Noon/Formbook، Masslogger، Snake Keylogger، Azorult و Lokibot. Kaspersky این دست از حملات را به دلیل ماهیت بسیار کوتاه آنها در مقایسه با موارد معمول در این زمینه …

ادامه مطلب
به‌روزرسانی جعلی Edge و Chrome؛ ترفند جدید مهاجمان Magniber

به‌تازگی یک بدافزار جدید چند پلتفرمی درب پشتی به نام “SysJoker” کشف‌شده است که بدون اینکه شناسایی شود، ویندوز، لینوکس و macOS را هدف قرار می‌دهد. به گزارش مرکز مدیریت راهبردی افتا، این بدافزار برای اولین بار در دسامبر ۲۰۲۱ کشف و پس از بررسی‌های صورت گرفته در رابطه‌ با حمله به یکی از سرورهای لینوکس، نشانه‌های فعالیت آن مشاهده شد.بارگذاری اولیه نمونه بدافزار در VirusTotal در H۲ ۲۰۲۱ رخ داد که با زمان ثبت دامنه C۲ نیز مطابقت دارد.این بدافزار به زبان C++ نوشته و هر نسخه آن برای سیستم‌عامل مشخصی طراحی‌شده است. بااین‌وجود، در VirusTotal، شناسایی نمی‌شود.در سیستم‌عامل ویندوز، SysJoker از دستورات PowerShell …

ادامه مطلب
به‌روزرسانی جعلی Edge و Chrome؛ ترفند جدید مهاجمان Magniber

محققان در تحقیقات اخیر خود دریافته‌اند که باج‌افزار Magniber با به‌کارگیری فایل‌های Windows Application Package (.APPX) دارای گواهی‌نامه‌های معتبر به توزیع بدافزارهایی اقدام می‌کنند که به نظر به‌روزرسانی‌های مرورگرهای Chrome و Edge هستند. این روش توزیع، نشان‌دهنده تغییر رویکرد نسبت به حملات قبلی است که در آن‌ها مهاجمان معمولاً از آسیب‌پذیری‌های موجود در Internet Explorer سوءاستفاده می‌کردند.در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست‌جمهوری تهیه شده، عملکرد باج‌افزار Magniber بررسی شده است.محققان شرکت امنیت سایبری کره‌ای آن‌لب (AhnLab, Inc.) در گزارشی ، این حملات را که در آن قربانیان با بازدید از سایتی، به باج‌افزاریاد شده آلوده …

ادامه مطلب
احتمال سوءاستفاده مهاجمان از باگی در Microsoft Defender

بنا بر اظهارات محققان، مهاجمان می‌توانند از باگی در Microsoft Defender برای اطلاع از مسیرهای مستثنی شده از پویش این ضد بدافزار استفاده کرده و اقدام به نصب بدافزار کنند. به گزارش مرکز مدیریت راهبردی افتا، به گفته برخی از کاربران، ضعف موجود در Microsoft Defender حداقل به مدت هشت سال به همین صورت باقی‌مانده است و حتی Windows ۱۰ ۲۱H۱ و Windows ۱۰ ۲۱H۲ را تحت تأثیر قرار می‌دهد.مانند هر ضدویروس دیگری،Microsoft Defender نیز به کاربران اجازه می‌دهد که نسبت به معرفی مسیرهایی (محلی یا در شبکه) در سیستم خود اقدام کنند تا آن مسیرها توسط پویشگر ضد بدافزار بررسی نشود.کاربران نیز معمولاً برای …

ادامه مطلب