هشدار موسسات NCCIC و CISA درباره دو آسیب‌پذیری که ویندوز و ویندوز سرور را تحت تاثیر قرار داده است

آسیب‌پذیری در کرنل ویندوز

شرح آسیب‌پذیری: یک آسیب‌پذیری در کرنل ویندوز گزارش داده شده است. این آسیب‌پذیری، وقتی است که کرنل ویندوز نمی‌تواند اشیا را به درستی در حافظه مدیریت نماید به وجود می‌آید. مهاجمی که بتواند از این آسیب‌پذیری به صورت موفقیت آمیزی استفاده کند می‌تواند کدهای مورد نظرش را در حالت کرنل اجرا میکند. همچنین برنامه‌های مورد نظرش را نصب کرده و داده‌های قربانی را می ببیند، تغییر می دهد و یا پاک میکند. همچنین مهاجم می‌تواند حساب کاربری جدید با مجوز کامل برای خود بسازد. برای استفاده از این آسیب‌پذیری، مهاجم ابتدا بایستی به سیستم وارد شود و سپس با راه‌اندازی یک برنامه کاربردی مخرب کنترل سیستم قربانی را به دست بگیرد. لازم به ذکر است مایکروسافت بروزرسانی مربوطه را ارائه کرده است.

( پشتیبانی شبکه ، فیبر نوری ، ویپ )

  • تاریخ: ۱۱ دسامبر ۲۰۱۸
  • شماره‌(ها)ی مرجع: CVE-2018-8611
  • تاثیرات: اجرای کدهای مورد نظر مهاجم
  •  راهکار: مایکروسافت بروزرسانی‌های مربوطه را ارائه داده است.
  • برای اطلاعات بیشتر به پیوند زیر مراجعه نمایید

 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8611

آسیب‌پذیری در DNS ویندوز

شرح آسیب‌پذیری: یک آسیب‌پذیری در DNS ویندوز گزارش شده است. این آسیب‌پذیری زمانی به وجود می‌آید که DNS ویندوز نمی‌تواند به خوبی به درخواست‌ها رسیدگی نماید. یک مهاجم با استفاده از این آسیب‌پذیری می‌تواند کدهای مورد نظرش را با مجوز Local System اجرا نماید.

سرورهای ویندوزی که به عنوان سرور DNS پیکربندی شده‌اند در معرض این آسیب‌پذیری قرار دارند. برای استفاده از این آسیب‌پذیری مهاجمی که هویتش احراز نشده است (unauthenticated attacker) می‌تواند درخواست‌های آلوده‌ای را به سرور ویندوز DNS ارسال نماید. مایکروسافت برای رفع این آسیب‌پذیری‌ بروزرسانی‌های لازم را ارائه کرده است.(کابل کشی ، دکل مهاری ، مجازی سازی )

 
  • تاریخ: ۱۱ دسامبر ۲۰۱۸
  • شماره‌(ها)ی مرجع: CVE-2018-8626
  • تاثیرات: اجرای کدهای مورد نظر مهاجم
  • راهکار: مایکروسافت بروزرسانی‌های لازم را ارائه کرده است
  • برای اطلاعات بیشتر به پیوند زیر مراجعه نمایید:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626

برچسب‌ها: kernel, کرنل, پشتیبانی شبکه
+ نوشته شده در شنبه بیست و نهم دی ۱۳۹۷ ساعت 10:28 توسط محبعلی  | 

آسیب‌پذیری در Adobe  ژانویه ۲۰۱۹

شرح آسیب‌پذیری: شرکت Adobe اپدیت های امنیتی برای رفع آسیب‌پذیری در Adobe Connect و نسخه دیجیتال Adobe را عرضه کرده است. یک مهاجم با استفاده از این آسیب‌پذیری‌ها در بدنه Adobe می‌تواند کنترل سیستم قربانی را به دست بگیرد. درجه اهمیت هر دو آسیب‌پذیری، بالاست. به کاربران و مدیران شبکه توصیه می‌شود هر چه زودتر بروزرسانی‌های لازم را انجام دهند.( پشتیبانی شبکه ، تجهیزات شبکه ، مجازی سازی )

  • تاریخ: ۸ ژانویه ۲۰۱۹
  • شماره(های)مرجع: CVE-2018-19718، CVE-2018-12817
  • تاثیرات: مهاجم کنترل سیستم قربانی را به دست می‌گیرد.
  •  راهکار:
  • محصول نسخه پلتفرم الویت دسترسی
    Adobe Connect ۱۰٫۱ All ۳

    Release note
    محصول نسخه پلتفرم الویت دسترسی

    Adobe Digital Editions

    ۴٫۵٫۱۰

    		  Windows  ۳ Download Page
     macOS  ۳ Download Page
     iOS  ۳ iTunes
     Android  ۳ Playstor
  • برای اطلاعات بیشتر به پیوندهای زیر مراجعه نمایید:

https://helpx.adobe.com/security/products/connect/apsb19-05.html

https://helpx.adobe.com/security/products/Digital-Editions/apsb19-04.html

 
برچسب‌ها: adobe, Adobe, Adobe Connect, پشتیبانی شبکه
+ نوشته شده در شنبه بیست و دوم دی ۱۳۹۷ ساعت 14:54 توسط محبعلی  | 

جاسوسی در پشت پرده ی برنامک‌های در ظاهر معتبر Play Store

شرکت ترند مایکرو از ردیابی ، جاسوس‌افزاری تحت سیستم عامل Android با نام MobSTSPY خبر داده است که در قالب برنامک‌های به ظاهر معتبر اقدام  می کرد به سرقت اطلاعات کاربر . برنامک‌های ذکر شده به مدتی در بازار رسمی گوگل، Play Store در دسترس بوده‌اند.  تنها یکی از این اپلیکیشن ها بیش از 100 هزار بار توسط افراد در کشورهای مختلف دریافت و نصب شده است. در فهرست ترند مایکرو نام ایران نیز به‌عنوان یکی از کشورهایی که برخی کاربران آن اقدام به دریافت و نصب برنامک‌های حاوی MobSTSPY نموده‌اند دیده می شود.(پشتیبانی شبکه ، فیبرنوری ، کابل کشی)

عناوین این برنامک‌ها عبارتند از:

  • Flappy Birr Dog
  • FlashLight
  • HZPermis Pro Arabe
  • Win7imulator
  • Win7Launcher
  • Flappy Bird

به گزارش شرکت مهندسی شبکه گستر، MobSTSPY قادر به سرقت اطلاعاتی مانند موقعیت کاربر، پیامک‌ها، سوابق تماس‌ها و محتوای (Clipboard) است. این جاسوس‌افزار از سرویس‌‌دهنده Firebase برای انتقال اطلاعات سرقت شده به سرورهای فرماندهی خود استفاده می کرده است.

به‌محض اجرا، جاسوس‌افزار، دسترسی شبکه‌ای دستگاه را مورد بررسی قرار می‌دهد. در ادامه یک فایل XML حاوی تنظیمات مورد نظر مهاجمان از سرور فرماندهی دریافت می‌شود.

پس از آن MobSTSPY اطلاعات خاصی همچون زبان استفاده‌شده و سازنده دستگاه را جمع‌آوری و با ارسال آنها به سرور فرماندهی، عملا دستگاه آلوده شده در سرور فرماندهی ثبت می‌گردد. در ادامه جاسوس‌افزار در انتظار می‌ماند تا فرامین از سوی سرور فرماندهی به آن ارسال شود.

MobSTSPY از فرامینی همچون سرقت ارتباطات پیامکی، فهرست‌های تماس، فایل‌ها و سوابق تماس‌ها پشتیبانی می‌کند.

همچنین MobSTSPY دارای قابلیتی است که اجرای حملات فیشینگ را ایجاد می‌کند. به این صورت که با نمایش پیام‌های جعلی فیس‌بوک و گوگل کاربر متقاعد می‌شود تا ایمیل و رمز عبور خود را در پنجره فیشینگ تحت کنترل جاسوس‌افزار تایپ کند.(مجازی سازی)

مشروح گزارش ترند مایکرو در اینجا قابل دریافت است.

لازم به ذکر است که در زمان انتشار این گزارش کلیه برنامک‌های جعلی اشاره شده در این مطلب از بازار Play Store حذف شده و دیگر قابل دسترس نمی‌باشند.

همچون همیشه برای ایمن نگاه داشتن دستگاه‌های مبتنی بر سیستم عامل Android، رعایت موارد زیر لازم است:

  • سیستم عامل و برنامک‌های نصب شده بر روی موبایل، همیشه به آخرین نسخه ارتقاء داده شود.
  • برنامک‌ها را حتما از بازار رسمی شرکت گوگل (Play Store) یا حداقل بازارهای مورد اعتماد معروف بگیرید. همچنین از غیرفعال بودن گزینه Unknown sources در بخش Settings و از فعال بودن گزینه Scan device for security threats در قسمت Google Settings دستگاه اطمینان داشته باشید. با غیرفعال بودن گزینه نخست، از اجرا شدن فایل‌های APK میزبانی شده در بازارهای ناشناخته بر روی دستگاه جلوگیری به عمل می آید. وظیفه گزینه دوم نیز پایش دوره‌ای دستگاه است.
  • پیش از نصب هر برنامک امتیاز و توضیحات کاربران آن را مرور کرده و به نکات منفی توضیحات کاربران توجه ویژه داشته باشید .
  • به حقوق دسترسی‌ درخواستی برنامک در زمان نصب توجه داشته باشید. اگر فهرست آن به‌طور غیرعادی طولانی بود از نصب آن اجتناب کنید.
  • از راهکارهای امنیتی قدرتمند برای حفاظت از موبایل خود یا سازمانتان استفاده کنید.
برچسب‌ها: playstore, play store, جاسوس افزار, برنامک جاسوس افزار
+ نوشته شده در شنبه پانزدهم دی ۱۳۹۷ ساعت 13:41 توسط محبعلی  | 

آسیب‌پذیری در محصولات سیسکو  دسامبر ۲۰۱۸

شرح آسیب‌پذیری: یک آسیب‌پذیری با درجه اهمیت بالا در نرم‌افزار ASA سیسکو گزارش شده است یک مهاجم که احراز هویت شده است اما از امتیاز (priviledge) برخوردار نیست، می‌تواند عملیاتی که نیازمند داشتن امتیاز هستند را از طریق اینترفیس مدیریت وب انجام دهد.

این آسیب‌پذیری به دلیل عدم اعتبارسنجی مناسب امتیاز کاربران زمانی که از اینترفیس مدیریت وب استفاده می‌نمایند، می‌باشد. مهاجم با ارسال یک درخواست HTTP از طریق HTTPS به دستگاه مورد نظرش می‌تواند به فایل‌های موجود بر روی دستگاه قربانی دست یابد. این فایل‌ها شامل running configuration نیز می‌باشد. بعد از بهره‌برداری از این آسیب‌پذیری مهاجم قادر به بارگذاری و جایگزین نمودن تصویر نرم‌افزار (image software) بر روی دستگاه است.(پشتیبانی شبکه ، فیبرنوری ، مجازی سازی)

  • تاریخ: ۱۹ دسامبر ۲۰۱۸
  • شماره(های)مرجع: CVE-2018-15465
  • تاثیرات: مهاجم قادر به بارگذاری و جایگزین نمودن تصویر نرم‌افزار (image software) بر روی دستگاه می‌باشد.
  •  راهکار: برای دانلود بروزرسانی نرم‌افزار به این پیوند مراجعه نمایید

 

Cisco ASA Software ReleaseFirst Fixed Release for This Vulnerability
Prior to 9.11 Migrate to 9.4.4.29
۹٫۱۱ Migrate to 9.4.4.29
۹٫۲۱ Migrate to 9.4.4.29
۹٫۳۱ Migrate to 9.4.4.29
۹٫۴ ۹٫۴٫۴٫۲۹
۹٫۵۱ Migrate to 9.6.4.20
۹٫۶ ۹٫۶٫۴٫۲۰
۹٫۷۱ Migrate to 9.8.3.18
۹٫۸ ۹٫۸٫۳٫۱۸
۹٫۹ ۹٫۹٫۲٫۳۶
۹٫۱۰ ۹٫۱۰٫۱٫۷
+ نوشته شده در چهارشنبه دوازدهم دی ۱۳۹۷ ساعت 10:30 توسط محبعلی  |