هشدار موسسات NCCIC و CISA درباره دو آسیب‌پذیری که ویندوز و ویندوز سرور را تحت تاثیر قرار داده است

آسیب‌پذیری در کرنل ویندوز

شرح آسیب‌پذیری: یک آسیب‌پذیری در کرنل ویندوز گزارش داده شده است. این آسیب‌پذیری، وقتی است که کرنل ویندوز نمی‌تواند اشیا را به درستی در حافظه مدیریت نماید به وجود می‌آید. مهاجمی که بتواند از این آسیب‌پذیری به صورت موفقیت آمیزی استفاده کند می‌تواند کدهای مورد نظرش را در حالت کرنل اجرا میکند. همچنین برنامه‌های مورد نظرش را نصب کرده و داده‌های قربانی را می ببیند، تغییر می دهد و یا پاک میکند. همچنین مهاجم می‌تواند حساب کاربری جدید با مجوز کامل برای خود بسازد. برای استفاده از این آسیب‌پذیری، مهاجم ابتدا بایستی به سیستم وارد شود و سپس با راه‌اندازی یک برنامه کاربردی مخرب کنترل سیستم قربانی را به دست بگیرد. لازم به ذکر است مایکروسافت بروزرسانی مربوطه را ارائه کرده است.

( پشتیبانی شبکه ، فیبر نوری ، ویپ )

• تاریخ: ۱۱ دسامبر ۲۰۱۸
• شماره‌(ها)ی مرجع: CVE-2018-8611
• تاثیرات: اجرای کدهای مورد نظر مهاجم
•  راهکار: مایکروسافت بروزرسانی‌های مربوطه را ارائه داده است.
• برای اطلاعات بیشتر به پیوند زیر مراجعه نمایید

 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8611

آسیب‌پذیری در DNS ویندوز

شرح آسیب‌پذیری: یک آسیب‌پذیری در DNS ویندوز گزارش شده است. این آسیب‌پذیری زمانی به وجود می‌آید که DNS ویندوز نمی‌تواند به خوبی به درخواست‌ها رسیدگی نماید. یک مهاجم با استفاده از این آسیب‌پذیری می‌تواند کدهای مورد نظرش را با مجوز Local System اجرا نماید.

سرورهای ویندوزی که به عنوان سرور DNS پیکربندی شده‌اند در معرض این آسیب‌پذیری قرار دارند. برای استفاده از این آسیب‌پذیری مهاجمی که هویتش احراز نشده است (unauthenticated attacker) می‌تواند درخواست‌های آلوده‌ای را به سرور ویندوز DNS ارسال نماید. مایکروسافت برای رفع این آسیب‌پذیری‌ بروزرسانی‌های لازم را ارائه کرده است.(کابل کشی ، دکل مهاری ، مجازی سازی )

 

• تاریخ: ۱۱ دسامبر ۲۰۱۸
• شماره‌(ها)ی مرجع: CVE-2018-8626
• تاثیرات: اجرای کدهای مورد نظر مهاجم
• راهکار: مایکروسافت بروزرسانی‌های لازم را ارائه کرده است
• برای اطلاعات بیشتر به پیوند زیر مراجعه نمایید:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626

آژانس امنیت ملی امریکا ابزاری قدرتمند را به صورت رایگان در اختیار عموم قرار خواهد داد

آژانس امنیت ملی آمریکا NSA اعلام کرد قصد دارد  در کنفرانس امنیت RSA که در مارس ۲۰۱۹ در سانفرانسیسکو برگزار می گردد ابزار مهندسی معکوسی را که خود توسعه داده است به صورت رایگان در اختیار شرکت کنندگان قرار دهد. این فریم ورک ابتدا GHIDRA نامیده شد و برای اولین بار توسط WikiLeaks در CIA Vaul 7 leaks به صورت عمومی معرفی شد. بعد از اینکه آژانس امنیت ملی امریکا اعلام کرد که قصد دارد این ابزار را به اشکال رایگان در کنفرانس پیش رو عرضه نماید، این فریم‌ورک مورد توجه قرار گرفت.(voip)

ویژگی‌های ابزار

GIHDR

ابزار مهندسی معکوس یک disassembler است به طور مثال: IDA-Pro که به محققان کمک می‌نماید تا با خواندن قسمت‌های مختلف یک برنامه ببینند که چگونه برنامه کار می‌کند. این اطلاعات شامل دستورالعمل‌های پردازنده و دیگر دستورها می‌باشد. ابزار GHIDRA که  از آن صحبت کردیم یک ابزار مهندسی معکوس مبتنی بر جاوا است که دارای GUI است و برای کار بر روی پلتفرم‌های مختلفی از جمله ویندوز، macOS و لینوکس طراحی شده است، همچنین این ابزار طیف وسیعی از دستورالعمل‌های پردازنده را پشتیبانی می‌ کند.( فیبر نوری ، دکل مهاری )

 از دیگر کارایی‌های ابزار GHIDRA می‌توان به تحلیل فایل‌های باینری که برنامه ها از آن استفاده می کنند، اشاره کرد. ابزار GHIDRA این کار را می‎‌تواند بر روی سیستم عامل‌های مختلفی از جمله ویندوز، macOS، لینوکس و همچنین پلتفرم‌های موبایل مانند اندروید و iOS انجام دهد.

GHIDRA توسط NSA در اوایل ۲۰۰۰ توسعه داده شد و تمامی ویژگی‌هایی که از ابزار تجاری انتظار می‌رود را داراست . NSA به این ابزار قابلیت‌های جدیدی نیز افزوده و آن را بهبود بخشیده است. یک کاربر Reddit به نام hash-define ادعا کرده است به این ابزار دسترسی پیدا کرده و GHIDRA ابزاری است که در اختیار بسیاری از آژانس‌های دولتی امریکا در طول سال‌های گذشته قرار گرفته است.

آیا GIHDR منبع باز است؟

با اینکه هنوز هم خبری از اینکه NSA قصد دارد تا این ابزار را به صورت متن باز ارائه نماید یا خیر،وجود ندارد ، برخی معتقد هستند آژانس امنیت ملی امریکا قصد انتشار کد منبع این ابزار را در Github دارد. قبل از این هم NSA 32 پروژه را در Github منتشر کرده بود و از این طریق کمیته‌های منبع باز بر روی آن کار کرده بود پس تکرار مجدد این کار دور از ذهن نیست.

آسیب‌پذیری در Adobe ژانویه ۲۰۱۹

شرح آسیب‌پذیری: شرکت Adobe اپدیت های امنیتی برای رفع آسیب‌پذیری در Adobe Connect و نسخه دیجیتال Adobe را عرضه کرده است. یک مهاجم با استفاده از این آسیب‌پذیری‌ها در بدنه Adobe می‌تواند کنترل سیستم قربانی را به دست بگیرد. درجه اهمیت هر دو آسیب‌پذیری، بالاست. به کاربران و مدیران شبکه توصیه می‌شود هر چه زودتر بروزرسانی‌های لازم را انجام دهند.( پشتیبانی شبکه ، تجهیزات شبکه ، مجازی سازی )

• تاریخ: ۸ ژانویه ۲۰۱۹
• شماره(های)مرجع: CVE-2018-19718، CVE-2018-12817
• تاثیرات: مهاجم کنترل سیستم قربانی را به دست می‌گیرد.
•  راهکار:

• محصول	نسخه	پلتفرم	الویت	دسترسی
  Adobe Connect	۱۰٫۱	All	۳	Release note

  محصول	نسخه	پلتفرم	الویت	دسترسی
  Adobe Digital Editions	۴٫۵٫۱۰	Windows	۳	Download Page
  		macOS	۳	Download Page
  		iOS	۳	iTunes
  		Android	۳	Playstor

• برای اطلاعات بیشتر به پیوندهای زیر مراجعه نمایید:

https://helpx.adobe.com/security/products/connect/apsb19-05.html

https://helpx.adobe.com/security/products/Digital-Editions/apsb19-04.html

جاسوسی در پس برنامک‌های در ظاهر معتبر playstore

شرکت ترند مایکرو از ردیابی ، جاسوس‌افزاری تحت سیستم عامل Android با نام MobSTSPY خبر داده است که در قالب برنامک‌های به ظاهر معتبر اقدام  می کرد به سرقت اطلاعات کاربر . برنامک‌های ذکر شده به مدتی در بازار رسمی گوگل، Play Store در دسترس بوده‌اند.  تنها یکی از این اپلیکیشن ها بیش از 100 هزار بار توسط افراد در کشورهای مختلف دریافت و نصب شده است. در فهرست ترند مایکرو نام ایران نیز به‌عنوان یکی از کشورهایی که برخی کاربران آن اقدام به دریافت و نصب برنامک‌های حاوی MobSTSPY نموده‌اند دیده می شود.(پشتیبانی شبکه ، فیبرنوری ، کابل کشی)

عناوین این برنامک‌ها عبارتند از:

• Flappy Birr Dog
• FlashLight
• HZPermis Pro Arabe
• Win7imulator
• Win7Launcher
• Flappy Bird

به گزارش شرکت مهندسی شبکه گستر، MobSTSPY قادر به سرقت اطلاعاتی مانند موقعیت کاربر، پیامک‌ها، سوابق تماس‌ها و محتوای (Clipboard) است. این جاسوس‌افزار از سرویس‌‌دهنده Firebase برای انتقال اطلاعات سرقت شده به سرورهای فرماندهی خود استفاده می کرده است.

به‌محض اجرا، جاسوس‌افزار، دسترسی شبکه‌ای دستگاه را مورد بررسی قرار می‌دهد. در ادامه یک فایل XML حاوی تنظیمات مورد نظر مهاجمان از سرور فرماندهی دریافت می‌شود.

پس از آن MobSTSPY اطلاعات خاصی همچون زبان استفاده‌شده و سازنده دستگاه را جمع‌آوری و با ارسال آنها به سرور فرماندهی، عملا دستگاه آلوده شده در سرور فرماندهی ثبت می‌گردد. در ادامه جاسوس‌افزار در انتظار می‌ماند تا فرامین از سوی سرور فرماندهی به آن ارسال شود.

MobSTSPY از فرامینی همچون سرقت ارتباطات پیامکی، فهرست‌های تماس، فایل‌ها و سوابق تماس‌ها پشتیبانی می‌کند.

همچنین MobSTSPY دارای قابلیتی است که اجرای حملات فیشینگ را ایجاد می‌کند. به این صورت که با نمایش پیام‌های جعلی فیس‌بوک و گوگل کاربر متقاعد می‌شود تا ایمیل و رمز عبور خود را در پنجره فیشینگ تحت کنترل جاسوس‌افزار تایپ کند.(مجازی سازی)

مشروح گزارش ترند مایکرو در اینجا قابل دریافت است.

لازم به ذکر است که در زمان انتشار این گزارش کلیه برنامک‌های جعلی اشاره شده در این مطلب از بازار Play Store حذف شده و دیگر قابل دسترس نمی‌باشند.

همچون همیشه برای ایمن نگاه داشتن دستگاه‌های مبتنی بر سیستم عامل Android، رعایت موارد زیر لازم است:

• سیستم عامل و برنامک‌های نصب شده بر روی موبایل، همیشه به آخرین نسخه ارتقاء داده شود.
• برنامک‌ها را حتما از بازار رسمی شرکت گوگل (Play Store) یا حداقل بازارهای مورد اعتماد معروف بگیرید. همچنین از غیرفعال بودن گزینه Unknown sources در بخش Settings و از فعال بودن گزینه Scan device for security threats در قسمت Google Settings دستگاه اطمینان داشته باشید. با غیرفعال بودن گزینه نخست، از اجرا شدن فایل‌های APK میزبانی شده در بازارهای ناشناخته بر روی دستگاه جلوگیری به عمل می آید. وظیفه گزینه دوم نیز پایش دوره‌ای دستگاه است.
• پیش از نصب هر برنامک امتیاز و توضیحات کاربران آن را مرور کرده و به نکات منفی توضیحات کاربران توجه ویژه داشته باشید .
• به حقوق دسترسی‌ درخواستی برنامک در زمان نصب توجه داشته باشید. اگر فهرست آن به‌طور غیرعادی طولانی بود از نصب آن اجتناب کنید.
• از راهکارهای امنیتی قدرتمند برای حفاظت از موبایل خود یا سازمانتان استفاده کنید. (شرکت شایگان)
  

آسیب‌پذیری در محصولات سیسکو دسامبر ۲۰۱۸

شرح آسیب‌پذیری: یک آسیب‌پذیری با درجه اهمیت بالا در نرم‌افزار ASA سیسکو گزارش شده است یک مهاجم که احراز هویت شده است اما از امتیاز (priviledge) برخوردار نیست، می‌تواند عملیاتی که نیازمند داشتن امتیاز هستند را از طریق اینترفیس مدیریت وب انجام دهد.

این آسیب‌پذیری به دلیل عدم اعتبارسنجی مناسب امتیاز کاربران زمانی که از اینترفیس مدیریت وب استفاده می‌نمایند، می‌باشد. مهاجم با ارسال یک درخواست HTTP از طریق HTTPS به دستگاه مورد نظرش می‌تواند به فایل‌های موجود بر روی دستگاه قربانی دست یابد. این فایل‌ها شامل running configuration نیز می‌باشد. بعد از بهره‌برداری از این آسیب‌پذیری مهاجم قادر به بارگذاری و جایگزین نمودن تصویر نرم‌افزار (image software) بر روی دستگاه است.(پشتیبانی شبکه ، فیبرنوری ، مجازی سازی)

• تاریخ: ۱۹ دسامبر ۲۰۱۸
• شماره(های)مرجع: CVE-2018-15465
  
• تاثیرات: مهاجم قادر به بارگذاری و جایگزین نمودن تصویر نرم‌افزار (image software) بر روی دستگاه می‌باشد.
•  راهکار: برای دانلود بروزرسانی نرم‌افزار به این پیوند مراجعه نمایید

 

Cisco ASA Software Release	First Fixed Release for This Vulnerability
Prior to 9.11	Migrate to 9.4.4.29
۹٫۱۱	Migrate to 9.4.4.29
۹٫۲۱	Migrate to 9.4.4.29
۹٫۳۱	Migrate to 9.4.4.29
۹٫۴	۹٫۴٫۴٫۲۹
۹٫۵۱	Migrate to 9.6.4.20
۹٫۶	۹٫۶٫۴٫۲۰
۹٫۷۱	Migrate to 9.8.3.18
۹٫۸	۹٫۸٫۳٫۱۸
۹٫۹	۹٫۹٫۲٫۳۶
۹٫۱۰	۹٫۱۰٫۱٫۷

• برای اطلاعات بیشتر به پیوند زیر مراجعه نمایید:
• https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181219-asa-privesc

ویندوز سندباکس محیطی جدید در ویندوز ۱۰

حتما تا به حال برایتان پیش آمده است که برنامه‌ کاربردی (اپلیکیشنی) را از اینترنت دانلود کرده‌اید و در مورد اجرای آن بر روی سیستم عامل ویندوز خود به دلیل احتمال آلوده بودن برنامه تردید داشته‌اید. یا رایانامه‌ای حاوی یک پیوست را دریافت کرده‌اید و نسبت به گشودن پیوست مردد بوده‌اید. در این موارد یا خطر را پذیرفته‌اید و برنامه را اجرا کرده‌اید و یا با نصب یک ماشین مجازی و اجرای برنامه بر روی آن از مطمئن بودن برنامه قبل از نصب بر روی سیستم عامل ویندوزتان، اطمینان حاصل کرده‌اید.(فیبرنوری،کابل کشی، ویپ)

 اگر هم توسعه دهنده‌ نرم‌افزار هستید اهمیت داشتن یک سیستم عامل تمیز را می‌دانید. منظور از سیستم عامل تمیز یعنی هیچ برنامه، فایل و یا اسکریپتی بر روی آن وجود ندارد و توسعه‌دهنده بر روی آن نرم‌افزارش را آزمایش می‌نماید.

تا قبل از این، کاربران مجبور به نصب ماشین مجازی، نصب ویندوز بر روی آن و سپس نصب برنامه بودند. در صورت وجود هر گونه اشکال در برنامه تنها ماشین مجازی تحت تاثیر قرار می‌گرفت و کاربر با برگرداندن Snapshot مشکل را به راحتی حل می‌نمود. سیستم عامل اصلی کاربر هم دراین روند هیچ آسیبی نمی‌دید. اما مایکروسافت به این فکر افتاده است تا کاربرانش را از نصب ماشین مجازی بی‌نیاز نماید. مایکروسافت محیط ایزوله جدیدی با نام ویندوز سندباکس را ارائه نموده است. کاربران می‌توانند در این محیط برنامه‌های مورد نظرشان را بدون آسیب رساندن به سیستم عامل نصب و اجرا نمایند. زمانی که ویندوز سندباکس را می‌بندید هم برنامه و هم فایل‌های مرتبط با آن به صورت دائمی از سیستم پاک خواهند شد.

مایکروسافت در ویندوز سندباکس از مجازی‌سازی بر مبنای سخت‌افزار استفاده کرده است. از طریق Hypervisor یک کرنل مجزا راه‌اندازی نموده و در نتیجه ویندوز سندباکس را از سیستم عامل کاربر جدا کرده است. این بدان معناست که شما می‌توانید یک فایل قابل اجرا را با خیال راحت از اینترنت دانلود و در محیط ویندوز سندباکس نصب و اجرا نمایید بدون اینکه آسیبی به سیستم عامل میزبان شما برسد یا اگر توسعه‌دهنده برنامه کاربردی هستید می‌توانید به راحتی و بدون نیاز به راه‌اندازی مجدد ویندوز بر روی آن هر موقع که بخواهید سناریوهای توسعه خود را بر روی یک ویندوز تمیز و نو اجرا نمایید.( پشتیبانی شبکه ، مجازی سازی)

نیازمندی‌ها

• ویندوز ۱۰ Pro و یا Enterprise build 1833 یا بعد از آن (این نسخه به زودی عرضه خواهد شد.)
• فعال نمودن قابلیت مجازی‌سازی در BIOS
• حداقل RAM 4GB (البته پیشنهاد مایکروسافت ۸GB است)
• حداقل ۱GB فضای خالی دیسک (مایکروسافت SSD را پیشنهاد می‌نماید)
• حداقل CPU دو هسته (پیشنهاد مایکروسافت CPU چهار هسته همراه با قابلیت hyperthreading می‌باشد)

مزایای استفاده از ویندوز سندباکس

با استفاده از ویندوز سندباکس دیگر نیازی به دانلود و یا دریافت یک هارد دیسک مجازی (VHD) نیست. یک snapshot تمیز از سیستم عامل تهیه می‌گردد. این Snapshot یک تصویر پویا است که به فایل‌هایی که تغییر می‌نمایند لینک می‌شود و به فایل‌های قابل تغییر ارجاع می‌دهد. این موضوع در تصویر زیر نشان داده شده است. این تصویر تنها ۱۰۰MB فضا اشغال می‌نماید. اگر از سندباکس استفاده ننمایید این تصویر تا ۲۵MB فشرده می‌گردد.

مزیت دیگر استفاده از ویندوز سندباکس در مقایسه با استفاده از ماشین مجازی این است که با اینکه ویندوز سندباکس یک محیط ایزوله در اختیار کاربر قرار می‌دهد، در راستای سیستم عامل میزبان کار می‌کند.  سیستم عامل میزبان هرگاه در بازدهی و یا سرعت افت نماید می‌تواند حافظه را از ویندوز سندباکس پس بگیرد. همچنین ویندوز سندباکس از وضعیت باتری سیستم شما آگاه است و هرگاه پایین آمدن سطح باتری را ببیند، مصرف باتریش را بهینه می‌نماید. در نتیجه راه‌اندازی ویندوز سندباکس بر روی لب‌تاپ در مقایسه با ماشین مجازی منطقی‌تر به نظر می‌آید.

ویندوز سندباکس راهکاری امن، سریع، ارزان و جایگزینی مناسب برای راهکار سنتی ماشین مجازی می‌باشد. ویندوز سندباکس در مقایسه با ماشین مجازی سربار بسیار کمتری داشته و قابلیت فراخوانی، تست و از بین بردن سریع snanpshotها را دارد. با این حال سیستم شما هرچقدر سخت‌افزار قدرتمندتری داشته باشد ویندوز سندباکس راحت‌تر و سریع‌تر راه‌اندازی خواهد شد، اما همانطور که در قسمت نیازمندی‌ها دیدید ویندوز سندباکس چندان نیازی به سخت‌افزار قدرتمند ندارد.

ایرادات ویندوز سندباکس

نقطه ضعف ویندوز سندباکس این است که این محیط برای کاربران ویندوز ۱۰ نسخه خانگی ارائه نشده است. ویندوز سندباکس تنها برای نسخه‌های Enterprise و Pro ویندوز ۱۰ ارائه شده است.

ویندوز سندباکس برای Windows 10 build 18301 و یا بالاتر عرضه شده است که هنوز مایکروسافت عرضه نکرده است.

مایکروسافت Windows 10 build 18305 را برای Insiderها عرضه کرده است. اگر علاقه به پیوستن به Insiderها و بروزرسانی ویندوزتان را دارید به این پیوند مراجعه نمایید. البته ما این کار را چندان به شما پیشنهاد نمی‌نماییم.

نحوه استفاده

ویندوز سندباکس نیز مانند سایر برنامه‌ها است. پس از نصب از طریق Start menu قابل دسترسی است و بعد از راه‌اندازی آن و قبول UAC و دادن دسترسی administrative قادر خواهید بود تنها با یک drag and drop ساده برنامه‌ها را داخل سندباکس انداخته و آن‌ها را تست نمایید. زمانی که کارتان تمام شد تنها سندباکس را ببندید تمامی تغییرات به طور خودکار پاک خواهند شد.

عنوان دومین مطلب آزمایشی من

این متن دومین مطلب آزمایشی من است که به زودی آن را حذف خواهم کرد.

زکات علم، نشر آن است. هر وبلاگ می تواند پایگاهی برای نشر علم و دانش باشد. بهره برداری علمی از وبلاگ ها نقش بسزایی در تولید محتوای مفید فارسی در اینترنت خواهد داشت. انتشار جزوات و متون درسی، یافته های تحقیقی و مقالات علمی از جمله کاربردهای علمی قابل تصور برای ,بلاگ ها است.

همچنین وبلاگ نویسی یکی از موثرترین شیوه های نوین اطلاع رسانی است و در جهان کم نیستند وبلاگ هایی که با رسانه های رسمی خبری رقابت می کنند. در بعد کسب و کار نیز، روز به روز بر تعداد شرکت هایی که اطلاع رسانی محصولات، خدمات و رویدادهای خود را از طریق بلاگ انجام می دهند افزوده می شود.

عنوان اولین مطلب آزمایشی من

این متن اولین مطلب آزمایشی من است که به زودی آن را حذف خواهم کرد.

مرد خردمند هنر پیشه را، عمر دو بایست در این روزگار، تا به یکی تجربه اندوختن، با دگری تجربه بردن به کار!

اگر همه ما تجربیات مفید خود را در اختیار دیگران قرار دهیم همه خواهند توانست با انتخاب ها و تصمیم های درست تر، استفاده بهتری از وقت و عمر خود داشته باشند.

همچنین گاهی هدف از نوشتن ترویج نظرات و دیدگاه های شخصی نویسنده یا ابراز احساسات و عواطف اوست. برخی هم انتشار نظرات خود را فرصتی برای نقد و ارزیابی آن می دانند. البته بدیهی است کسانی که دیدگاه های خود را در قالب هنر بیان می کنند، تاثیر بیشتری بر محیط پیرامون خود می گذارند.