نفوذ

هفته گذشته نشان داد که یک آسیب پذیری صفر روز اینترنت اکسپلورر می تواند بازیگران تهدید را قادر به سرقت اطلاعات محدود از رایانه های تحت ویندوز 7، ویندوز 10 و ویندوز سرور 2012 (R2). نوشتن برای Forbes، جیسون Evangelho توضیح داد که در حالی که این یک مرورگر وب قدیمی است، آسیب پذیری می تواند "حتی اگر شما هرگز عمدا از اینترنت اکسپلورر استفاده نمی شود" مورد سوء استفاده قرار گیرد. این به اندازه کافی بد بود، اما تا حدودی اثری از اثبات مفهوم بهره برداری به اثبات رسیده بود که این فایل system.ini بود که می توان آن را exfiltrated کرد و به طوری که نیاز به چند کلیک برای اجرای موفقیت آمیز بود. در حال حاضر همه چیز بدتر شده است، خیلی بدتر.

آسیب پذیری لبه چیست؟

تحقیقات جدید نشان داده است که کاربران ویندوز 10 اگر از مرورگر وب مایکروسافت استفاده کنند، خطر بیشتری دارند. محقق امنیتی Mitja Kolsek افشا کرد که چگونه اثبات اصلی مفهوم بهره برداری می تواند به نحوی بهبود یابد تا پرونده های به مراتب بیشتری را از بین ببرد و فایل مخرب به طور مستقیم از طریق Edge باز شود. این فایل مخرب از نوع MIME HTML (MHT) است. اینترنت اکسپلورر یک فایل MHT تک ایجاد می کند تا یک صفحه وب کامل را به یک درایو محلی ذخیره کند، که شامل تمام تصاویر، CSS، جاوا اسکریپت و لینک های داخلی است.

چیزی که کلسک در تحلیل آن که روز صفر روز اینترنت اکسپلورر را تحت تاثیر قرار داده بود، ویژگی ویندوز 10 نامشخص بود، که باید امنیت این پرونده ذخیره شده را علیه کدهای مخرب که میتواند در ساندویچ Edge اجرا شود، تقویت کند. به نظر می رسد این ویژگی امنیتی به طور موثری دیگری را که به عنوان علامت-the-web شناخته می شود، غیرفعال می کند که توسط اینترنت اکسپلورر استفاده می شود تا فایل ها را از اینترنت به عنوان نامعلوم پرچم گذاری کند. "ما متوجه شده ایم که فایل MHT مخرب نباید بارگیری شود و دستی توسط کاربر باز شود، فقط می توان آن را به طور مستقیم از Edge نیز باز کرد"، کولسک توضیح می دهد. علاوه بر این، کلسک می گوید استثنا نیز می تواند افزایش یابد تا آن را با خلوص بیشتری کار کند و "فایل های محلی را با استفاده از یک فایل MHT تکثیر کند."


پاسخ مایکروسافت

به گفته ZDNet، مواردی همچنان بدتر می شود، زیرا مایکروسافت قبلا رد کرد که یک پچ برای نفوذ سایبری اصلی را منتشر کند، که به این شرکت گزارش می دهد: "ما تصمیم گرفتیم که یک نسخه از این محصول یا سرویس در نظر گرفته شود. در این زمان، ما به طور مداوم به روز رسانی وضعیت وضعیت اصلاح این موضوع را ارائه نمی دهیم، و این پرونده را بسته ایم. "

مطمئنا این تحقیق جدید این قضاوت را تغییر خواهد داد؟ خوب، شاید نه بر اساس یک ایمیل از یک نماینده مایکروسافت که توسط Ars Technica منتشر شد، "تکنیک توصیف شده بر مهندسی اجتماعی متکی است و نیاز کاربر را به دانلود و باز کردن یک فایل مخرب MHT دارد. ما مشتریان را تشویق می کنیم که عادت های محاسباتی ایمن را به صورت آنلاین انجام دهند، از جمله استفاده از احتیاط در هنگام کلیک کردن لینک ها، باز کردن فایل های ناشناخته، و یا پذیرش انتقال فایل. "

چگونه ریسک را کاهش دهیم

Kolsek می گوید فقط کاربران لبه در معرض خطر هستند، بنابراین استفاده از مرورگر مایکروسافت حس خوبی نخواهد داشت. طبق گفته کلسک، هیچ کس دیگر مرورگرهای وب پیشین و مشتریان ایمیل که ما آزمایش کرده ایم با استفاده از پرچم امنیتی نامشخص در فایل های دانلود شده است که به طور موثر سوء استفاده را متوقف می کند. به نظر می رسد که مایکروسافت این مسئله را بازبینی کرده و پچ را توسعه می دهد. در همین حال، به عنوان یکی از بنیانگذاران سرویس پیکربندی Micro-patch، 0patch، رایگان است که برای استفاده شخصی و غیر انتفاعی آموزشی استفاده می شود، Kolsek همچنین چنین پچی میکرو برای کاربران ویندوز 10 را ایجاد کرده است.

یک محقق گفت که میلیون ها نفر از پرونده ها 300000 اسم راننده Tap30، شماره شناسایی و شماره تلفن ها را از بین می برند.

یک محقق کشف کرده است که بیش از یک ربع راننده برنامه رانی ایرانی، Tap30، اطلاعات خود را در یک پایگاه داده ناامن قرار داده است.

Tap30 یک برنامه تاکسی آنلاین است، شبیه به Uber، که کاربران را به درایورها از طریق برنامه تلفن همراه و پانل شرکت متصل می کند. برنامه دارای بیش از یک میلیون نصب در Google Play است.

باب Diachenko، پژوهشگر گفت که در روز پنج شنبه، یک پایگاه داده متعلق به Tap30 را برای مدت سه روز باز کرد و حدود 1 تا 2 میلیون پرونده منحصر به فرد را از بین برد. Diachenko به Threatpost گفت که این اطلاعات شامل حدود 300،000 راننده بود.

بر طبق گفته Diachenko، این داده ها که برآورد شده از سال 2017 تا 2018 است، شامل نام و نام خانوادگی رانندگان، شماره تلفن ها و شماره های شناسه ایران (ذخیره شده در متن ساده) می باشد: "تنها واقعیت این است که PII بسیار حساس اطلاعاتی که قابل شناسایی است) برای مدت حداقل 3 روز به صورت وحشی در دسترس است، ترسناک است. "

Diachenko به Threatpost گفت که پایگاه داده ایمن شده است و شواهدی وجود ندارد که اطلاعات مورد سوء استفاده قرار گرفته باشد. علاوه بر این، وی گفت که پایگاه داده یک "حادثه جداگانه" بود و فقط سوابق راننده (در مقایسه با اطلاعات مسافرین) در معرض قرار می گرفت.

او برای اولین بار در پایگاه داده با استفاده از موتور جستجوی BinaryEdge در طول یک ممیزی منظم از پایگاه داده های nonSql در سراسر پایگاه داده قرار گرفت.

این پایگاه داده "doroshke-invoice-production" نامیده می شود ("doroshke" به معنای حامل فارسی است) و دو مجموعه فاکتورها حاوی راننده و نام خانوادگی، 10 رقمی شماره شناسنامه ایرانی در متن ساده، شماره تلفن و تاریخ فاکتور است.

در حالی که Diachenko در اصل تخمین زده بود که پایگاه داده دارای 6.7 میلیون رکورد منحصر به فرد بود، پس از ضبط تکراری در مجموعه داده او به روز شده که برآورد به 1 تا 2 میلیون.

در ضمن، Tap30، پایگاه داده را تامین کرده است. Tap30 در یک سری از توییت ها گفت که آنها مطمئن هستند دسترسی به اطلاعات در مورد مسافران و سفرها وجود ندارد. این شرکت بلافاصله به درخواست نظر برای Threatpost پاسخ نداد.

به طور متداول در پایگاه داده های معرض - که به طور کلی لزوما مخرب نیست - شرکت های مضر همچنان ادامه دارد.

در ماه آوریل، صدها میلیون حساب فیس بوک، از جمله نام حساب ها، اطلاعات شخصی و موارد دیگر، در دو مجموعه جداگانه در دسترس برنامه های کاربردی قرار گرفته است. و در ماه ژانویه یک پایگاه داده نامناسب امن متعلق به ارائه دهنده Voice over Internet از VOIPO، میلیون ها نفر از سیاهههای مربوط به تماس مشتری، سیاهههای مربوط به SMS پیام ها و اعتبار نامه ها را در متن ساده برای ماه ها باز کرده است.

Diachenko گفت که خطر داشتن MongoDB در معرض و یا مشابه پایگاه داده NoSql "بزرگ است."

او گفت: "من قبلا گزارش دادم که فقدان احراز هویت امکان نصب نرم افزارهای مخرب یا ransomware را در سرورهای MongoDB فراهم کرد. "پیکربندی عمومی اجازه می دهد تا مجرمان اینترنتی برای مدیریت کل سیستم با امتیازات اداری کامل. هنگامی که بدافزار در جایی قرار دارد، مجرمان می توانند از راه دور به منابع سرور دسترسی پیدا کنند و حتی یک اجرای کد را برای سرقت و یا نابود کردن هر گونه اطلاعات ذخیره شده که سرور وجود دارد را اجرا کند. "

وبینار Threatpost رایگان ما، "Data Security in the Cloud،" در تاریخ 24 آوریل در ساعت 2 صبح، دست نزنید. ET

یک گروه از کارشناسان، سردبیر ارشد تهدید تهیه خواهد شد تا تارا مهر و موم را به بحث در مورد چگونگی قفل کردن داده ها زمانی که محیط پیرامونی سنتی دیگر جایگزین نشده است. آنها در مورد چگونگی پذیرش خدمات ابر ارائه چالش های امنیت سایبری جدید، از جمله ایده ها و بهترین شیوه ها برای قفل کردن این معماری جدید، بحث خواهند کرد. این که آیا مدیریت و یا امنیت داخلی راه رفتن است؛ و ابعاد جانبی مانند SD-WAN و IaaS.

طبق گزارش رسانه ها، Wipro در حال بررسی پرونده هایی است که سیستم های IT خود را هک کرده اند و برای حمله به برخی از مشتریان شرکت مورد استفاده قرار می گیرند.

Bengaluru، برون سپاری فناوری اطلاعات مبتنی بر هند Wipro غول پیکر با یک حمله چند ماهه از هکرهای تحت حمایت دولتی برخورد کرده است، دو منبع مستقل به KrebsOnSecurity گفتند. منابع اظهار داشتند که سیستم های Wipro به عنوان یک نقطه پرش برای سوءاستفاده ها مورد استفاده قرار می گیرند که حداقل دوازده سیستم مشتری را هدف قرار می دهند.

طبق گفته KrebsOnSecurity، مشتریان Wipro از فعالیت های شناسایی شبکه های مخرب و مشکوک به سیستم های همکار که به طور مستقیم با شبکه Wipro ارتباط برقرار می کنند، کشف کردند. یک منبع به KrebsOnSecurity گفت که پوشه های فایل موجود بر روی زیرساخت های عقب پایان مزاحمان، پس از چندین مشتری Wipro نامگذاری شده اند، و پیشنهاد می کنند که دست کم ده ها شرکت مورد حمله قرار گرفته اند.

Wipro به طور مستقیم سوالات KrebsOnSecurity مربوط به نقص را نیافت و بلافاصله به درخواست درخواست نظر از CRN پاسخ نداد. سهام این شرکت در روز بعد از ظهر روز دوشنبه به $ 0.09 (2.05٪) به $ 4.30 کاهش می یابد.

ویپرو در بیانیه ای به KrebsOnSecurity گفت: "این شرکت دارای فرایندهای درونی قوی و سیستم پیشرفته فن آوری امنیتی برای شناسایی تلاش های فیشینگ و محافظت از خود در مقابل چنین حملاتی است." "ما به طور مداوم تمام زیرساخت های ما را در سطح بالاتری از هشیاری برای مقابله با تهدید احتمالی سایبری نظارت می کنیم."

Wipro در حال حاضر در حال ساخت یک شبکه ایمیل جدید خصوصی است، زیرا اعتقاد بر این بود که مزاحمان برای مدت زمان زیادی از سیستم ایمیل شرکت شرکت رنج می برند، منبع دیگری به KrebsOnSecurity گفت. این شرکت در حال حاضر به مشتریان نگران درباره "شاخص های سازش" یا سرنخ هایی اشاره می کند که ممکن است نشان دهنده یک نفوذ تلاش یا موفقیت باشد.

نقض گزارش شده در Wipro فقط چهار ماه پس از آن رخ می دهد که دو هکر در ارتباط با APT10 گروه APT10 گروهی از APT10 توسط وزارت دادگستری ایالات متحده به دلیل تلاش برای شکستن بیش از 45 شرکت فناوری ایالات متحده و سازمان های دولتی ایالات متحده و همچنین چندین MSPs.

تنها سازمان به طور داوطلبانه هویت خود را به عنوان قربانی چند دهه مبارزات انتخاباتی "Operation Cloud Hopper" APT10، Visma، یک میلیارد دلار نرمافزار نرمافزار تجاری بود. رویترز گزارش داد که کسب و کارهای تحت مدیریت خدمات Hewlett Packard Enterprise و IBM نیز در میان شرکتهای فناوری اطلاعات بوده که توسط هکرهای چینی در این حمله نقض شده است.

در ژانویه 2019، مرکز ملی اطلاعات و امنیت ملی یک کمپین عمومی برای آموزش کسب و کار در مورد خطرات مرتبط با حملات سایبری از نهادهای اطلاعاتی خارجی راه اندازی کرد. این تلاش زنجیره های عرضه شرکت را به عنوان یکی از اهداف اصلی شناسایی کرد که در آن بازیگران تهدید برای دسترسی به شبکه شرکتی مشتری نهایی به تامین کنندگان کسب و کار - از جمله ارائه دهندگان راه حل ها و MSP ها کمک می کنند.

در مصاحبه ای با CRN هفته گذشته، راجان کولی، رئیس جمهور وایپور، امنیت سیگنال را به عنوان یکی از چهار زمینه اصلی سرمایه گذاری شرکت به دلیل افزایش ارتباطات و دیجیتالی کردن شبکه ها، شناسایی کرد. به طور خاص، Kohli گفت که فقدان یکپارچگی بین محصولات امنیتی تأسیس شده به این معنی است که مشتریان اطلاعات زیادی را به دست می گیرند، اما بینش بسیار کمی را ممکن می سازند.

Kohli گفت: "ما این داشبورد ها را ساختیم و این چسب را ایجاد می کنیم که این محصولات مختلف را متصل می کنیم و به مشتریان کمک می کند بینش عملی ایجاد کنیم." زمان پاسخ دادن برای امنیت سایتی بسیار حیاتی است. "

اگر نرم افزار ویرایش چندرسانه ای VSDC را از اواخر فوریه تا اواخر ماه مارس سال جاری دانلود کرده باشید، شانس زیادی وجود دارد که کامپیوتر شما با تروجان بانکی و اطلاعات سرقت کننده آلوده شده است.

وب سایت رسمی نرمافزار VSDC - یکی از محبوبترین برنامههای ویرایش ویدیویی رایگان و تبدیل برنامه با بیش از 1.3 میلیون بازدید ماهانه - متاسفانه مجددا هک شد.
بر اساس گزارش جدید دکتر وب که امروز منتشر شده و با The Hacker News به اشتراک گذاشته شده، هکرها وب سایت VSDC را ربوده و لینک های دانلود نرم افزار خود را که به نسخه های مخرب منتهی می شود، فریب بازدیدکنندگان را برای نصب خطرناک تروجان بانکی Win32.Bolik.2 و KPOT Stealer جایگزین می کند.
حتی بیشتر وحشتناک است که با وجود اینکه در بین سردبیران چند رسانه ای بسیار محبوب است، وب سایت VSDC در حال اجرا است و ارائه دانلود نرم افزار بیش از یک اتصال HTTP نا امن است.
اگر چه مشخص نیست که چگونه هکرها در این زمان موفق به ربودن وب سایت شدند، محققان اعلام کردند که بر خلاف حمله سال گذشته، هرگز در معرض ابتلا به تمامی کاربران قرار نگرفت.
در عوض، محققان Dr.Web یک کد جاوا اسکریپت بر روی وب سایت VSDC پیدا کردند که برای بررسی موقعیت جغرافیایی بازدیدکنندگان و جایگزینی لینک دانلود فقط برای بازدیدکنندگان از انگلیس، ایالات متحده آمریکا، کانادا و استرالیا طراحی شده بود.
وب سایت ناامن VSDC به مدت یک ماه تروجان را توزیع کرد
کد مخرب که در وب سایت قرار داده شد، تقریبا یک ماه - بین 21 فوریه 2019 و 23 مارس 2019 تا چند روز پیش تا زمانی که محقق آن را کشف و توسعهدهندگان VSDC را تهدید کرد، نادیده گرفته شد.
کاربران هدفمند با یک تروجان بانکی خطرناک طراحی شده اند که به منظور انجام "تزریق وب، ترافیک، ردیابی کلیدی و سرقت اطلاعات از سیستم های بانک-مشتری مختلف" انجام می شود.
علاوه بر این، مهاجمان Win32.Bolik.2 تروجان را به KPOT Stealer، یک نوع از Trojan.PWS.Stealer، در 22 مارس تغییر دادند که اطلاعات را از مرورگرهای وب، حسابهای مایکروسافت، چندین سرویس پیامرسان و برخی برنامه های دیگر سرقت می کرد.
به گفته محققان، حداقل 565 بازدید کننده نرم افزار VSDC را آلوده به تروجان بانکی کرده اند، در حالی که 83 کاربر سیستم های خود را با اطلاعات سرقت اطلاعات آلوده کرده اند.
سایت VSDC چندین بار در سال های گذشته هک شده است. هکرهای ناشناخته موفق به دست آوردن دسترسی اداری به وب سایت خود شده اند و در نهایت کامپیوترهای بازدید کننده خود را با AZORult Stealer، X-Key Keylogger و Backdoor از DarkVNC جایگزین کرده اند.
اگر قربانی هستید، چه کاری انجام دهید؟
لازم به ذکر است که فقط نصب نسخه پاک بروزرسانی نرم افزار بر روی بسته مخرب، کد مخرب را از سیستم های آلوده حذف نمی کند.
بنابراین، در صورتی که شما نرم افزار را بین این مدت دانلود کرده اید، باید فورا نرم افزار آنتی ویروس را با آخرین تعاریف جدید به روز کنید و سیستم خود را برای بدافزار اسکن کنید.
علاوه بر این، کاربران آسیب دیده نیز پس از تمیز کردن سیستم ها و یا از یک دستگاه جداگانه، تغییر رمز عبور خود را برای وب سایت های مهم اجتماعی و بانکی وب تغییر می دهند.

حسگر اثر انگشت سامسونگ کهکشان S10 را می توان در یک هک فریب زد که فقط 13 دقیقه طول می کشد و شامل یک اثر انگشت چاپ شده با 3D می شود.

یک کاربر سامسونگ کهکشان S10 گفت که او توانست با استفاده از یک چاپ سه بعدی از اثر انگشت خود، حسگرهای اثر انگشت گوشی را دور بزند.

کاربر سامسونگ در این آخر هفته تحت نام مستعار "darkshark" در این آخر هفته اعلام کرد که توانسته است اثر انگشت Galaxy S10 را با استفاده از تکنیک ساده - فقط در 13 دقیقه به فریب دهد. او ابتدا عکس خود را از اثر انگشت خود گرفته، سپس آن تصویر را به Adobe Photoshop منتقل کرد و یک چاپ 3D ایجاد کرد. از آنجا، او با استفاده از چاپ 3D به صورت فیزیکی وارد شده به تلفن خود.

سامسونگ کهکشان اثر انگشت "این باعث می شود بسیاری از سوالات اخلاقی و نگرانی،" او در یک پست اخیر است که ویژگی های یک ویدیو نشان دادن هک است. "هیچ چیز من را از دزدیدن اثر انگشت خود منصرف نمی کند بدون آنکه بدانید، و سپس دستکش های خود را با اثر انگشت خود وارد کنید و جرم و جنایت را مرتکب شوید".

کاربر سامسونگ ابتدا یک عکس از اثر انگشت خود را در کنار یک شیشه شراب با استفاده از یک گوشی هوشمند گرفت. سپس تصویر را بر روی فتوشاپ کشید و کنتراست را افزایش داد. از آنجا کاربر عکس فتوشاپ را صادر کرده و یک مدل سه بعدی از آن را با استفاده از 3ds Max ایجاد کرد، که به او امکان ایجاد جابجایی هندسی از آن را داد.

او گفت: "من این مدل را به نرم افزار چاپ 3D برمیدارم و شروع به چاپ آن کردم." این چاپگر با استفاده از پرینتر رزین LCD AnyCubic Photon چاپ شد که دقیقا به حدود 10 میکرون (در ارتفاع Z، 45 میکرون در x / y) دقیق است، که بیشتر از جزئیات کافی برای گرفتن تمام خطوط در یک اثر انگشت است. "

از آنجا، او توانست تصویر چاپی 3D را بر روی گوشی فشار داده و پس از چند تلاش با برخی از ترفندها، توانست وارد سیستم شود.

اثر انگشت سامسونگ کهکشان

هک می تواند منجر به نتایج بدتر شود: "اکثر برنامه های بانکی تنها نیاز به تأیید اثر انگشت دارند، بنابراین می توانم تمام اطلاعات شما را داشته باشم و پول خود را کمتر از 15 دقیقه صرف کنم، اگر گوشی شما با اثر انگشت به تنهایی محافظت شود."

سامسونگ بلافاصله به درخواست درخواست نظر پاسخ نداد.

سنسور اثر انگشت یکی از مرکزی ترین مدل سامسونگ Galaxy S10 بود که در ماه مارس منتشر شد.

سامسونگ گفت که مدل تلفن جدید دارای یک سنسور اولتراسونیک است که گفته می شود هر دو از امنیت خواننده های اثر انگشت نوری بهتر است، زیرا از یک حسگر 3D صوتی برای ضبط قالب های مختلف در یک اثر انگشت استفاده می کند، در مقایسه با خواننده اثر انگشت نوری، که چاپ 2D را چاپ می کند، مانند عکس.

به طرز وحشیانه ای که سازنده گوشی افتخار می کند این سنسور می تواند از امواج صوتی برای تشخیص جریان خون در انگشت استفاده کند و دستگاه را از هکرهایی که می خواهند از قالب استفاده کنند، محافظت می کند. دقیقا همان چیزی است که "darkshark" توانست آن را بدست آورد.

"Darkshark" از طریق پیغام او Threatpost به این روش برای گوشی های دیگر، مانند آی فون، سعی کرده است. با این حال، "اسکنر اثر انگشت گوشی تکنولوژی قدیمی است و به روش های مختلف مورد ضرب و شتم قرار گرفته است."

در واقع، اثر انگشت و دیگر نگرانی های مربوط به امنیت بیومتریک به عنوان راه های مؤثر برای مهاجم برای فیزیکی از این اقدامات برای دسترسی به یک تلفن قربانی ظاهر شده است.

پیش از این در ماه نوامبر، یک نقص طراحی که بر روی تمام سنسورهای اثر انگشت در نمای نمایشگر اثر گذارده می شد - که بیش از دوازده مدل تلفن همراه آسیب پذیر به حمله بی نظیر قفل صفحه نمایش بود - بی آرمان بود. این نقص به یک اشکال در تکنولوژی خواننده اثر انگشت محبوب در نمایشگر مورد استفاده برای تأیید هویت کاربر گره خورده بود.