هشدارهای امنیتی

راهکارهایی جهت ارتقای امنیت شبکه و مقابله با حملات سایبری

لایسنس ویندوز 10 پرو

به روز رسانی KB4474419 و kb3118401 در ویندوز

بسیار مهم! غیر فعال کردن پروتکل SMB.V1

به‌روزرسانی‌های امنیتی مایکروسافت – ماه تیر

‫ سوءاستفاده‌ی باج‌افزار SODIN از يک نقص افزايش دسترسی ويندوز

به تازگی #‫باج‌_افزار جدیدی به نام #‫SodinoKibi ( Sodin یا REvil) کشف شده است که از آسیب‌پذیری روزصفرم ویندوز با شناسه‌ی CVE-2018-8453 به‌منظور افرایش دسترسی سوءاستفاده می‌کند تا در میزبان‌های آلوده به امتیاز مدیریتی دست یابد.
این آسیب‌‌پذیری در به‌روزرسانی‌های امنیتی ماه اکتبر سال 2018 مایکروسافت وصله شده است. کسپرسکی همان آسیب‌پذیری را در باج‌افزار sodin کشف کرده‌اند که به گفته‌ی آنها، به ندرت چنین آسیب‌پذیری در باج‌افزار استفاده می‌شود.
در حال حاضر این باج‌افزار در سراسر جهان در حال گسترش است و عمده‌ی آلودگی‌های آن در منطقه آسیا و اقیانوس آرام مشاهده شده است، به ویژه در تایوان (17.56%)، هنگ‌کنگ و کره‌جنوبی (8.78%). کشورهای دیگری که Sodinokibi در آن‌ها شناسایی شده‌ است عبارتند از ژاپن (8.05%)، ایتالیا (5.12%)، اسپانیا (4.88%)، ویتنام (2.93%)، ایالات‌متحده امریکا (2.44%) و مالزی (2.2%).
با آمدن باج‌افزار Sodin، باج‌افزار GandCrab تمامی فعالیت‌های خود را در ماه گذشته متوقف ساخته است. GandCrab فعال‌ترین باج‌افزار تاکنون بوده است .
محققان یک تجزیه و تحلیل فنی از فرایند افزایش امتیاز که به این تهدید اجازه می‌دهد به امتیاز سیستمی دست یابد را منتشر ساخته‌اند. Sodin به‌منظور افزایش امتیاز از یک آسیب‌پذیری روزصفرم در win32k.sys سوءاستفاده می‌کند. بدنه‌ی هر نمونه Sodin شامل یک قطعه‌ پیکربندی رمزنگاری‌‌شده است که تنظیمات و داده‌‌های استفاده‌شده توسط بدافزار را ذخیره می‌سازد. پس از راه‌اندازی، Sodin قطعه‌ی پیکربندی را بررسی می‌کند که آیا گزینه‌ای که سوءاستفاده را به کار می‌گیرد فعال است یا نه. اگر فعال باشد، Sodin معماری پردازنده‌ای که اجرا می‌کند را بررسی می‌کند و سپس یکی از دو shellcode گنجانده‌شده در بدنه‌ی این تروجان را بسته به معماری پردازنده، اجرا می‌کند. این shellcode تلاش می‌کند یک سری خاص از توابع WinAPI با آرگومان‌های ساختگی مخرب را به‌منظور راه‌اندازی آسیب‌پذیری فراخوانی کند. بدین ترتیب، این تروجان به بالاترین سطح دسترسی در سیستم دست می‌یابد. در اینجا هدف این است که راه‌حل‌های امنیتی نتوانند به راحتی این بدافزار را شناسایی کنند.
Sodin یک طرح ترکیبی را برای رمزگذاری داده‌ها پیاده‌سازی می‌کند. این طرح از یک الگوریتم متقارن برای رمزگذاری فایل‌ها و رمزگذاری نامتقارن منحنی بیضوی برای حفاظت از کلید استفاده می‌کند.
کلید خصوصی نیز با یک کلید عمومی دومی که در بدافزار گنجانده شده است رمزگذاری و نتیجه در رجیستری ذخیره می‌شود.
پس از رمزگذاری فایل‌ها، sodinokibi یک افزونه‌ی تصادفی که برای هر رایانه‌ای که آلوده کرده است متفاوت است را ضمیمه می‌کند.
کد مخرب Sodin فایل‌های تنظیمات صفحه‌کلید مخصوص کشورهای خاصی از جمله روسیه، اوکراین، بلاروس، تاجیکستان، ارمنستان، آذربایجان، گرجستان، قزاقستان، قرقیزستان، ترکمنستان، مالدیو، ازبکستان و سوریه را رمزگذاری نخواهد کرد.

بروزرسانی‌های-امنیتی-سیسکو-هفته-اول-تیر

به‌روزرسانی‌های امنیتی مایکروسافت – ماه خرداد

ایکروسافت به‌روزرسانی‌های امنیتی مربوط به ماه ژوئن ۲۰۱۹ را منتشر کرده که در آن ۸۸ آسیب‌پذیری دارای درجه حساسیت بحرانی رفع شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، چهار مورد از آسیب‌پذیری‌های روز صفر که در ماه گذشته برای نسخه‌های مختلف ویندوز منتشر شدند، در وصله‌های ماه ژوئن مایکروسافت برطرف شده‌اند. این چهار آسیب‌پذیری روز صفر موارد CVE-۲۰۱۹-۱۰۶۹، CVE-۲۰۱۹-۱۰۵۳، CVE-۲۰۱۹-۱۰۶۴ و CVE-۲۰۱۹-۰۹۷۳ هستند.
یک آسیب‌پذیری روز صفر دیگر که هفته گذشته معرفی شد در وصله‌های این ماه برطرف نشده است.
در این ماه، مایکروسافت چهار نقص اجرای کد از راه دور (RCE) که چیپست‌های Broadcom را تحت تاثیر قرار می‌دهند، را رفع کرده است. این چیپست‌ها در دستگاه‌های HoloLens قرار دارند. شناسه‌های این چهار نقص CVE-۲۰۱۹-۹۵۰۰، CVE-۲۰۱۹-۹۵۰۱، CVE-۲۰۱۹-۹۵۰۲ و CVE-۲۰۱۹-۹۵۰۲ هستند. علاوه بر این، نه نقص RCE در موتور Chakra Scripting (موجود در مرورگر Edge)، چهار نقص RCE در موتور Microsoft Scripting، سه نقص RCE در ناظر ماشین مجازی Microsoft Hyper-V، یک نقص RCE در Microsoft Speech API و یک نقص RCE در مرورگرهای Edge و Internet Explorer نیز رفع شده است.
نکته دیگر درباره این به‌روزرسانی‌ها این است که طبق هشدار مایکروسافت، برخی از کلیدهای امنیتی مبتنی بر بلوتوث ممکن است پس از اعمال وصله‌های این ماه کار نکنند. این مورد بدلیل پیکربندی نامناسب در پروتکل اتصال آن‌ها انجام شده است.
لیست کامل آسیب‌پذیری‌های رفع شده در جدول زیر ارائه شده است:

محصول آسیب‌دیدهشناسه آسیب‌پذیری
Servicing Stack UpdatesADV۹۹۰۰۰۱
Adobe Flash PlayerADV۱۹۰۰۱۵
Microsoft DevicesADV۱۹۰۰۱۶
Microsoft DevicesADV۱۹۰۰۱۷
Microsoft Exchange ServerADV۱۹۰۰۱۸
KerberosCVE-۲۰۱۹-۰۹۷۲
Microsoft BrowsersCVE-۲۰۱۹-۱۰۸۱
Microsoft BrowsersCVE-۲۰۱۹-۱۰۳۸
Microsoft EdgeCVE-۲۰۱۹-۱۰۵۴
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۱۸
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۴۷
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۴۶
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۱۳
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۱۵
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۱۶
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۴۸
Microsoft Graphics ComponentCVE-۲۰۱۹-۰۹۷۷
Microsoft Graphics ComponentCVE-۲۰۱۹-۰۹۶۰
Microsoft Graphics ComponentCVE-۲۰۱۹-۰۹۶۸
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۴۹
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۵۰
Microsoft Graphics ComponentCVE-۲۰۱۹-۰۹۸۵
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۱۰
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۰۹
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۱۱
Microsoft Graphics ComponentCVE-۲۰۱۹-۱۰۱۲
Microsoft JET Database EngineCVE-۲۰۱۹-۰۹۰۵
Microsoft JET Database EngineCVE-۲۰۱۹-۰۹۷۴
Microsoft JET Database EngineCVE-۲۰۱۹-۰۹۰۴
Microsoft JET Database EngineCVE-۲۰۱۹-۰۹۰۶
Microsoft JET Database EngineCVE-۲۰۱۹-۰۹۰۸
Microsoft JET Database EngineCVE-۲۰۱۹-۰۹۰۹
Microsoft JET Database EngineCVE-۲۰۱۹-۰۹۰۷
Microsoft OfficeCVE-۲۰۱۹-۱۰۳۵
Microsoft OfficeCVE-۲۰۱۹-۱۰۳۴
Microsoft Office SharePointCVE-۲۰۱۹-۱۰۳۲
Microsoft Office SharePointCVE-۲۰۱۹-۱۰۳۶
Microsoft Office SharePointCVE-۲۰۱۹-۱۰۳۱
Microsoft Office SharePointCVE-۲۰۱۹-۱۰۳۳
Microsoft Scripting EngineCVE-۲۰۱۹-۱۰۰۲
Microsoft Scripting EngineCVE-۲۰۱۹-۰۹۹۱
Microsoft Scripting EngineCVE-۲۰۱۹-۱۰۸۰
Microsoft Scripting EngineCVE-۲۰۱۹-۱۰۲۳
Microsoft Scripting EngineCVE-۲۰۱۹-۰۹۹۳
Microsoft Scripting EngineCVE-۲۰۱۹-۰۹۹۲
Microsoft Scripting EngineCVE-۲۰۱۹-۱۰۲۴
Microsoft Scripting EngineCVE-۲۰۱۹-۰۹۹۰
Microsoft Scripting EngineCVE-۲۰۱۹-۰۹۸۸
Microsoft Scripting EngineCVE-۲۰۱۹-۰۹۸۹
Microsoft Scripting EngineCVE-۲۰۱۹-۱۰۵۵
Microsoft Scripting EngineCVE-۲۰۱۹-۱۰۵۲
Microsoft Scripting EngineCVE-۲۰۱۹-۱۰۵۱
Microsoft Scripting EngineCVE-۲۰۱۹-۰۹۲۰
Microsoft Scripting EngineCVE-۲۰۱۹-۱۰۰۳
Microsoft WindowsCVE-۲۰۱۹-۱۰۶۹
Microsoft WindowsCVE-۲۰۱۹-۱۰۶۴
Microsoft WindowsCVE-۲۰۱۹-۰۸۸۸
Microsoft WindowsCVE-۲۰۱۹-۱۰۲۵
Microsoft WindowsCVE-۲۰۱۹-۱۰۴۵
Microsoft WindowsCVE-۲۰۱۹-۱۰۴۳
Microsoft WindowsCVE-۲۰۱۹-۰۷۱۰
Microsoft WindowsCVE-۲۰۱۹-۰۷۰۹
Microsoft WindowsCVE-۲۰۱۹-۰۷۲۲
Microsoft WindowsCVE-۲۰۱۹-۰۹۴۳
Microsoft WindowsCVE-۲۰۱۹-۰۷۱۳
Microsoft WindowsCVE-۲۰۱۹-۰۹۸۳
Microsoft WindowsCVE-۲۰۱۹-۰۹۸۴
Microsoft WindowsCVE-۲۰۱۹-۰۷۱۱
Microsoft WindowsCVE-۲۰۱۹-۰۹۴۸
Microsoft WindowsCVE-۲۰۱۹-۰۹۵۹
Microsoft WindowsCVE-۲۰۱۹-۰۹۹۸
Skype for Business and Microsoft LyncCVE-۲۰۱۹-۱۰۲۹
Team Foundation ServerCVE-۲۰۱۹-۰۹۹۶
VBScriptCVE-۲۰۱۹-۱۰۰۵
Windows Authentication MethodsCVE-۲۰۱۹-۱۰۴۰
Windows Hyper-VCVE-۲۰۱۹-۰۶۲۰
Windows IISCVE-۲۰۱۹-۰۹۴۱
Windows InstallerCVE-۲۰۱۹-۰۹۷۳
Windows KernelCVE-۲۰۱۹-۱۰۴۴
Windows KernelCVE-۲۰۱۹-۱۰۱۴
Windows KernelCVE-۲۰۱۹-۱۰۱۷
Windows KernelCVE-۲۰۱۹-۱۰۶۵
Windows KernelCVE-۲۰۱۹-۱۰۴۱
Windows KernelCVE-۲۰۱۹-۱۰۳۹
Windows MediaCVE-۲۰۱۹-۱۰۲۶
Windows MediaCVE-۲۰۱۹-۱۰۰۷
Windows MediaCVE-۲۰۱۹-۱۰۲۷
Windows MediaCVE-۲۰۱۹-۱۰۲۲
Windows MediaCVE-۲۰۱۹-۱۰۲۱
Windows MediaCVE-۲۰۱۹-۱۰۲۸
Windows NTLMCVE-۲۰۱۹-۱۰۱۹
Windows ShellCVE-۲۰۱۹-۰۹۸۶
Windows ShellCVE-۲۰۱۹-۱۰۵۳
لایسنس ویندوز 10 پرو

وصله امنیتی مهم برای رفع آسیب پذیری Blukeep در ویندوزهای قدیمی.

این آسیب‌پذیری خیلی زود به BlueKeep معروف شد و توجه محققان امنیتی – و قطعا بسیاری از هکرها و نویسندگان ویروس – را به خود جلب کرد.

جالب اینکه این نسخه‌های قدیمی  ویندوز هستند که از آسیب‌پذیری بلو کیپ با درجه حیاتی بالا تأثیر می‌پذیرند. مایکروسافت با تأکید بسیار زیادی نسبت به پرخطر بودن آن هشدار داده و آن را کرم‌گونه (Wormable) توصیف کرده است.

این بدان معناست که مهاجم می‌تواند با تزریق کد حاوی بهره‌جوی (Exploit) این آسیب‌پذیری به بدافزار، آن را به کرمی تبدیل کند که به ‌صورت خودکار دستگاه‌های آسیب‌پذیر را شناسایی و بدون نیاز به هر گونه دخالت کاربر، از راه دور آنها را به بدافزار آلوده می کند.

شدت این آسیب‌پذیری به حدی است که مایکروسافت برای سیستم‌های عامل از رده خارج خود نیز اقدام به عرضه اصلاحیه کرده است.

لذا به تمامی کاربران و راهبران شبکه توصیه می‌شود در صورتی که هنوز اصلاحیه BlueKeep را نصب نکرده‌اند در اسرع وقت نسبت به انجام آن اقدام کنند.

اصلاحیه عرضه شده برای نسخه‌های از رده خارج زیر در اینجا قابل دریافت است.

  • Windows XP SP3 x86
  • Windows XP Professional x64 Edition SP2
  • Windows XP Embedded SP3 x86
  • Windows Server 2003 SP2 x86
  • Windows Server 2003 x64 Edition SP2

اصلاحیه منتشر شده برای نسخه‌های زیر نیز در اینجا قابل دریافت می‌باشد.

  • Windows 7 for 32-bit Systems
  • Windows 7 for x64-based Systems
  • Windows Server 2008 for 32-bit Systems
  • Windows Server 2008 for 32-bit Systems (Server Core installation)
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 for x64-based Systems
  • Windows Server 2008 for x64-based Systems (Server Core installation)
  • Windows Server 2008 R2 for Itanium-Based Systems
  • Windows Server 2008 R2 for x64-based Systems
  • Windows Server 2008 R2 for x64-based Systems (Server Core installation)

با ما تماس بگیرید.