وردپرس ۵.۸.۱ منتشر شد: رفع چندین باگ و سه آسیب‌پذیری امنیتی

 
وردپرس به‌تازگی از آپدیت جدیدی رونمایی کرده که به حفظ این سیستم مدیریت محتوا کمک می‌کند و سه مشکل امنیتی نسخه‌های ۵.۴ تا ۵.۸ را برطرف می‌سازد. این نسخه همچنین شامل ۴۱ رفع باگ در بخش هسته و ۲۰ رفع باگ در ادیتور بلاک است.
 
وردپرس ۵.۸.۱ امروز منتشر شده و برای عموم کاربران در دسترس قرار گرفته است. این نسخه مشکل آسیب‌پذیری REST API، آسیب‌پذیری XSS در ادیتور گوتنبرگ و چند آسیب‌پذیری خطرناک دیگر در کتابخانه Lodash JavaScript را برطرف می‌کند.
 
آپدیت جدید وردپرس با مدیریت دو کارمند این شرکت به نام‌های «جاناتان دسروسیرز» و «ایوان مولینز» توسعه یافته است. این دو نفر در پستی در وبلاگ وردپرس از همه کسانی تشکر کرده‌اند که آسیب‌پذیری‌ها را در دوره بتای ۵.۸ گزارش کرده بودند. این گزارش‌ها به تیم امنیتی وردپرس اجازه داد تا پیش از افشای آن‌ها در سطح اینترنت فرصت رفع باگ را داشته باشند.
 
برای درک سه مشکل امنیتی اصلی وردپرس که در این نسخه برطرف شده باید توضیحاتی ارائه کنیم. REST API یک رابط برنامه‌نویسی است که مطابقت با سبک معماری REST را ایجاد می‌کند و به خدمات وب RESTful اجازه تعامل می‌دهد. اسکریپت‌نویسی میان-سایتی (XSS) نوعی آسیب‌پذیری امنیتی وب است که به مهاجم اجازه می‌دهد تعاملات کاربر با اپلیکیشن‌های آسیب‌پذیر را در معرض خطر قرار دهد.
 
کتابخانه Lodash هم در تمامی انشعاب‌ها به نسخه ۴.۱۷.۲۱ به‌روز شده تا اصلاحات امنیتی بالادستی را دربر بگیرد. وردپرس با این آپدیت، امنیت و پایداری نرم‌افزار خود را ارتقا داده و به کاربران حقیقی و حقوقی کمک می‌کند تا تجربه بهتری از این سیستم مدیریت محتوا داشته باشند.
 
بر اساس گزارشی که سال گذشته منتشر شد، محبوبیت وردپرس همچنان در حال رشد است و داده‌های W3Techs نشان می‌دهد که ۴۰ درصد سایت‌های دنیا از این سیستم مدیریت محتوا استفاده می‌کنند. ایران پس از آفریقای جنوبی در رتبه دوم بیشترین استفاده از وردپرس قرار داشت.

وردپرس ۵.۸.۱ منتشر شد: رفع چندین باگ و سه آسیب‌پذیری امنیتی

 
وردپرس به‌تازگی از آپدیت جدیدی رونمایی کرده که به حفظ این سیستم مدیریت محتوا کمک می‌کند و سه مشکل امنیتی نسخه‌های ۵.۴ تا ۵.۸ را برطرف می‌سازد. این نسخه همچنین شامل ۴۱ رفع باگ در بخش هسته و ۲۰ رفع باگ در ادیتور بلاک است.
 
وردپرس ۵.۸.۱ امروز منتشر شده و برای عموم کاربران در دسترس قرار گرفته است. این نسخه مشکل آسیب‌پذیری REST API، آسیب‌پذیری XSS در ادیتور گوتنبرگ و چند آسیب‌پذیری خطرناک دیگر در کتابخانه Lodash JavaScript را برطرف می‌کند.
 
آپدیت جدید وردپرس با مدیریت دو کارمند این شرکت به نام‌های «جاناتان دسروسیرز» و «ایوان مولینز» توسعه یافته است. این دو نفر در پستی در وبلاگ وردپرس از همه کسانی تشکر کرده‌اند که آسیب‌پذیری‌ها را در دوره بتای ۵.۸ گزارش کرده بودند. این گزارش‌ها به تیم امنیتی وردپرس اجازه داد تا پیش از افشای آن‌ها در سطح اینترنت فرصت رفع باگ را داشته باشند.
 
برای درک سه مشکل امنیتی اصلی وردپرس که در این نسخه برطرف شده باید توضیحاتی ارائه کنیم. REST API یک رابط برنامه‌نویسی است که مطابقت با سبک معماری REST را ایجاد می‌کند و به خدمات وب RESTful اجازه تعامل می‌دهد. اسکریپت‌نویسی میان-سایتی (XSS) نوعی آسیب‌پذیری امنیتی وب است که به مهاجم اجازه می‌دهد تعاملات کاربر با اپلیکیشن‌های آسیب‌پذیر را در معرض خطر قرار دهد.
 
کتابخانه Lodash هم در تمامی انشعاب‌ها به نسخه ۴.۱۷.۲۱ به‌روز شده تا اصلاحات امنیتی بالادستی را دربر بگیرد. وردپرس با این آپدیت، امنیت و پایداری نرم‌افزار خود را ارتقا داده و به کاربران حقیقی و حقوقی کمک می‌کند تا تجربه بهتری از این سیستم مدیریت محتوا داشته باشند.
 
بر اساس گزارشی که سال گذشته منتشر شد، محبوبیت وردپرس همچنان در حال رشد است و داده‌های W3Techs نشان می‌دهد که ۴۰ درصد سایت‌های دنیا از این سیستم مدیریت محتوا استفاده می‌کنند. ایران پس از آفریقای جنوبی در رتبه دوم بیشترین استفاده از وردپرس قرار داشت.

دومین رویداد CTB باگدشت با شناسایی ۶۰ باگ به پایان رسید

 
رویداد شناسایی باگ‌های امنیتی، «CTB» یا «Capture The Bug» برای دومین سال پیاپی توسط مجموعه باگدشت در شهریور ماه ۱۴۰۰ برگزار شد. هدف اصلی برگزاری این رویداد فرهنگ‌سازی و تشویق همکاری میان متخصصان امنیتی و سازمان‌های کشور بود. این مسابقه در مدت ۴ روز از ۱۰ شهریور تا ۱۳ شهریور به‌صورت آنلاین برگزار شد. چالش‌هایی که در این مسابقه وجود داشت، بررسی سامانه‌های «دانا اپ»، «RBT یا آهنگ پیشواز» و «خدمات ابری» از ایرانسل، نسخه جدید اپلیکیشن «همراه کارت» که هنوز وارد بازار نشده و «راهکار نفوذ به گوشی‌های اندرویدی نسخه ۶ به بالا بدون حذف اطلاعات» به درخواست فپنا بود و در پایان این مسابقه بیش از ۶۰ گزارش ثبت شد.
 
رویداد شناسایی باگ‌های امنیتی، نخستین بار توسط باگدشت در سال ۱۳۹۹ و با حمایت دو شرکت ایرانسل و ارتباط فردا و همچنین همراهی معاونت نوآوری ریاست جمهوری، پلیس فتا و مرکز افتای ریاست جمهوری برگزار شد. متخصصان امنیتی VIP باگدشت براساس عملکرد سالانه خود به این رویداد دعوت می‌شوند. رویداد CTB سال گذشته در مدت ۲۴ ساعت انجام شد اما امسال به مدت ۶ روز برگزار شد که علاوه بر مسابقه شناسایی باگ‌های امنیتی، دوره‌های آموزشی تخصصی باگ بانتی حرفه‌ای و کدنویسی امن هم توسط حامد ایزدی، حسین نفیسی اصل و سعیده زینالی برای شرکت‌کنندگان برگزار شد. در نهایت هم در روز ششم و پایانی، جوایز نفرات برتر به‌صورت حضوری اهدا شد. از میان متخصصان امنیت VIP باگدشت، احمد داورپناه، به عنوان نفراول، سیاوش افشار، به عنوان نفر دوم، و امید شجاعی، به عنوان نفر سوم، انتخاب شدند. جایزه نفرات اول تا سوم هم به ترتیب گوشی سامسونگ گلکسی S20، ساعت هوشمند گلکسی واچ و هدفون سامسونگ گلکسی بادز ۲ بود که در پایان مراسم به آنها اهدا شد.
 
رویا دهبسته، مدیرعامل باگدشت در خصوص برگزاری این رویداد به پیوست گفت: «این رویداد با حمایت مالی شرکت‌های ایرانسل، همراه‌کارت و فپنا برگزار شد که به دلیل این حمایت، یک یا چند سامانه‌ از این شرکت‌ها توسط متخصصان امنیت VIP باگدشت و براساس قوانین باگ‌بانتی، مورد تست قرار می‌گیرد.»
 
به گفته او در یک سال اخیر تعداد متخصصانی که با حوزه باگ‌بانتی آشنا شدند بسیار بیشتر شده و از همین رو، متخصصان امنیت VIP باگدشت از حدود ۲۰ نفر در سال گذشته به حدود ۳۵ نفر افزایش پیدا کردند که این متخصصان هم از سراسر کشور در این مسابقه حضور داشتند.
 
دهبسته اعلام کرد هر باگ امنیتی که در این رویداد شناسایی شده، مجددا توسط تیم امنیت باگدشت مورد بررسی قرار می‌گیرد و پس از تایید، گزارش باگ به همراه راهکار فنی رفع مشکل به سازمان اعلام می‌شود.
 
در روز اختتامیه این رویداد، جزییات چندین رایتاپ امنیتی تخصصی از شرکت‌های فیسبوک، تسلا و دیگر شرکت‌ها به‌صورت اجرای زنده و تحلیلی توسط حسین نفیسی اصل و عباس هیبتی از متخصصان اختصاصی باگدشت ارائه شد که مورد استقبال حضار قرار گرفت.

پاداش ۱۳٫۶ میلیون دلاری مایکروسافت به شکارچیان باگ

 
برنامه‌های شکار باگ بخش مهمی از استراتژی مایکروسافت برای همکاری با جامعه محققان امنیتی و افزایش ایمنی سیستم‌های این شرکت است. حالا مایکروسافت در گزارشی به مرور آمارهای یکسال اخیر در این زمینه پرداخت است.
 
مایکروسافت در طول ۱۲ ماه گذشته به بیش از ۳۴۰ شکارچی باگ در ۵۸ کشور حدود ۱۳.۶ میلیون دلار پاداش داده است. بالاترین جایزه حدود ۲۰۰ هزار دلار بوده که از طریق برنامه Hyper-V Bounty Program به برنده اهدا شده است. مبلغ جوایز به‌طور میانگین در همه برنامه‌ها بیش از ۱۰ هزار دلار بوده و مجموعا بیش از ۱۲۰۰ گزارش صحیح ثبت شده که نشان‌دهنده استقبال محققان از این برنامه‌ها و تاثیر آن‌ها بر افزایش امنیت پروژه‌های این شرکت است.
 
نمودار توزیع جغرافیایی محققانی که در برنامه مایکروسافت مشارکت کرده‌اند (هرچه تیره‌تر بیشتر)
مایکروسافت می‌گوید به طور مداوم در حال ارزیابی تهدیدهای موجود است تا متناسب با آن‌ها برنامه‌های خود را ارتقا دهد. این شرکت به بازخورد محققان توجه زیادی دارد و سعی می‌کند سازوکار آسان‌تری را برای انتشار تحقیقات آن‌ها مهیا سازد. مایکروسافت امسال عمده تمرکز خود را روی چالش‌ها و سناریوهای جدیدی گذاشت که بیشترین تاثیر را روی کاربر می‌گذارند.
 
 
ردموندی‌ها مدعی‌اند که با این کار نه تنها توانسته‌اند مشکلات بیشتری را در زمینه امنیت و حریم خصوصی شناسایی و رفع کنند، بلکه جوایز ارزنده‌تری را در ازای تلاش محققان به دست آن‌ها برسانند. برنامه‌های به‌روز شده و جدید مایکروسافت برای شکار باگ‌ها از قرار زیر است:
 
Windows Insider Preview Bounty Program
Researcher Recognition Program
(Microsoft Applications Bounty Program (Teams Desktop
SIKE Cryptographic Challenge
مایکروسافت در انتهای گزارش خود می‌گوید: «از همه کسانی که امسال تحقیقات خود را با مایکروسافت به اشتراک گذاشتند و موجب ارتقای امنیت میلیون‌ها کاربر شدند، بسیار سپاسگزاریم.» این شرکت وعده داده که در آینده برنامه‌های شکار باگ بیشتری را معرفی خواهد کرد و به سرمایه‌گذاری در جامعه محققان امنیتی ادامه خواهد داد.
 
بهره‌برداری از این آسیب‌پذیری امکان تغییر پسورد را فراهم می‌آورد. در Sambaهایی که به عنوان کنترلر دامنه‌ NT4-like در حال اجرا هستند، خطر کمتر از زمانی‌ است که Samba به عنوان کنترلر دامنهActive Directory اجرا می‌شود. تغییر حساب کاربری ماشین در این دامنه‌ها به هکرها حق دسترسی محدودی مشابه دیگر اعضای سرور یا دامنه‌های مورد اعتماد را می‌دهد؛ اما در دامنه‌های AD تغییر پسورد کنترلر دامنه، امکان افشای کامل پایگاه‌داده پسوردها شامل پسوردkrbtgt، درهم‌سازی MD4 پسورد هر کاربر و درهم‌سازی پسورد LM را در صورتی که ذخیره شده باشد، فراهم می‌آورد. پسورد krbtgt به مهاجم این امکان را می‌دهد تا با صدور 'golden ticket' برای خود امکان بازگشت و در اختیار گرفتن دامنه را در هر زمانی‌ در آینده داشته باشد.
Samba برای برخی از دامنه‌ها که از نرم‌افزارهای شخص سوم استفاده می‌کنند و این نرم‌افزارها نمی‌توانند با تنظیم 'server schannel = yes' کار کنند نیز راه‌حل دارد. در این مواقع کافیست در پیکربندی Samba به ماشین‌های خاص اجازه دسترسی از کانال ناامن داده شود. برای مثال اگر تنظیمات زیر در smb.conf اعمال شود تنها به "triceratops$" و "greywacke$" این امکان می‌دهد که از کانال ناامن به Netlogon متصل شوند.
 
server schannel = yes
server require schannel:triceratops$ = no
server require schannel:greywacke$ = no
 
توجه به این نکته ضروریست که تنظیم schannel = yes در فایل پیکربندی به صورت کامل از شما محافظت نخواهد کرد. حتی در صورتی که این تنظیمات در فایل پیکربندی فعال باشد باز هم ممکن است Samba آسیب‌پذیر باشد. هر چند امکان دسترسی به وظیفه‌مندی‌های دارای امتیاز خاص (privileged functionality) وجود نخواهد داشت.
Samba در به‌روزرسانی خود که از طریق آدرس https://www.samba.org/samba/security در دسترس است بررسی‌های بیشتری را در سرور در مقابل حملات به این پروتکل‌ها افزوده است که این به‌روزرسانی در صورتی که server schannel برابر no یا auto باشد از Samba محافظت خواهد کرد. همچنین آسیب‌پذیری در نسخه 4.12.7، 4.10.18 و 4.11.13 رفع شده است بنابراین از مدیران Samba در خواست می‌شود، محصولات خود را به‌روزرسانی نمایند.
 
 
'>

به‌روزرسانی SAMBA و رفع آسیب‌پذیری CVE-2020-1472

تیم Samba برای رفع آسیب‌پذیری Netlogon با شناسه CVE-2020-1472 در نسخه‌های مختلف Samba به‌روزرسانی‌های امنیتی جدیدی را منتشر کرده ‌است. این آسیب‌پذیری به مهاجم راه دور امکان می‌دهد تا کنترل سیستم آسیب‌‌پذیر را در دست بگیرد. پیش از این، برای اشکال امنیتی در پروتکل Netlogon، مایکروسافت در اگوست سال 2020 میلادی به‌روزرسانی ارائه کرد. ازآنجاییکه Samba نیز این پروتکل را پیاد‌ه‌سازی کرده است پس Samba نیز آسیب‌پذیر است.
 
از آنجاییکه نسخه‌ 4.8 از Samba و نسخه‌های بعد از آن به صورت پیش‌فرض از کانال امن پروتکل Netlogon استفاده می‌کنند و همین کانال امن برای مقابله با اکسپلویت موجود کافی است. مگر اینکه فایل پیکربندی smb.conf در این نسخه‌ها تغییر داده شده و server schannelبرابر auto یاno قرار داده شود. نسخه‌ 4.7 از Samba و نسخه‌های پیش‌تر از آن آسیب پذیر هستند مگر اینکه خط 'server schannel = yes' را در فایل پیکربندی smb.conf خود داشته باشند. بنابراین لازم است هر محصولی که نسخه‌های پیش‌تر از 4.7 از Samba را پشتیبانی می‌کند با افزودن این خط در فایل پیکربندی smb.conf محصول خود را در برابر این آسیب پذیری به‌روزرسانی نماید.
 
بهره‌برداری از این آسیب‌پذیری امکان تغییر پسورد را فراهم می‌آورد. در Sambaهایی که به عنوان کنترلر دامنه‌ NT4-like در حال اجرا هستند، خطر کمتر از زمانی‌ است که Samba به عنوان کنترلر دامنهActive Directory اجرا می‌شود. تغییر حساب کاربری ماشین در این دامنه‌ها به هکرها حق دسترسی محدودی مشابه دیگر اعضای سرور یا دامنه‌های مورد اعتماد را می‌دهد؛ اما در دامنه‌های AD تغییر پسورد کنترلر دامنه، امکان افشای کامل پایگاه‌داده پسوردها شامل پسوردkrbtgt، درهم‌سازی MD4 پسورد هر کاربر و درهم‌سازی پسورد LM را در صورتی که ذخیره شده باشد، فراهم می‌آورد. پسورد krbtgt به مهاجم این امکان را می‌دهد تا با صدور 'golden ticket' برای خود امکان بازگشت و در اختیار گرفتن دامنه را در هر زمانی‌ در آینده داشته باشد.
Samba برای برخی از دامنه‌ها که از نرم‌افزارهای شخص سوم استفاده می‌کنند و این نرم‌افزارها نمی‌توانند با تنظیم 'server schannel = yes' کار کنند نیز راه‌حل دارد. در این مواقع کافیست در پیکربندی Samba به ماشین‌های خاص اجازه دسترسی از کانال ناامن داده شود. برای مثال اگر تنظیمات زیر در smb.conf اعمال شود تنها به "triceratops$" و "greywacke$" این امکان می‌دهد که از کانال ناامن به Netlogon متصل شوند.
 
server schannel = yes
server require schannel:triceratops$ = no
server require schannel:greywacke$ = no
 
توجه به این نکته ضروریست که تنظیم schannel = yes در فایل پیکربندی به صورت کامل از شما محافظت نخواهد کرد. حتی در صورتی که این تنظیمات در فایل پیکربندی فعال باشد باز هم ممکن است Samba آسیب‌پذیر باشد. هر چند امکان دسترسی به وظیفه‌مندی‌های دارای امتیاز خاص (privileged functionality) وجود نخواهد داشت.
Samba در به‌روزرسانی خود که از طریق آدرس https://www.samba.org/samba/security در دسترس است بررسی‌های بیشتری را در سرور در مقابل حملات به این پروتکل‌ها افزوده است که این به‌روزرسانی در صورتی که server schannel برابر no یا auto باشد از Samba محافظت خواهد کرد. همچنین آسیب‌پذیری در نسخه 4.12.7، 4.10.18 و 4.11.13 رفع شده است بنابراین از مدیران Samba در خواست می‌شود، محصولات خود را به‌روزرسانی نمایند.
 
 

‫ آغاز اولین مرحله از مسابقات کشف باگ و آسیب‌پذیری مرکز ماهر

اولین مرحله از مسابقات کشف باگ و آسیب‌پذیری مرکز ماهر در سامانه کلاه سفید با شرکت دو وبسایت متعلق به سازمان فناوری اطلاعات آغاز شد. وبسایت‌های شرکت کننده در مسابقه:
https://nama.ito.gov.ir
https://irannoafarin.ir
جزییات بیشتر از نحوه برگزاری مسابقه در صفحه اختصاصی آن در سامانه کلاه سفید در دسترس است:
https://kolahsefid.cert.ir/Contest/250.html

مایکروسافت آفیس و آسیب‌پذیری‌هایش

ایدکو: برخی نشست‌ها در کنفرانس SAS 2019 نه تنها به حملات پیچیده‌ی APT اختصاص داده‌ شده‌ است؛ بلکه همچنین امور پژوهشیِ محققین ضدبدافزارِ ما را نیز در طی آن‌ها مورد بررسی قرار می‌گیرد. متخصصین ما بوریس لارین، ولاد استولیاروو و الکساندر لیسکین، تحقیقاتی را تحت عنوان «گرفتن حملات روز صفر چندلایه‌ای روی مایکروسافت آفیس[1]» آماده کردند که تمرکز اصلی‌اش روی ابزارهایی بود که به آن‌ها کمک می‌کرد بتوانند بدافزارها را مورد تحلیل و بررسی قرار دهند؛ اما آن‌ها همچنین چشم‌انداز فعلیِ تهدید  Microsoft Office را نیز در این پژوهش لحاظ نمودند. تغییرات پیرامون این چشم‌انداز تهدید در طول تنها دو سال بسیار قابل‌ملاحظه است. متخصصین ما با استفاده از پلت‌فرم‌های هدف‌دار از آخر سال گذشته، توزیع کاربران مورد حمله قرار گرفته را با توزیع کاربران مورد حمله قرارگرفته‌ی دو سال پیش مورد مقایسه قرار دادند. در نهایت به این موضوع پی بردند که مجرمین سایبری دیگر از آسیب‌پذیری‌های مبتنی بر وب استفاده نمی‌کنند و به آسیب‌پذیری‌هایروی آورده‌اند؛ اما میزان تغییرات حتی خود آن‌ها را هم شگفت‌زده کرد: در طول چند ماه گذشته، مایکروسافت آفیس -با بیش از 70 درصد سهم حملات- به پلت‌فرمی تبدیل شده که بیشترین حملات بدان شده است.
 
از سال گذشته یک سری اکسپلویت‌های روز صفر عملیات خود را روی مایکروسافت آفیس شروع کردند. این اکسپلویت‌ها معمولاً در ابتدا کار خود را با کمپین‌های هدف‌دار شروع می‌کنند اما در نهایت خود را عمومی می‌کنند و می‌شوند یک داکیومنت‌سازِ مخرب و یکپارچه. با این حال این زمان چرخش به طور قابل‌توجهی کوتاه شده است. برای مثال، در مورد CVE-2017-11882 اولین آسیب‌پذیری‌ای که متخصص ما دید، یک کمپین بزرگ اسپم بود که درست همان روز که اثباتِ این مفهوم منتشر شد، شروع به کار خود کرد. البته این برای سایر آسیب‌پذیری‌ها هم صدق می‌کند- وقتی یک گزارش فنی برای آسیب‌پذیری همگانی می‌شود، ظرف چند روز اکسپلویتِ مخصوص به آن روی بازار سیاه پدیدار می‌شود. باگ‌ها خود کمتر پیچیده‌اند و برخی اوقات مجرم سایبری برای ساخت یک اکسپلویتِ فعال تنها به یک گزارش با جزئیات نیاز دارد.
 
تنها انداختن نگاهی به بیشترِ آسیب‌پذیری‌های بهره‌برداری‌شده سال 2018 کافی است تا متوجه شویم: نویسندگانِ بدافزار، باگ‌های ساده و منطقی را ترجیح می‌دهند. به همین دلیل است که آسیب‌پذیری‌های CVE-2017-11882 و CVE-2018-0802 اکنون باگ‌هایی هستند که در مایکروسافت آفیس بیشترین میزان اکسپلویت را داشته‌اند. به بیانی ساده، این نوع باگ‌ها مطمئن‌اند و با هر نسخه از برنامه‌ی Word (که در طول 17 سال گذشته منتشر شده است) نیز سازگاری دارند. و از همه مهم تر اینکه ساخت یک اکسپلویت برای هر یک از آن‌ها به هیچ مهارت پیشرفته و خاصی نیاز ندارد. دلیل هم این است که فرمول‌نویسی آن‌ها هیچ حفاظِ مدرنی ندارد (بر خلاف اپ‌های 2018).
 
یک یادداشت مهم: هیچیک از آسیب‌پذیری‌هایی که بیشترین میزان اکسپلویت را داشتند در خودِ مایکروسافت آفیس نیستند. در عوض، آن ها در اجزای مربوط به آن وجود دارند.
 
 
چطور چنین چیزهایی پیش می‌آید؟
بسیارخوب، سطوح حمله‌ی مایکروسافت آفیس وسیع است (فرمت‌های فایل پیچیده و متعدد و نیز یکپارچگی با ویندوز). و نکته‌ای که به لحاظ امنیتی بسیار اهمیت دارد است که بسیاری از تصمیم‌هایی که مایکروسافت هنگام ساخت آفیس گرفت اکنون تنها ایده‌هایی بد هستند و تغییر دادنشان تنها کار را خراب‌تر کرده و به بخش سازگاری صدمه می‌زند. تنها در سال 2018 شاهد چندین آسیب‌پذیریِ روز صفر بودیم که مورد بهره‌برداری قرار گرفتند. از میان آن‌ها می‌توان به CVE-2018-8174 اشاره کرد که البته ماجرای آن بسیار جالب است. اکسپلویت در داکیومنت ورد پیدا شد اما خودِ این آسیب‌پذیری در حقیقت در Internet Explorer بود.
 
چطور آسیب‌پذیری‌ها پیدا می‌شوند؟
محصولات امنیتی کسپرسکی برای اندپوینت‌ها از قابلیت‌های بسیار پیچیده‌ای برای شناسایی تهدیداتی برخورداند که از طریق داکیومنت‌های مایکروسافت آفیس رخنه می‌کنند. این در حقیقت می‌تواند اولین لایه‌ی شناسایی باشد. موتور اکتشافی از فرمت تمامی فایل‌ها و ابهاماتِ داکیومنت‌ها باخبر است. این موتور همچنین حکم اولین خط دفاعی را دارد. اما وقتی شیءای مخرب یافت می‌شود، بعد از شناسایی آن دیگر عملیات خود را تمام نمی‌کنیم. برای مثال یکی از فناوری‌هایی که در این زمینه به شدت موفق بوده سندباکس است. در زمینه‌ی امنیت اطلاعات، سندباکس‌ها برای جداسازی یک محیط ناامن از یک محیط امن و یا برعکس مورد استفاده قرار می‌گیرد. همچنین آن‌ها کد مخرب را نیز تحلیل می‌کنند. سندباکسِ ما سیستمی است برای شناسایی بدافزار که چیزی مشکوک را در ماشین مجازی (با سیستم‌عامل کاملاً مجهز) اجرا می‌کند و بعد با آنالیزِ رفتار آن، فعالیت آلوده‌ی آن چیز را شناسایی می‌کند. سندباکس ما چند سال پیش در بخش زیرساخت ساخته شد و مورد استفاده قرار گرفت و بعد رفته‌رفته عضوی از  Kaspersky Anti-Targeted Attack Platform شد. مایکروسافت آفیس تارگتی داغ و هیجان‌انگیز برای مهاجمین است و اینطور هم باقی خواهد ماند. در آخر توصیه می‌کنیم از راه‌حل‌هایی استفاده کنید که کارایی‌شان در فهرست شناساییِ  CVE اثبات‌شده باشد.
 
 
 
[1] Catching multilayered zero-day attacks on MS Office 
منبع: کسپرسکی آنلاین
 

مایکروسافت آفیس و آسیب‌پذیری‌هایش

ایدکو: برخی نشست‌ها در کنفرانس SAS 2019 نه تنها به حملات پیچیده‌ی APT اختصاص داده‌ شده‌ است؛ بلکه همچنین امور پژوهشیِ محققین ضدبدافزارِ ما را نیز در طی آن‌ها مورد بررسی قرار می‌گیرد. متخصصین ما بوریس لارین، ولاد استولیاروو و الکساندر لیسکین، تحقیقاتی را تحت عنوان «گرفتن حملات روز صفر چندلایه‌ای روی مایکروسافت آفیس[1]» آماده کردند که تمرکز اصلی‌اش روی ابزارهایی بود که به آن‌ها کمک می‌کرد بتوانند بدافزارها را مورد تحلیل و بررسی قرار دهند؛ اما آن‌ها همچنین چشم‌انداز فعلیِ تهدید  Microsoft Office را نیز در این پژوهش لحاظ نمودند. تغییرات پیرامون این چشم‌انداز تهدید در طول تنها دو سال بسیار قابل‌ملاحظه است. متخصصین ما با استفاده از پلت‌فرم‌های هدف‌دار از آخر سال گذشته، توزیع کاربران مورد حمله قرار گرفته را با توزیع کاربران مورد حمله قرارگرفته‌ی دو سال پیش مورد مقایسه قرار دادند. در نهایت به این موضوع پی بردند که مجرمین سایبری دیگر از آسیب‌پذیری‌های مبتنی بر وب استفاده نمی‌کنند و به آسیب‌پذیری‌هایروی آورده‌اند؛ اما میزان تغییرات حتی خود آن‌ها را هم شگفت‌زده کرد: در طول چند ماه گذشته، مایکروسافت آفیس -با بیش از 70 درصد سهم حملات- به پلت‌فرمی تبدیل شده که بیشترین حملات بدان شده است.
 
از سال گذشته یک سری اکسپلویت‌های روز صفر عملیات خود را روی مایکروسافت آفیس شروع کردند. این اکسپلویت‌ها معمولاً در ابتدا کار خود را با کمپین‌های هدف‌دار شروع می‌کنند اما در نهایت خود را عمومی می‌کنند و می‌شوند یک داکیومنت‌سازِ مخرب و یکپارچه. با این حال این زمان چرخش به طور قابل‌توجهی کوتاه شده است. برای مثال، در مورد CVE-2017-11882 اولین آسیب‌پذیری‌ای که متخصص ما دید، یک کمپین بزرگ اسپم بود که درست همان روز که اثباتِ این مفهوم منتشر شد، شروع به کار خود کرد. البته این برای سایر آسیب‌پذیری‌ها هم صدق می‌کند- وقتی یک گزارش فنی برای آسیب‌پذیری همگانی می‌شود، ظرف چند روز اکسپلویتِ مخصوص به آن روی بازار سیاه پدیدار می‌شود. باگ‌ها خود کمتر پیچیده‌اند و برخی اوقات مجرم سایبری برای ساخت یک اکسپلویتِ فعال تنها به یک گزارش با جزئیات نیاز دارد.
 
تنها انداختن نگاهی به بیشترِ آسیب‌پذیری‌های بهره‌برداری‌شده سال 2018 کافی است تا متوجه شویم: نویسندگانِ بدافزار، باگ‌های ساده و منطقی را ترجیح می‌دهند. به همین دلیل است که آسیب‌پذیری‌های CVE-2017-11882 و CVE-2018-0802 اکنون باگ‌هایی هستند که در مایکروسافت آفیس بیشترین میزان اکسپلویت را داشته‌اند. به بیانی ساده، این نوع باگ‌ها مطمئن‌اند و با هر نسخه از برنامه‌ی Word (که در طول 17 سال گذشته منتشر شده است) نیز سازگاری دارند. و از همه مهم تر اینکه ساخت یک اکسپلویت برای هر یک از آن‌ها به هیچ مهارت پیشرفته و خاصی نیاز ندارد. دلیل هم این است که فرمول‌نویسی آن‌ها هیچ حفاظِ مدرنی ندارد (بر خلاف اپ‌های 2018).
 
یک یادداشت مهم: هیچیک از آسیب‌پذیری‌هایی که بیشترین میزان اکسپلویت را داشتند در خودِ مایکروسافت آفیس نیستند. در عوض، آن ها در اجزای مربوط به آن وجود دارند.
 
 
چطور چنین چیزهایی پیش می‌آید؟
بسیارخوب، سطوح حمله‌ی مایکروسافت آفیس وسیع است (فرمت‌های فایل پیچیده و متعدد و نیز یکپارچگی با ویندوز). و نکته‌ای که به لحاظ امنیتی بسیار اهمیت دارد است که بسیاری از تصمیم‌هایی که مایکروسافت هنگام ساخت آفیس گرفت اکنون تنها ایده‌هایی بد هستند و تغییر دادنشان تنها کار را خراب‌تر کرده و به بخش سازگاری صدمه می‌زند. تنها در سال 2018 شاهد چندین آسیب‌پذیریِ روز صفر بودیم که مورد بهره‌برداری قرار گرفتند. از میان آن‌ها می‌توان به CVE-2018-8174 اشاره کرد که البته ماجرای آن بسیار جالب است. اکسپلویت در داکیومنت ورد پیدا شد اما خودِ این آسیب‌پذیری در حقیقت در Internet Explorer بود.
 
چطور آسیب‌پذیری‌ها پیدا می‌شوند؟
محصولات امنیتی کسپرسکی برای اندپوینت‌ها از قابلیت‌های بسیار پیچیده‌ای برای شناسایی تهدیداتی برخورداند که از طریق داکیومنت‌های مایکروسافت آفیس رخنه می‌کنند. این در حقیقت می‌تواند اولین لایه‌ی شناسایی باشد. موتور اکتشافی از فرمت تمامی فایل‌ها و ابهاماتِ داکیومنت‌ها باخبر است. این موتور همچنین حکم اولین خط دفاعی را دارد. اما وقتی شیءای مخرب یافت می‌شود، بعد از شناسایی آن دیگر عملیات خود را تمام نمی‌کنیم. برای مثال یکی از فناوری‌هایی که در این زمینه به شدت موفق بوده سندباکس است. در زمینه‌ی امنیت اطلاعات، سندباکس‌ها برای جداسازی یک محیط ناامن از یک محیط امن و یا برعکس مورد استفاده قرار می‌گیرد. همچنین آن‌ها کد مخرب را نیز تحلیل می‌کنند. سندباکسِ ما سیستمی است برای شناسایی بدافزار که چیزی مشکوک را در ماشین مجازی (با سیستم‌عامل کاملاً مجهز) اجرا می‌کند و بعد با آنالیزِ رفتار آن، فعالیت آلوده‌ی آن چیز را شناسایی می‌کند. سندباکس ما چند سال پیش در بخش زیرساخت ساخته شد و مورد استفاده قرار گرفت و بعد رفته‌رفته عضوی از  Kaspersky Anti-Targeted Attack Platform شد. مایکروسافت آفیس تارگتی داغ و هیجان‌انگیز برای مهاجمین است و اینطور هم باقی خواهد ماند. در آخر توصیه می‌کنیم از راه‌حل‌هایی استفاده کنید که کارایی‌شان در فهرست شناساییِ  CVE اثبات‌شده باشد.
 
 
 
[1] Catching multilayered zero-day attacks on MS Office 
منبع: کسپرسکی آنلاین
 

باگ واتس‌اپ مراحل امنیتی را دور می‌زند

محققان و پژوهشگران امنیتی به تازگی باگ و آسیب‌پذیری جدیدی را در پیام‌رسان واتس‌اپ دریافته و کشف کرده‌اند که قابلیت‌های فیس‌آی‌دی و تاچ‌آی‌دی آن را دور می‌زند.
 
واتس‌اپ که یکی از بزرگترین و معروف‌ترین اپلیکیشن‌های پیام‌رسان در جهان به شمار می‌رود، چندی پیش دو قابلیت جدید سیستم فناوری تشخیص چهره هوشمند موسوم به فیس آی‌دی و حسگر اثر انگشت موسوم به تاچ‌آی‌دی را به این پلتفرم اضافه کرد تا به کاربران این امکان را بدهد از دسترسی افراد غریبه و هکرها را به اطلاعات شخصی و پیام‌های رد و بدل شده آنها جلوگیری به عمل بیاورند.
 
حالا به تازگی محققان و پژوهشگران فعال در حوزه امنیت سایبری به تازگی کشف و اعلام کرده‌اند که یک باگ و آسیب پذیری جدید در این دو قابلیت وجود دارد که مراحل امنیتی موجود در فیس‌آی‌دی و تاچ آی‌دی را دور می‌زند و به هکرها و مجرمان سایبری اجازه می‌دهد تا به اطلاعات موردنظر و حریم خصوصی افراد دسترسی و نفوذ یابند.
 
بر اساس گزارش وب سایت the verge ، واتس اپ قبلاً اعلام کرده بود که کاربران سیستم عامل آی‌اواس ( iOS) قادر خواهند بود از این پس با ورود و مراجعه به قسمت تنظیمات حساب کاربری (Account Settings)، اطلاعات و داده‌های مربوط به چهره، هویت و اثر انگشت خود را وارد و ثبت کنند. این بدان معناست که واتس‌اپ می‌خواهد احراز هویت بیومتریک را به اپلیکیشن پیام‌رسان واتس اپ اضافه کند تا به کاربرانش این امکان را بدهد که از خدمات جدیدتری بهره مند شوند و ورود و خروج خود به حساب کاربری را با استفاده از فناوری نوین تشخیص چهره و احراز هویت هوشمند ثبت کنند.
 
این اپلیکیشن از قابلیت Encryption End- to End یا رمزنگاری پیشرفته پشتیبانی می‌کند و از پروتکل‌های پیشرفته‌ای برای حفظ حریم شخصی کاربرانش برخوردار است. این اپلیکیشن که برای تمامی سیستم‌های عامل اندروید، iOS و ویندوز قابل استفاده است، در سال ۲۰۱۶ میلادی لقب پرکاربردترین پیام‌رسان جهان را گرفت. واتس‌اپ از آن جهت ضریب امنیت سایبری بالایی دارد که مکالمات و اطلاعات مبادله شده میان کاربران و مخاطبان به صورت کامل محافظت شده بوده و مکالمات و اطلاعات شخصی و خصوصی آن‌ها از سوی نهادهای دیگر قابل رصد و ردگیری نخواهد بود.
 
شرکت فیس‌بوک با در اختیار گرفتن و تصاحب شرکت واتس‌اپ در سال ۲۰۱۴، ۱۹ میلیارد دلار کسب کرد و از آن زمان تاکنون نیز با معرفی و افزودن قابلیت‌های جدید به دنبال جذب و حفظ طرفداران این پیام‌رسان محبوب بوده است. طبق تازه‌ترین آمار منتشر شده در ژانویه ۲۰۱۸، پیام‌رسان واتس اپ هم اکنون میزبان حدود یک میلیارد و ۳۰۰ میلیون کاربر فعال در ماه است.
 
برای این کار، کافیست صفحه اشتراک‌گذاری (Share Sheet) واتس اپ را از طریق یک اپلیکیشن دیگر باز کنید. به عنوان مثال، در اپلیکیشن Photos در حالی که به صفحه بعدی می‌روید، خواهید دید که هیچ درخواستی مبنی بر قابلیت فیس آی‌دی یا تاچ آی‌دی برای اشتراک‌گذاری محتوا به شما ارسال نمی‌شود. البته لازم به ذکر است که این در حالتی اتفاق می‌افتد که از قبل در تنظیمات قفل واتس اپ، گزینه‌ای به غیر از «قفل لحظه‌ای» یا Immediately را انتخاب کرده باشید.
 
فیس‌بوک نیز به عنوان شرکت مادر واتس اپ با انتشار بیانیه‌ای اعلام کرده است که از مشکل مربوطه باخبر و آگاه است و با کمک متخصصان فنی و کارشناسان خود هرچه سریع‌تر به برطرف کردن آن خواهد پرداخت.
 

باگ جدید کروم، ویندوز را مختل می‌کند

محققان امنیتی از کشف باگ جدیدی در مرورگر کروم خبر می دهند که منجر به از کار افتادن ویندوز و افشا شدن اطلاعات حساس کاربران می‌شود.
 
این باگ جدید به مهاجمان این امکان را می‌دهد تا با استفاده از کد‌های جاوا اسکریپت، تمام حافظه رم دستگاه را اشغال کند و در نهایت باعث از کار افتادن سیستم عامل ویندوز شود.
 
همچنین باگ کشف شده می‌تواند زمینه دسترسی هکرها به رمز‌های ذخیره شده در مرورگر را محیا کند و خرابکاران سایبری از این طریق به اطلاعات حساسی مثل رمز‌ عبور کارت بانک کاربران دسترسی پیدا کنند.
 
گوگل هنوز برای از بین بردن این باگ امنیتی ، بسته بروزرسانی جدیدی را ارایه نکرده است و به همین دلیل محققان امنیتی به کاربران پیشنهاد می‌کنند که تا ارایه بسته بروزرسانی توسط گوگل ، از کروم استفاده نکنند.