about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
ادعای
1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

مقاله
1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

یک
1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

محققان Ricerca Security اقدام به انتشار نسخه‌ای Demo از نمونه (Proof-of-Concept) آسیب‌پذیری SMBv۳ به حملات "اجرای کد به‌صورت از راه دور" کرده‌اند.

به گزارش کارگروه امنیت سایبربان، به نقل از پایگاه اینترنتی BleepingComputer، آسیب‌پذیری مذکور که به SMBGhost معروف شده ضعفی در نسخه ۳,۱.۱ پودمان Server Message Block – به اختصار SMBv۳ – است که سیستم‌های عامل زیر از آن تأثیر می‌پذیرند:

• Windows ۱۰ Version ۱۹۰۳ for ۳۲-bit

• Windows ۱۰ Version ۱۹۰۳ for x۶۴-based

• Windows ۱۰ Version ۱۹۰۳ for ARM۶۴-based

• Windows Server, Version ۱۹۰۳ (Server Core installation)

• Windows ۱۰ Version ۱۹۰۹ for ۳۲-bit

• Windows ۱۰ Version ۱۹۰۹ for x۶۴-based

• Windows ۱۰ Version ۱۹۰۹ for ARM۶۴-based

• Windows Server, Version ۱۹۰۹ (Server Core Installation)

بهره‌جویی (Exploit) از SMBGhost امکان "اجرای کد به‌صورت از راه دور" بر روی دستگاه آسیب‌پذیر را، بدون نیاز به اصالت‌سنجی شدن مهاجم فراهم می‌کند.
مهاجم می‌تواند با ارسال بسته‌ای دستکاری شده به یک سرویس‌دهنده SMBv۳ اقدام به بهره‌جویی از SMBGhost بر روی آن سرور کند. برای سوءاستفاده از آسیب‌پذیری بر روی Windows ۱۰ نیز مهاجم قادر است تا با راه‌اندازی یک سرویس‌دهنده مخرب SMBv۳ و تشویق کاربر به اتصال به آن، بدون احراز هویت شدن کد مورد نظر خود را بر روی دستگاه با این سیستم عامل به اجرا در آورد.
در ابتدا انتظار می‌رفت که این ضعف امنیتی که به آن شناسه CVE-۲۰۲۰-۰۷۹۶ و درجه حساسیت "حیاتی" (Critical) تخصیص داده شده توسط مجموعه اصلاحیه‌های ماه مارس Microsoft که ۲۰ اسفند عرضه شدند ترمیم شود. در آن تاریخ تعدادی از شرکت‌هایی که عضو برنامه Microsoft Active Protections Program هستند و به اطلاعات مربوط به آسیب‌پذیری‌ها زودتر از سایرین دسترسی دارند با تصور ارائه شدن اصلاحیه این ضعف امنیتی از سوی Microsoft، اقدام به انتشار جزییات ضعف مذکور کردند.
پس از در دسترس قرار گرفتن چند نمونه اثبات‌گر از جمله نمونه‌ای که در آن امکان از کاراندازی سرویس (Denial-of-Service) از طریق سوءاستفاده از SMBGhost را نمایش می‌داد، شرکت Microsoft در ۲۲ اسفند اقدام به انتشار اصلاحیه امنیتی برای تمامی سیستم‌های عامل آسیب‌پذیر به CVE-۲۰۲۰-۰۷۹۶ کرد.
در آن زمان بررسی شرکت Kryptos Logic نشان می‌داد که حدود ۴۸ هزار سیستم آسیب‌پذیر به SMBGhost بر روی اینترنت قابل دسترس است.
پس از آن نیز نمونه‌های اثبات‌گر و گزارش‌های متعددی در خصوص "ترفیع سطح دسترسی محلی" (Local Privilege Escalation) با بهره‌جویی از SMBGhost به‌صورت عمومی در دسترس عموم قرار گرفت.
اما با این حال تا همین اندکی پیش، هیچ نمونه‌ای که در عمل اجرای "کد به‌صورت از راه دور" را با بهره‌جویی از CVE-۲۰۲۰-۰۷۹۶ اثبات کند ارائه نشده بود.
شاید یکی از اصلی‌ترین دلایل آن دشوار بودن بهره‌جویی از راه دور در سطح هسته (Remote Kernel Exploitation) که در آن امکان بکارگیری توابع کاربردی سیستم عامل نظیر ایجاد پروسه‌های در کنترل کاربر، ارجاع به بستر PEB و صدور فراخوانی‌های سیستمی میسر نیست در مقایسه با بهره‌جویی‌های موسوم به Local Exploitation بوده باشد.
اکنون اما انتشار نسخه نمایشی Ricerca Security که در ویدئوی زیر قابل مشاهده است بهره‌جویی "اجرای کد به صورت از راه دور" ممکن‌تر از قبل به نظر می‌رسد:

https://vimeo.com/۴۰۹۸۵۵۵۷۸

اگرچه Ricerca Security بجای انتشار عمومی نمونه اثبات‌گر به ارائه این نسخه نمایشی و جزییات فنی آن اکتفا کرده تا به قول این شرکت به ابزاری در دست افراد ناپاک تبدیل نشود اما همان‌طور که Microsoft نیز در توصیه‌نامه خود به آن اشاره دارد امکان مورد سوءاستفاده قرار گرفتن CVE-۲۰۲۰-۰۷۹۶ بسیار محتمل (More Likely) است.
لذا اگر تابه‌حال نصب اصلاحیه آسیب‌پذیری مذکور انجام‌نشده توصیه اکید می‌شود تا برای در امان ماندن از گزند حملات بالقوه در اسرع وقت نسبت به انجام آن اقدام شود.
چنانچه به هر دلیل امکان به‌روزرسانی در حال حاضر فراهم نیست، غیرفعال کردن Compression در SMBv۳ که در توصیه‌نامه زیر به آن پرداخته‌شده می‌تواند راهکاری موقت برای پوشش این آسیب‌پذیری صرفاً بر روی سرورها باشد:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-۲۰۲۰-۰۷۹۶

سازمان‌های مجهز به راهکارهای دیواره آتش نیز می‌توانند بامطالعه مقاله فنی زیر اقدام به مقاوم‌سازی درگاه‌های مرتبط با پودمان SMB کنند:

https://support.microsoft.com/en-us/help/۳۱۸۵۵۳۵/preventing-smb-traffic-from-lateral-connections

منبع:

تازه ترین ها
آمریکا
1404/02/13 - 15:31- آمریکا

آمریکا به دنبال قطع نقش‌آفرینی صنعت جرایم سایبری جنوب‌شرق آسیا

وزارت خزانه‌داری ایالات متحده، گروه هوی‌وان مستقر در کامبوج را به‌عنوان یک نهاد دارای نگرانی اصلی در زمینه پول‌شویی معرفی کرده و پیشنهاد داده است که دسترسی این گروه به نظام مالی آمریکا قطع شود.

تحویل
1404/02/13 - 15:21- جرم سایبری

تحویل مظنون حملات باج‌افزاری نتفیلیم از اسپانیا به ایالات متحده

دادستان‌های فدرال روز پنج‌شنبه اعلام کردند که یک شهروند اوکراینی به اتهام استفاده از باج‌افزار نتفیلیم برای حمله به شرکت‌های بزرگ در ایالات متحده و سایر کشورها، به آمریکا تحویل داده شده است.

جریمه
1404/02/13 - 15:14- آمریکا

جریمه ۸.۴ میلیون دلاری برای پیمانکاران دفاعی آمریکا

دو شرکت پیمانکار دفاعی ایالات متحده، ریتیون و گروه نایت‌وینگ، موافقت کردند که برای حل‌وفصل اتهاماتی مبنی بر نقض مفاد قرارداد با وزارت دفاع، مبلغ ۸.۴ میلیون دلار به دولت پرداخت کنند.