۹ آسیب‌پذیری حیاتی در مایکروسافت کشف شد

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، آخرین به‌روزرسانی سال ۲۰۱۸ مایکروسافت و وصله‌شدن ۹ آسیب‌پذیری حیاتی این نرم افزار را منتشر کرد.
 
به گزارش مرکز ماهر، ‫مایکروسافت آخرین به‌روزرسانی سال جاری را برای رفع ۹ آسیب‌پذیری حیاتی که شامل یک نقص روزصفرم (ZERO DAY) بود، منتشر کرد و چندین آسیب‌پذیری مهم در برنامه‌های مختلف از جمله برنامه‌های MS Office را وصله کرد.
 
آسیب‌پذیری روز صفرم مایکروسافت (CVE-۲۰۱۸-۸۶۱۱)، یک آسیب‌پذیری ارتقاء مجوز هسته‌ ویندوز است که نسخه‌های ۷ تا ۲۰۱۹ ویندوز را تحت تأثیر قرار می‌دهد.
 
این آسیب‌پذیری ارتقاء مجوز، زمانی رخ می‌دهد که هسته‌ ویندوز نتواند اشیاء داخل حافظه را به‌درستی کنترل کند. پس از سوءاستفاده‌ موفق از این آسیب‌پذیری، مهاجم می‌تواند کد دلخواه را در حالت هسته اجرا، برنامه‌ها را نصب، داده‌ها را مشاهده، اصلاح یا حذف و حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
 
علاوه‌بر این آسیب‌پذیری روز صفرم، به‌روزرسانی ماه دسامبر مایکروسافت، اصلاحاتی را برای ۹ آسیب‌پذیری حیاتی دربر داشت که ۵ مورد از آن‌ها شامل نقص‌های فیزیکی حافظه در موتور اسکریپت Chakra است که منجر به اجرای کد از راه دور می‌شوند.
 
۴ آسیب‌پذیری دیگر، در چارچوب Microsoft .NET، سرورهای DNS ویندوز، اینترنت اکسپلورر و Microsoft Edge وجود دارند.
 
مایکروسافت همچنین ۲۹ آسیب‌پذیری مهم اجرای کد از راه دور را وصله کرد.
 
برخی از این آسیب‌پذیری‌ها شامل نقص در مایکروسافت اکسل (CVE-۲۰۱۸-۸۵۹۷ و CVE-۲۰۱۸-۸۶۳۶)، مایکروسافت ورد (CVE-۲۰۱۸-۸۵۹۰)، مایکروسافت پاورپوینت (CVE-۲۰۱۸-۸۶۲۸) و Outlook (CVE-۲۰۱۸-۸۵۸۷) هستند.

افزایش حمله به پورت های مسیریاب در کشور

مرکز ماهر با انتشار مستندی نسبت به افزایش حملات سایبری به پورتهای مسیریاب در سطح کشور هشدار داد و گفت : در روزهای اخیر شاهد افزایش میزان حملات روی پورت ۷۵۴۷ بودیم.
 
به گزارش مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای، فعالیت پورت ۷۵۴۷ که یکی از پورت های اصلی مورد هجوم بدافزار ‫«میرای» است، می تواند تا حدودی وضعیت این بدافزار و میزان فعال بودن بات نت های مرتبط با آن را مشخص کند.
 
بدافزار میرای (Mirai) یک کرم رایانه ای غیرتخریب کننده است که به کامپیوترهای حاوی سیستم عامل لینوکس (به روز نشده) متصل به شبکه، حمله کرده و آن را آلوده می‌کند و سعی در تکثیر خود در هارد و شبکه دارد.
 
این نرم افزار مخرب توانایی این را داراست که با تغییر ظاهر، خود را از نرم‌افزارهای آنتی ویروس مخفی سازد.
 
بررسی های انجام شده از سوی مرکز ماهر روی این پورت مشخص می کند که در بازه زمانی ۱ /۱۳۹۷/۰۹ تا ۳۰ /۱۳۹۷/۰۹ نرخ حملات به شدت افزایشی بوده و متاسفانه اکثر حملات صورت گرفته از آدرس های مبدا ایران هستند. به گونه ای که در حملات رخ داده در این بازه زمانی حدود ۶۸ درصد حملات از آدرس های کشور ایران و تنها ۳۲ درصد حملات از سایر نقاط جهان ایجاد شده است.
 
این نشان می دهد هنوز بسیاری از تجهیزات و سیستم های داخل کشور پاکسازی و به‌روزرسانی نشده و در حال انتقال آلودگی هستند. این در حالی است که در گزارش های پیشین نیز به اهمیت به‌روزرسانی تجهیزات و مقابله با بات های آلوده در کشور تاکید شده بود.
 
در این گزارش تاکید شده که بیشترین حملات خارجی از کشور رومانی به این پورت صورت‌گرفته است و در بررسی جداگانه‌ای که درباره کشور رومانی صورت گرفت، مشخص شد که برخی زیرشبکه های این کشور آلوده به بات نت هایی هستند که پورت های ۲۳ و ۷۵۴۷ را در داخل کشور مورد هدف قرار می دهند.
 
مرکز ماهر با توجه به تهدیدات داخلی و خارجی در این مورد تاکید کرد که سازمان های ذی ربط در اسرع وقت نسبت به هشدار به مالکان تجهیزات آلوده اقدام کنند تا میزان بات نت های فعال روی این پورت در کشور کاهش یابد.
 
بیشتر تجهیزات آلوده که به این پورت حمله می کنند در دسته مودم ها و روترهای خانگی (مسیریاب ها) قرار دارند که با به‌روزرسانی Firmware در مقابل حملات بات نت ها و تبدیل شدن به بات ایمن می شوند.

هدف آنتی‌ویروس‌ ایرانی درآمدزایی است

هدف برخی آنتی‌ویروس‌های ایرانی منتشر شده در مارکت ایرانی درآمدزایی از طریق نمایش تبلیغ برای کاربران ایرانی اعلام شد.
 
مرکز ماهر در گزارشی اعلام کرده است که۶۰ مورد از آنتی‌ویروس منتشر شده در مارکت‌های ایرانی عمدتا از روی برنامه‌های منبع باز ساخته‌شده‌اند و صرفا با تغییر نام و آیکون منتشر شده‌ و هدف از این کار استفاده از سرویس‌های تبلیغاتی داخل این برنامه‌ها و درآمدزایی از طریق نمایش تبلیغ برای کاربران است.
 
مرکز ماهر برای انتشار این گزارش، ۱۲۰ آنتی‌ویروس را مورد بررسی قرار داده است که از این میان ۶۰ آنتی‌ویروس شباهت‌های زیادی به یکدیگر داشته‌اند و به این نتیجه رسیده‌ است که این آنتی‌ویروس‌ها از برنامه‌های یکسانی استفاده‌ کرده‌اند. البته این گزارش آنتی‌ویروس‌های معروف مانند کسپرسکی، آویرا، آوست و… را از مجموعه این آنتی‌ویروس‌ها مجزا کرده و اعلام کرده این آنتی‌ویروس‌ها شباهت بسیار اندکی به آنتی‌ویروس‌های دیگر دارند. در حالی‌که آنتی‌ویروس‌های ایرانی و کمتر شناخته شده عمدتا شباهت نسبتا بالایی به یکدیگر داشتند.
 
طبق این گزارش برخی از آنتی‌ویروس‌ها از یک پایگاه داده آفلاین استفاده می‌کنند که آن را به روزرسانی نمی‌کنند. برخی نیز فقط موارد بسیار اولیه همچون مجوزهای برنامه‌ها یا فرمت فایل‌های ذخیره شده روی دستگاه را بررسی می‌کنند که این موارد از یک برنامه با عنوان آنتی‌ویروس قابل قبول نیست. از سوی دیگر برخی  از آنها هم اساسا کاری انجام نمی‌دهند و صرفا با ظاهرسازی کاربر را فریب می‌دهند که کار آنتی‌ویروس یا خنک‌کننده پردازنده را انجام می‌دهند. ماهر اعلام کرده‌است که در مجموع این شصت آنتی‌ویروس بیش از یک میلیون نصب داشتند که نشان از گستردگی کار تبلیغاتی و تجاری این برنامه‌ها است.

تحلیل آنتی ویروس های تقلبی موجود روی مارکت های ایرانی

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) وابسته به سازمان فناوری اطلاعات ایران نتایج بررسی های خود را درباره آنتی ویروس های تقلبی و شبه آنتی ویروس های موجود در مارکت های ایرانی منتشر کرد.
 
اپ استورهای اندرویدی این روزها پر شده اند از انبوهی از اپلیکیشن های تقلبی که یا در حقیقت بد افزارند و یا در عمل کاری را که قول می دهند، نمی کنند. این وسط وقتی پای آنتی ویروس ها و اپلیکیشن های تقلبی وسط می آید موضوع از این هم جدی تر می شود. در واقع همین حالا هم اینترنت پر شده است از انبوه آنتی ویروس های تقلبی. سال پیش وقتی در نتیجه شناسایی بدافزار WannaCry اوج گرفت، شرکت امنیتی RiskIQ اعلام کرد که از میان 4292 اپلیکیشن آنتی ویروس فعال روی اینترنت، 525 تای آن ها در حقیقت بدافزارند. این یعنی از هر 10 برنامه آنتی ویروسی که پیدا می کنید یکی احتمالا تقلبی و بدافزار است. از میان آن اپ ها 55 آپ روی اپ استور خود گوگل قرار داشتند و ما بقی روی اپ استورهای متفرقه قرار گرفته بودند. اپ استورهای داخلی ما هم طبیعتا جزو همین مارکت ها بودند. اما دقیقا وضعیت آنتی ویروس های واقعی و تقلبی موجود روی مارکت های ایرانی چگونه است؟ 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) وابسته به وزارت ارتباطات و فناوری گزارشی را تحت عنوان بررسی آنتی ویروس های اندرویدی منتشر شده در مارکت های ایرانی ارائه کرده است که در قالب آن حدود 120 آنتی ویروس منتشر شده در مارکت های ایرانی جمع آوری و مورد بررسی اولیه قرار گرفتند. 
براساس گزارش مرکز ماهر، این بررسی نشان می دهد که بسیاری از برنامه هایی که تحت عناوین مختلف در مارکت های اندروید منتشر می شوند از روی برنامه های منبع باز ساخته می شوند. این برنامه ها صرفاً با تغییر نام و آیکون به عنوان برنامه های مختلف منتشر می شوند. 
در بسیاری از موارد هدف از این کار استفاده از سرویس های تبلیغاتی داخل این برنامه ها و درآمدزایی برای منتشرکننده برنامه است. هرچند این برنامه ها به صورت مداوم توسط افراد مختلف منتشر می شوند در اغلب موارد هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.
در این مستند برنامه های منتشر شده تحت عنوان آنتی ویروس مورد بررسی قرار گرفته اند. بررسی و مقایسه این برنامه ها نشان می دهد که آنها عمدتاً کارایی لازم را نداشته و یا عملکرد جعلی دارند و تنها با هدف جذب کاربر و کسب درامد از تبلیغات توسعه یافته اند. نحوه بررسی تشابه این آنتی ویروس ها در ابتدا بر اساس تشابه لیست api هایی که فراخوانی می کردند و سپس برای اطمینان کامل، بر اساس بررسی کد و نحوه عملکرد دقیق برنامه ها بوده است.
از میان 120 آنتی ویروس بررسی شده روی مارکت های ایرانی، 60 آنتی ویروس با توجه به شباهت بالایی که به یکدیگر داشتند، به هفت دسته تقسیم شدند. هرکدام از این دسته ها خصوصیات خاص خود را داشتند که در شرح گزارش آمده است.
تحلیل دسته های مختلف از آنتی ویروس های ایرانی منتشر شده در مارکت های نشان می دهد که بسیاری از آنها بارها با اسامی مختلف و توسط افراد مختلف منتشر شده اند، از این رو می توان نتیجه گرفت که این برنامه ها از روی برنامه های منبع باز (اوپن سورس) ساخته شده اند و صرفا با تغییر نام و آیکون منتشر شده اند. در اغلب موارد هدف از این کار استفاده از سرویس های تبلیغاتی داخل این برنامه ها و درآمدزایی از طریق نمایش تبلیغ به کاربران است. استفاده از سرویس ها تبلیغاتی مثل عدد و سرویس ارسال نوتیفیکیشن پوشه (برای ارسال تبلیغات نوتیفیکیشنی) در این برنامه ها بسیار رایج است.
برخی دیگر از آنتی ویروس ها با کد یکسان بیش از 15 بار روی مارکت های ایرانی منتشر شده اند. متاسفانه بسیاری از این آنتی ویروس ها عملکرد درستی برای تشخیص بدافزارهای اندرویدی ندارند و همه هفت دسته ای که در اینجا بررسی شدند یا کاملا بدون هیچ تحلیلی هستند و یا تحلیل بسیار ابتدایی دارند که قابل قبول نیست و نمی تواند از دستگاه اندرویدی در برابر تهدیدات دفاع کند. 
درمجموع این 60 آنتی ویروس بیش از یک میلیون نصب داشتند که نشان از گستردگی کار تبلیغاتی و تجاری این برنامه ها است.
گزارش کامل تحلیل انتی ویروس های تقلبی در مارکت های ایرانی در ادرس https://cert.ir/news/12589 در دسترس است. 
 

تحلیل آنتی ویروس های تقلبی موجود روی مارکت های ایرانی

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) وابسته به سازمان فناوری اطلاعات ایران نتایج بررسی های خود را درباره آنتی ویروس های تقلبی و شبه آنتی ویروس های موجود در مارکت های ایرانی منتشر کرد.
 
اپ استورهای اندرویدی این روزها پر شده اند از انبوهی از اپلیکیشن های تقلبی که یا در حقیقت بد افزارند و یا در عمل کاری را که قول می دهند، نمی کنند. این وسط وقتی پای آنتی ویروس ها و اپلیکیشن های تقلبی وسط می آید موضوع از این هم جدی تر می شود. در واقع همین حالا هم اینترنت پر شده است از انبوه آنتی ویروس های تقلبی. سال پیش وقتی در نتیجه شناسایی بدافزار WannaCry اوج گرفت، شرکت امنیتی RiskIQ اعلام کرد که از میان 4292 اپلیکیشن آنتی ویروس فعال روی اینترنت، 525 تای آن ها در حقیقت بدافزارند. این یعنی از هر 10 برنامه آنتی ویروسی که پیدا می کنید یکی احتمالا تقلبی و بدافزار است. از میان آن اپ ها 55 آپ روی اپ استور خود گوگل قرار داشتند و ما بقی روی اپ استورهای متفرقه قرار گرفته بودند. اپ استورهای داخلی ما هم طبیعتا جزو همین مارکت ها بودند. اما دقیقا وضعیت آنتی ویروس های واقعی و تقلبی موجود روی مارکت های ایرانی چگونه است؟ 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای (ماهر) وابسته به وزارت ارتباطات و فناوری گزارشی را تحت عنوان بررسی آنتی ویروس های اندرویدی منتشر شده در مارکت های ایرانی ارائه کرده است که در قالب آن حدود 120 آنتی ویروس منتشر شده در مارکت های ایرانی جمع آوری و مورد بررسی اولیه قرار گرفتند. 
براساس گزارش مرکز ماهر، این بررسی نشان می دهد که بسیاری از برنامه هایی که تحت عناوین مختلف در مارکت های اندروید منتشر می شوند از روی برنامه های منبع باز ساخته می شوند. این برنامه ها صرفاً با تغییر نام و آیکون به عنوان برنامه های مختلف منتشر می شوند. 
در بسیاری از موارد هدف از این کار استفاده از سرویس های تبلیغاتی داخل این برنامه ها و درآمدزایی برای منتشرکننده برنامه است. هرچند این برنامه ها به صورت مداوم توسط افراد مختلف منتشر می شوند در اغلب موارد هیچ کارایی نداشته و حتی ممکن است بدافزار باشند.
در این مستند برنامه های منتشر شده تحت عنوان آنتی ویروس مورد بررسی قرار گرفته اند. بررسی و مقایسه این برنامه ها نشان می دهد که آنها عمدتاً کارایی لازم را نداشته و یا عملکرد جعلی دارند و تنها با هدف جذب کاربر و کسب درامد از تبلیغات توسعه یافته اند. نحوه بررسی تشابه این آنتی ویروس ها در ابتدا بر اساس تشابه لیست api هایی که فراخوانی می کردند و سپس برای اطمینان کامل، بر اساس بررسی کد و نحوه عملکرد دقیق برنامه ها بوده است.
از میان 120 آنتی ویروس بررسی شده روی مارکت های ایرانی، 60 آنتی ویروس با توجه به شباهت بالایی که به یکدیگر داشتند، به هفت دسته تقسیم شدند. هرکدام از این دسته ها خصوصیات خاص خود را داشتند که در شرح گزارش آمده است.
تحلیل دسته های مختلف از آنتی ویروس های ایرانی منتشر شده در مارکت های نشان می دهد که بسیاری از آنها بارها با اسامی مختلف و توسط افراد مختلف منتشر شده اند، از این رو می توان نتیجه گرفت که این برنامه ها از روی برنامه های منبع باز (اوپن سورس) ساخته شده اند و صرفا با تغییر نام و آیکون منتشر شده اند. در اغلب موارد هدف از این کار استفاده از سرویس های تبلیغاتی داخل این برنامه ها و درآمدزایی از طریق نمایش تبلیغ به کاربران است. استفاده از سرویس ها تبلیغاتی مثل عدد و سرویس ارسال نوتیفیکیشن پوشه (برای ارسال تبلیغات نوتیفیکیشنی) در این برنامه ها بسیار رایج است.
برخی دیگر از آنتی ویروس ها با کد یکسان بیش از 15 بار روی مارکت های ایرانی منتشر شده اند. متاسفانه بسیاری از این آنتی ویروس ها عملکرد درستی برای تشخیص بدافزارهای اندرویدی ندارند و همه هفت دسته ای که در اینجا بررسی شدند یا کاملا بدون هیچ تحلیلی هستند و یا تحلیل بسیار ابتدایی دارند که قابل قبول نیست و نمی تواند از دستگاه اندرویدی در برابر تهدیدات دفاع کند. 
درمجموع این 60 آنتی ویروس بیش از یک میلیون نصب داشتند که نشان از گستردگی کار تبلیغاتی و تجاری این برنامه ها است.
گزارش کامل تحلیل انتی ویروس های تقلبی در مارکت های ایرانی در ادرس https://cert.ir/news/12589 در دسترس است. 
 

گوگل کروم را به روزرسانی کنید

مرکز ماهر با انتشار به‌روزرسانی مرورگر گوگل کروم از کاربران خواست برای جلوگیری از آسیب‌پذیری این مرورگر، آن را به روزرسانی کنند.
 
به تازگی آسیب‌پذیری‌های چندگانه در مرورگر کروم کشف شده است که کمترین آنها می‌تواند به مهاجم اجازه دهد کد دلخواه را در متن مرورگر اجرا کند. بر این اساس بسته به امتیازات مربوط به برنامه، مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد  یا حذف و حتی حساب کاربری جدیدی برای خود ایجاد کند. در صورتی که کاربری یک صفحه ساخته شده از سوی مهاجم را مشاهده کند، این آسیب پذیری قابلیت سوء استفاده خواهد داشت. مرکز ماهر تأکید کرد، اگر این برنامه با حقوق کاربری پایین‌تری پیکربندی شده باشد، بهره‌برداری از این آسیب‌پذیری، تأثیر کمتری خواهد داشت. سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی در حد متوسط و زیاد ارزیابی شده است.
این مرکز اعلام کرد، در حال حاضر هیچ گزارشی از سوء استفاده از این باگ امنیتی دریافت نشده است. با این حال به کاربران گوگل کروم توصیه می‌شود که آخرین نسخه را به‌روزرسانی کنند. از سوی دیگر برای کاهش اثرات حمله تمام نرم‌افزارها با سطح دسترسی پایین اجرا شود. همچنین به کاربران تأکید شده است که وب سایت‌های غیرقابل اعتماد را باز نکرده و لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
 

نرم افزار ضدفیشینگ درگاه بانکی تولید شد

افزونه نرم افزاری ضد فیشینگ درگاه بانکی با همکاری مراکز آپا و ماهر و با هدف شناسایی صفحات جعلی درگاههای بانکی پرداخت الکترونیک تولید شد.
 
حفظ امنیت اطلاعات کاربران در خرید و پرداخت اینترنتی امری بسیار مهم و جدی محسوب می شود و اغلب کاربران در زمان استفاده از اینترنت برای عملیات پرداخت، نگران به سرقت رفتن اطلاعات و رمزعبور کارتهای بانکی خود هستند.
 
از این رو مرکز آپا (مرکز گاهی‌رسانی، پشتیبانی، امداد رایانه ای) دانشگاه سمنان با حمایت مرکز ماهر (مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای) با هدف شناسایی و آگاه ساختن سرویس‌گیرنده وب از درگاه‌های جعلی پرداخت اینترنتی، افزونه تشخیص صفحات جعلی (فیشینگ) را تولید کرده است.
 
با نصب افزونه (Extension) ضد فیشینگ درگاه بانکی و با استفاده از تکنولوژی‌ها و سیاست‌های اتخاذ شده در این نرم افزار، امنیت اطلاعات کاربران به خطر نخواهد افتاد و حریم خصوصی آنها حفظ می شود.
 
این نرم‌افزار در صورتی که درگاه پرداخت الکترونیکی را جعلی تشخیص دهد، آدرس درگاه را برای بررسی بیشتر به سرور ارسال خواهد کرد و هیچ اطلاعات دیگری از کاربر دریافت نخواهد شد. به بیان دیگر این افزونه، درگاه های جعلی پرداخت بانکی را شناسایی کرده و هشدار می دهد.
 
با فعال بودن این افزونه و هنگام هدایت کاربر به صفحات پرداخت اینترنتی در یک سایت، به صورت خودکار اصل بودن یا فیشینگ بودن آن صفحه تشخیص داده شده و پیام مناسبی به کاربر نمایش داده می‌شود.
 
کاربر باید برای یک پرداخت اینترنتی با اطمینان خاطر، این نرم افزار را روی سیستم کامپیوتری و یا موبایل خود نصب کند.
 
از آنجا که بررسی‌ها نشان می‌دهد اغلب قربانیان فیشینگ از طریق گوشی همراه گرفتار این دام می‌شوند، برای حفظ امنیت پرداخت الکترونیک و جلوگیری از سرقت کارت‌های بانکی توصیه می‌شود کاربر مرورگر فایرفاکس را روی گوشی همراه خود نصب کرده و با نصب افزونه ضد فیشینگ روی آن، پرداخت اینترنتی مطمئنی داشته باشید.

‫ امکان استفاده از آسیب‌پذیری وصله‌نشده در WORD در حملات فیشینگ

محققان، ‫آسیب‌پذیری وصله‌نشده‌ای را در ویژگی "Online Video" مایکروسافت کشف کرده‌اند که به مهاجمان، امکان ارسال فایل‌های مخرب به سیستم قربانی را می‌دهد.
 
این اشکال هنگامی رخ می‌دهد که کاربر، یک ویدئو را از طریق ویژگی "Video Online" در یک سند ‫Word تعبیه کند. این آسیب‌پذیری در فایل ".xml" وجود دارد که در آن، پارامتر "embeddedHtml" به یک کد iframe در یوتیوب اشاره دارد. هکرها می‌توانند کد iframe فعلی یوتیوب را با HTML/JavaScript مخرب که توسط اینترنت اکسپلورر ارائه می شود، جایگزین کنند.
 
به‌گفته‌ی محققان، تغییر گذرواژه‌ی ویدئوی یوتیوب جاسازی‌شده در یک سند Word، برای مهاجمان بسیار آسان است. آن‌ها فقط باید فایل "document.xml" را ویرایش کنند و لینک ویدئو را با بار مخرب جایگزین کنند. محققان گمان می‌کنند که مهاجمان ممکن است از این تکنیک برای حملات فیشینگ استفاده کنند، زیرا سند، ویدئوی جاسازی‌شده با لینک به YouTube را نشان می‌دهد، در حالی که ممکن است یک کد مخفی HTML/JavaScript در پس‌زمینه اجرا شود و منجر به اجرای کد بیشتر شود.
 
هکرها برای استفاده از این حمله، یک لینک ویدئو را داخل سند Word جاسازی کرده و آن را با استفاده از ایمیل فیشینگ برای قربانی ارسال و سپس کاربران را به بازکردن فایل Word ترغیب می‌کنند.
 
با این ترفند، کاربران هدف ممکن است هیچ چیز بدبینانه‌ای را مشاهده نکنند، زیرا بازکردن سند دارای ویدئوی جاسازی‌شده، هیچ اخطاری ایجاد نمی‌کند.
 
این اشکال بر مایکروسافت آفیس 2016 و تمام نسخه‌های قبلی دارای ویژگی "Video Online" تأثیر می‌گذارد.
محققان سه ماه پیش این آسیب‌پذیری را به مایکروسافت گزارش کردند اما به‌نظر می‌رسد مایکروسافت قصد ندارد این مشکل را حل کند و معتقد است نرم‌افزار Word، تفسیر HTML را به‌درستی انجام می‌دهد.
 
به مدیران شرکت‌ها توصیه می‌شود سندهای Word دارای برچسب "embeddedHtml" در فایل "document.xml" اسناد Word را مسدود کنند و پیوست‌های ایمیل ناخواسته را از منابع ناشناخته یا مشکوک باز نکنند.

امکان سوءاستفاده از آسیب‌پذیری در مایکروسافت

حققان، آسیب‌پذیری وصله‌نشده‌ای را در ویژگی "Online Video" مایکروسافت کشف کرده‌اند که به مهاجمان، امکان ارسال فایل‌های مخرب به سیستم قربانی را می‌دهد.
 
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) درباره آسیب‌پذیری MICROSOFT WORD  اعلام کرد که این اشکال هنگامی رخ می‌دهد که کاربر، یک ویدئو را از طریق ویژگی "Video Online" در یک سند ‫Word تعبیه کند. این آسیب‌پذیری در فایل ".xml" وجود دارد که در آن، پارامتر "embeddedHtml" به یک کد iframe در یوتیوب اشاره دارد. هکرها می‌توانند کد iframe فعلی یوتیوب را با HTML/JavaScript مخرب که توسط اینترنت اکسپلورر ارائه می‌شود، جایگزین کنند.
 
به‌گفته‌ی محققان، تغییر گذرواژه‌ی ویدئوی یوتیوب جاسازی‌شده در یک سند Word، برای مهاجمان بسیار آسان است. آن‌ها فقط باید فایل "document.xml" را ویرایش کنند و لینک ویدئو را با بار مخرب جایگزین کنند.
 
محققان گمان می‌کنند که مهاجمان ممکن است از این تکنیک برای حملات فیشینگ استفاده کنند، زیرا سند، ویدئوی جاسازی‌شده با لینک به YouTube را نشان می‌دهد، در حالی که ممکن است یک کد مخفی HTML/JavaScript در پس‌زمینه اجرا شود و به اجرای کد بیش‌تر منجر شود.
 
هکرها برای استفاده از این حمله، یک لینک ویدئو را داخل سند Word جاسازی کرده و آن را با استفاده از ایمیل فیشینگ برای قربانی ارسال و سپس کاربران را به بازکردن فایل Word ترغیب می‌کنند. با این ترفند، کاربران هدف ممکن است هیچ چیز بدبینانه‌ای را مشاهده نکنند، زیرا بازکردن سند دارای ویدئوی جاسازی‌شده، هیچ اخطاری ایجاد نمی‌کند.
 
این اشکال بر مایکروسافت آفیس 2016 و تمام نسخه‌های قبلی دارای ویژگی "Video Online" تأثیر می‌گذارد. محققان سه ماه پیش این آسیب‌پذیری را به مایکروسافت گزارش کردند اما به‌نظر می‌رسد مایکروسافت قصد ندارد این مشکل را حل کند و معتقد است نرم‌افزار Word، تفسیر HTML را به‌درستی انجام می‌دهد.
 
به مدیران شرکت‌ها توصیه می‌شود سندهای Word دارای برچسب "embeddedHtml" در فایل "document.xml" اسناد Word را مسدود کنند و پیوست‌های ای‌میل ناخواسته را از منابع ناشناخته یا مشکوک باز نکنند.
 

‫ هشدار مرکز ماهر در خصوص مشاهده گسترده آسیب‌پذیری قدیمی SMB در سطح کشور

در اواخر سال 1395یک #‫آسیب‌پذیری جدی با سطح خطر بحرانی با نام EternalBlueدر پروتکل#‫SMBافشاء شد که نسخه‌های مختلف سیستم عامل ویندوز را تحت تاثیر قرار می‌داد. از آن زمان تا به حال انواع کدهای سوء‌استفاده و #‫باج‌_افزار و جاسوس‌افزار و غیره از این آسیب‌پذیری سوء‌استفاده نموده‌اند.
بررسی‌های مجددمرکز ماهر نشان‌دهنده وجود تعداد زیاد آدرس های دارای آسیب پذیری مذکور می باشد. از این‌رو لازم است راهبران شبکه نسبت به امن‌سازی آن اقدام نمایند. برخی از مهمترین گام‌های امن‌سازی این پروتکل عبارتند از:
 
به‌روزرسانی: با توجه به انتشار وصله‌های امنیتی مرتبط توسط شرکت مایکروسافت (حتی برای ویندوز XPخارج از دوره پشتیبانی)، لازم است این سرویس در تمامی سیستم‌ها به روزرسانی شود.
غیرفعال نمودن SMB 1.0در سمت ماشین‌های سرویس‌دهنده
غیر فعال نمودن SMBدر سمت ماشین‌های سمت کلاینت (درصورت عدم نیاز)
اعمال SMB Signingبه‌طور جداگانه برای ارتباط‌های ورودی و خروجی (از طریق Group Policyیا از طریق رجیستری).
جلوگیری از ارتباطات Null Session(از طریق رجیستری)
غیرفعال نمودن NetBIOS over TCP/IP
استفاده از دیواره آتش و بستن پورت‌های مربوط به NetBIOS over TCP/IP
رمز نمودن ترافیک SMB