‫ اطلاعیه مرکز ماهر در خصوص دومین مرحله از مسابقات کشف باگ و آسیب‌پذیری

دومین مرحله از مسابقات کشف باگ و آسیب‌پذیری مرکز ماهر با شرکت دو وبسایت دیگر سازمان فناوری اطلاعات ایران در سامانه کلاه‌سفید در جریان است.وبسایت‌های شرکت کننده در مسابقه: http://mob.gov.ir
https://payesh.iran.gov.ir
جزییات بیشتر را می توانید در صفحه‌ی مسابقات ملاحظه کنید:
https://kolahsefid.cert.ir/Contest/276.html
https://kolahsefid.cert.ir/Contest/279.ht

انتخابات روسیه در کشاکش امنیت سایبری و «باگ» امنیتی

انتخابات از ارکان اساسی دموکراسی محسوب می‌شود و تاکنون مقامات کشورهای مختلف تلاش فراوانی داشته‌اند تا از هرگونه تقلب در آن ممانعت کنند. یکی از ظرفیت‌هایی که توجه زیادی به آن شده، فناوری است. در همین راستا برخی کشورها ترجیح می‌دهند حداقل بخشی از انتخابات‌های خود را به‌صورت الکترونیک انجام دهند و روسیه هم از این قاعده مستثنی نیست. هرچند به نظر می‌رسد دولت روسیه در تازه‌ترین تلاش خود با شکست مواجه شده چرا که محققان امنیتی، یک باگ بزرگ در سیستم رأی‌گیری الکترونیک مسکو یافته‌اند.
یک انتخابات پردردسر
کمتر از یک ماه به انتخابات دومای محلی مسکو(Moscow City Duma) باقی مانده و قرار شده است که این انتخابات به‌صورت الکترونیک برگزار شود. سیستم رأی‌گیری الکترونیک مسکو مبتنی بر بلاک چین فعالیت می‌کند و درواقع می‌توان گفت که نخستین نمونه در نوع خود محسوب می‌شود. این سیستم توسط وزارت فناوری اطلاعات روسیه و بر مبنای پلتفرم بلاک چین اترئوم (Ethereum-based voting system) توسعه یافته است.
اما ماجرای شکست این سیستم چیست؟ طراحان این سیستم که مدعی نفوذناپذیری آن بودند، در ماه جولای با قرار دادن کد منبع آن روی پلتفرم «گیت هاب»، از متخصصان امنیت سایبری خواستند که همه تلاش خود را برای شکستن امنیت سایبری این سیستم به کاربگیرند. ظاهراً فعالان این عرصه بسیار به‌ کار خود ایمان داشتند و معتقد به شکست‌ناپذیری آن بودند چرا که یک جایزه 15هزار دلاری هم برای یابنده «باگ» احتمالی در نظر گرفتند. اما چند روزی بیشتر نگذشت که محققان فرانسوی موفق به یافتن این «باگ» شدند و البته این جایزه بزرگ را از آن خود کردند. گفتنی است که حالا دیگر انتخابات دومای محلی پایتخت روسیه به یک معضل تمام عیار برای حکومت این کشور تبدیل شده چرا که بسیاری از نامزدهای رد صلاحیت شده دومای شهری مسکو از مخالفان ولادیمیر پوتین، رئیس جمهوری این کشور هستند. این موضوع اعتراضات بسیاری را در روسیه به‌دنبال داشته و به همین دلیل هم این انتخابات از حساسیت بسیاری برخوردار شده است.
هک سیستم رأی‌گیری در کمتر از 20 دقیقه
«پیریک گادری» یکی از استادان دانشگاه Lorraine و از محققان INRIA، مؤسسه پژوهشی فرانسوی در زمینه علوم دیجیتال، دریافت که می‌تواند کلیدهای خصوصی این سیستم رأی‌گیری را بر پایه کلیدهای عمومی آن، محاسبه کند. به این ترتیب با دستیابی به کلیدهای خصوصی موفق شد تا به سیستم وارد شود. وی مدعی است که می‌توان در کمتر از 20 دقیقه به همه اطلاعات کسانی که رأی می‌دهند دسترسی پیدا کرد و البته احتمال دستکاری در رأی مردم و تغییر نتیجه انتخابات به نفع یک گروه و جناح خاص نیز چندان دور از ذهن نیست.
وی همچنین فعالان این عرصه در مسکو را به‌دلیل استفاده از سیستم امنیتی سایبری ضعیف در این سیستم رأی‌گیری ملامت کرد و یادآور شد که در این سیستم، مقامات روسی از نسخه‌ای از رمزگذاری با نام scheme ElGamal encryption استفاده کرده‌اند که کلیدهای آن امنیت بالایی ندارند و هکرها با استفاده از فناوری‌های نوین می‌توانند در مدت زمانی کوتاه، آن را رمزگشایی کنند و به همه اطلاعات کاربران دسترسی داشته باشند که این یک افتضاح تاریخی محسوب می‌شود.
این استاد دانشگاه یادآور شد: هکرها برای ورود به این سیستم رأی‌گیری رمزگذاری شده کار سختی ندارند و با استفاده از یک کامپیوتر خانگی استاندارد و با کمک نرم افزارهای رایگان موجود در بازار که در دسترس عموم مردم قرار دارد می‌توانند از موانع امنیتی این سیستم عبور کنند.
البته«گادری» ماه قبل نیز با انتشار گزارشی، نسبت به امنیت سایبری این سیستم هشدار داده و در توئیتی نوشته بود:«سیستم رأی‌گیری الکترونیک پارلمان مسکو که بر پایه بلاک چین فعالیت می‌کند کاملاً ناامن است و براحتی برای هکرها قابل دسترسی است». حالا با انجام عملی این هک درستی نگرانی‌های این فعال عرصه امنیت سایبری اثبات شد. وی البته یادآور شد پروتکل‌های این سیستم رأی‌گیری به زبان انگلیسی در دسترس وی قرار ندارد و بدون خواندن پروتکل نمی‌توان به طور دقیق از عواقب دسترسی هکرها به این سیستم صحبت کرد هرچند می‌توان حدس‌هایی زد. اما آنچه می‌دانیم اینکه چنین رمزگذاری ضعیفی حتماً بین برگه‌های رأی و اطلاعات کاربران می‌تواند ارتباطی برقرار کند. در بدترین سناریو آرای همه رأی دهندگان که از این سیستم استفاده می‌کنند به محض رأی دادن در اختیار عموم قرار می‌گیرد و عملاً این رأی مخفی نخواهد ماند.«گادری» ادامه داد: به محض شناسایی کلیدهای خصوصی توسط هکر، هرگونه اطلاعات رمزگذاری شده موجود در سیستم در اختیار هکر قرار می‌گیرد و سریع‌تر از آنچه که تصورش را می‌کنید رمزگشایی می‌شود که این به معنای دستکاری و تقلب در انتخابات و همچنین به حراج گذاشته شدن اطلاعات کاربران خواهد بود درواقع براحتی حریم خصوصی نقض می‌شود و کاربران در مقابل هکرها بی‌دفاع می‌مانند.
اما آیا این سیستم رأی‌گیری برای افرادی خاص در نظر گرفته شده بود؟ در پاسخ باید گفت در ابتدا بسیاری تصور می‌کردند که استفاده از سیستم رأی‌گیری الکترونیک مبتنی بر اینترنت و فناوری بلاک چین، تنها محدود به افراد اهل روس است که در زمان انتخابات در سفر هستند. برخی دیگر نیز معتقد بودند این سیستم برای افرادی طراحی شده که از محدودیت‌ها و ناتوانی‌های جسمی رنج می‌برند ولی واقعیت این است که جامعه هدف این سیستم رأی‌گیری به این افراد محدود نمی‌شود و هرکسی که پیش از این برای شرکت در انتخابات الکترونیکی مبتنی بر بلاک چین ثبت‌نام کرده است می‌تواند در 8 سپتامبر(17 شهریور) از این سیستم بهره بگیرد. به هرحال اگر در ماه آینده این سیستم رأی‌گیری الکترونیکی در مسکو به‌صورت رسمی مورد استفاده قرار بگیرد می‌تواند یک رکورد را برای روسیه به ثبت برساند چرا که این نخستین بار است که یک سیستم رأی‌گیری الکترونیک بر پایه بلاک چین به طور قانونی در یک انتخابات رسمی در جهان مورد استفاده قرار می‌گیرد و فقط به نمونه آزمایشی ختم نشده است.
تلاش برای افزایش امنیت سایبری
البته حالا مقامات روس با پذیرفتن این شکست تصمیم دارند تا مشکل را برطرف کرده و از کلیدهای خصوصی قوی تری بهره بگیرند. آنها اذعان کرده‌اند که طول رشته‌های بلاک چین آنها کوتاه بوده به همین دلیل هم امنیت آن تأمین نشده و حالا برای برطرف کردن مشکلات موجود، در زنجیره‌های بلاک چین خود از 1024 کلید اختصاصی استفاده خواهند کرد که قطعاً کار هکرها را بسیار سخت می‌کند. البته دانشمندان فرانسوی این کار را نیز محکوم به شکست می‌دانند و معتقدند که مقامات روس باید به عددی دوبرابر فکر کنند وگرنه باز هم شکست آنها محتوم است. این محققان عدد 2048 را پیشنهاد می‌دهند تا از حمله‌های هکری ممانعت شود.
این سیستم رأی‌گیری الکترونیکی قرار است 8 ماه سپتامبر (17 شهریور)عملاً وارد فاز اجرایی شود و در کنار سیستم‌های سنتی و رسمی رأی‌گیری در این کشور، به مدت 12 ساعت فرصت رأی‌گیری الکترونیک را در اختیار مردم مسکو قرار دهد. به محض قرار گرفتن این سیستم در فاز اجرایی، کاربران می‌توانند از طریق تلفن همراه یا کامپیوترهای خانگی خود در این رفراندوم شرکت کنند و رأی خود را بدون حضور در پای صندوق‌های رأی و تنها با کمک اینترنت به صندوق بیندازند.
مقامات روس معتقدند با استفاده از این سیستم، رأی آنها به‌صورت کاملاً محرمانه روی سیستم بلاک چین اترئوم ثبت می‌شود؛ موضوعی که حالا محققان فرانسوی کاملاً خلاف آن را ثابت کرده و یادآور شده‌اند که این سیستم بلاک چین سطح امنیتی بالایی ندارد و حریم خصوصی کاربران در معرض خطر است. حال باید منتظر ماند و دید کاربران در مسکو چه واکنشی نسبت به این موضوع نشان می‌دهند و چند درصد آنها حاضر به رأی دادن در چنین سیستم ناامنی خواهند بود.

رشد هفت درصدی بدافزارهای مالی در سال ۲۰۱۹

بررسی‌های موسسه امنیتی کاسپراسکای از قربانی شدن بیش از 430 هزار نفر در سال 2019 به علت عرضه بدافزارهای مالی خبر می‌دهد.
 
 
به نقل از آسین ایج، بررسی‌های موسسه امنیتی کاسپراسکای از قربانی شدن بیش از 430 هزار نفر در سال 2019 به علت عرضه بدافزارهای مالی خبر می‌دهد.
 
این آمار که مربوط به نیمه اول سال 2019 است، در مقایسه با مدت مشابه در سال گذشته میلادی 7 درصد رشد نشان می‌دهد.
 
بیش از نیمی از کاربرانی که به علت عرضه بدافزارهای مالی قربانی شده اند یا در حدود 30.9 درصد افرادی هستند که در شرکت های مختلف تجاری مشغول فعالیت هستند. این رقم نسبت به رقم 15.3 درصدی در نیمه اول سال 2018 دوبرابر رشد داشته و نگران کننده محسوب می شود.
 
 
بدافزارهای مالی که بیشتر به تروجان های بانکی شهرت دارند، اطلاعات مالی و بانکی افراد را سرقت می کنند و لذا تهدیدهایی بسیار جدی و خطرناک محسوب می شوند. این تهدیدها برای بانک‌ها و موسسات مالی و اعتباری نیز بسیار نگران کننده بوده و یافته های کاسپراسکای از افزایش تلاش هکرها و کلاهبرداران اینترنتی برای طراحی بدافزارهای مالی و بانکی خبر می‌دهد.
 
بخش زیادی از این بدافزارها از طریق ایمیل ها و صفحات جعلی فیشینگ ارسال می‌شوند و تعداد صفحات فیشینگ طراحی شده بدین منظور در نیمه اول سال 2019 از مرز 339 هزار صفحه گذشته است.
 
40 درصد از تروجان‌های بانکی سال 2019 از خانواده آر تی ام و 15 درصد از خانواده اموتت بوده‌اند، هر دو خانواده از جمله خطرناک ترین تروجان‌های بانکی محسوب می‌شوند.

نقص امنیتی خطرناک در نرم افزار محبوب چندرسانه ای

اگر از نرم افزار چندرسانه ای وی ال سی مدیا پلیر برای پخش انواع فایل‌های صوتی و تصویری استفاده می‌کنید، بهتر است آن را به طور موقت پاک کنید، زیرا دارای یک آسیب پذیری امنیتی خطرناک است.
 
به گزارش پی سی گیمر، محققان امنیتی آلمانی از شناسایی آسیب پذیری خطرناکی در این نرم افزار خبر داده اند و شرکت سازنده نرم افزار یادشده هم هنوز وصله امنیتی به روزرسان برای حل این مشکل عرضه نکرده است.
 
حفره یادشده اجرای کدهای مخرب را از راه دور بر روی رایانه فرد قربانی ممکن می‌کند و در نتیجه هکرها می‌توانند به طور کامل به رایانه مد نظر خود دسترسی یابند و هر چیزی را بر روی آن نصب و اجرا کرده و حتی فایل‌های موجود را دستکاری کنند.
 
هکرها می‌توانند از آسیب پذیری مذکور برای اجرای حملات DOS هم استفاده کنند که می‌تواند به نصب برخی بدافزارها بر روی رایانه‌های افراد قربانی منجر شود.
 
حفره امنیتی مذکور مربوط به تمامی نسخه‌های نرم افزار وی ال سی پلیر است که برای سیستم عامل‌های ویندوز، لینوکس و یونیکس طراحی شده اند. اما مشکل یادشده مربوط به نسخه سازگار با سیستم عامل مک نیست.

شناسایی حفره امنیتی خطرناک در فایرفاکس

بنیاد موزیلا سازنده مرورگر فایرفاکس به کاربران آن هشدار داده که هر چه سریع تر باید مرورگر یادشده را برای در امان ماندن از خطرات یک حفره امنیتی به روز کنند.
 
به گزارش انگجت، به روزرسانی امنیتی موزیلا برای نسخه ۶۷.۰.۳ فایرفاکس و فایرفاکس ESR ۶۰.۷.۱ عرضه شده است. موزیلا هشدار داده که در صورت عدم به روزرسانی فایرفاکس هکرها می‌توانند کنترل رایانه‌های آسیب پذیر را در دست گرفته و اطلاعات آنها را سرقت کنند.
 
آژانس امنیت زیرساخت‌ها و امنیت سایبری آمریکا هم با صدور هشدار از کاربران خواسته تا هر چه سریع‌تر وصله های امنیتی فایرفاکس را نصب کنند.
 
اولین بار کارشناسان امنیتی گوگل از وجود حفره یادشده در فایرفاکس خبر دادند که در زمان اجرای کدهای جاوا اسکریپت فعال می‌شود و تزریق کدهای مخرب را به رایانه‌ها از طریق صفحات وب و در زمان بازدید از آنها ممکن می‌کند.
 
وصله های به روزرسان فایرفاکس برای نسخه‌های ۳۲ و ۶۴ بیتی ویندوز و لینوکس و همین طور سیستم عامل مک طراحی و عرضه شده و از سایت موزیلا در دسترس است.

گاف امنیتی سامسونگ؛ اطلاعات کاربران در خطر!

یک پژوهشگر امنیتی به تازگی دریافته است که برخی از سورس کدهای محرمانه سامسونگ برای مدتی در دسترس عموم کاربران قرار گرفته بوده است.
 
این روزها حفاظت از امنیت سایبری و فایل‌های محرمانه شرکت‌ها و نهادهای دولتی و غیر دولتی متعددی در جهان از اهمیت بسزایی برخوردار شده است، پژوهشگران فعال در حوزه امنیت سایبری با تحقیقات و بررسی‌های دقیق خود به شدت در تلاش هستند سهل‌انگاری شرکت‌های بزرگ در جهان را کشف کرده و با یادآوری آن به آنها هشدار دهند که هرچه سریع‌تر به برطرف کردن نقص و مشکلات امنیتی مربوطه بپردازند تا حریم خصوصی کاربران آنها دچار مشکل نشود.
 
این طور به نظر می‌رسد که برخی از اطلاعات و فایل‌های محرمانه سامسونگ برای مدتی تقریباً طولانی برای دسترسی عموم کاربران و هکرها روی فرم پلت‌فرم گیت‌لب قرار داشته است.
 
گفته می‌شود این فایل‌های افشا شده شامل سورس کدهای مربوط به پروژه گجت‌های هوشمند مبتنی بر اینترنت اشیا و همچنین سرویس‌های مربوط به دستیار صوتی هوشمند بیکسبی سامسونگ می‌شود که حاوی اعتبارنامه‌های دسترسی به حساب سرویس وب آمازون و گذرواژه‌های گیت‌لب چندین کارمند آن نیز می‌شود که این امر دسترسی بیشتری را برای هکرها و مجرمان سایبری به ارمغان می‌آورده است.
 
سخنگوی شرکت سامسونگ در گفتگو با گزارشگر وب سایت تک کرانچ خاطرنشان کرده است که تمام رمز عبورها و اعتبار نامه‌های این پلتفرم به صورت آزمایشی در گیت لب قرار داده شده بوده، حالا سریعاً تغییر یافته است اما این در حالیست که پژوهشگران امنیتی مربوطه مدعی شده‌اند که در تاریخ ۱۰ آوریل این آسیب‌پذیری را به شرکت سامسونگ اطلاع داده‌اند ولی این شرکت رمزهای مذکور را در تاریخ ۳۰ آوریل تغییر داده است که این امر نشان دهنده سهل‌انگاری آشکار این تکنولوژی کره‌ای است.
 
وی بر این باور است که این سهل‌انگاری امنیت سایبری و حفاظت از اطلاعات و حریم خصوصی کاربران محصولات مذکور را در آینده به مخاطره خواهد انداخت.
 

کشف یک حفره امنیتی جدید در لپ‌تاپ‌های Dell

اخبار منتشر شده حاکی از آن است که آسیب پذیری و حفره امنیتی جدیدی که در لپ تاپ‌های برند Dell یافت شده ، به هکرها امکان کنترل از راه دور سیستم کاربران را می‌دهد.
 
این روزها کارشناسان امنیتی به کشف آسیب پذیری و ضعف‌های امنیتی موجود در سخت افزار و نرم افزارهای مختلف می‌پردازند تا به شرکت‌های توسعه دهنده و سازنده مربوطه هشدار دهند که هر چه سریع‌تر مشکلات امنیتی مربوطه را برطرف کرده و خیال کاربران را برای استفاده و بهره‌مندی از دستگاه‌های الکترونیکی و برنامه‌های رایانه‌ای و موبایلی راحت کنند.
 
آسیب پذیری و ضعف‌های امنیتی به هکرها و مجرمان سایبری اجازه می‌دهد که بدون اجازه کاربران و دارندگان سیستم‌های رایانه و موبایل به حریم خصوصی و اطلاعات شخصی ذخیره سازی شده در سیستم آنها نفوذ و دسترسی پیدا کنند و به منظور دستیابی به اهداف و نیت‌های شوم خود، از آنها سو استفاده کنند.
 
حالا تازه‌ترین گزارش‌های منتشر شده در وب سایت هکرنیوز حاکی از آن است که محققان و پژوهشگران دریافته و اعلام کرده اند که لپ تاپ‌های برند Dell که یکی از معروف ترین و بهترین برندهای لپ تاپ در جهان است، گرفتار یک آسیب پذیری و حفره امنیتی جدید شده اند که به هکرها و مجرمان سایبری اجازه می‌دهد از راه دور به محتوای موردنظر خود در حریم خصوصی کاربران دسترسی پیدا کنند.
 
لازم به ذکر است که در این گزارش هیچ اشاره‌ای به تعداد و مدل لپ تاپ‌های این برند که تحت تأثیر آسیب پذیری امنیتی مذکور قرار گرفته اند، اعلام نشده است.
 
هنوز شرکت سازنده لپ تاپ‌های Dell به این خبر واکنشی نشان نداده است.
 

کشف نقص امنیتی در نرم افزار WinRAR

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به کشف آسیب‌پذیری بحرانی در نرم افزار کاربردی وین‌رر (WinRAR) به عنوان یکی از پراستفاده‌ترین باگ‌ها توسط مهاجمان سایبری، هشدار داد.
 
به گزارش معاونت بررسی مرکز افتای ریاست جمهوری، آسیب‌پذیری CVE-۲۰۱۸-۲۰۲۵۰ در نرم‌افزار WinRAR در حال تبدیل شدن به یکی از پراستفاده‌ترین نقص‌های امنیتی ماه‌های اخیر است. مایکروسافت نیز اخیراً گزارشی را در ارتباط با سوءاستفاده از این آسیب‌پذیری در حملات مختلف، منتشر کرده است.
 
آسیب‌پذیری برنامه پرطرفدار WinRAR یک نقص اجرای کد از راه دور است که به مدت ۱۹ سال در این نرم‌افزار وجود داشته است. پس از انتشار کد اثبات مفهومی این آسیب‌پذیری، حدود ۱۰۰ اکسپلویت مختلف با بهره‌گیری از این نقص توسط مجرمان سایبری ایجاد شده است.
 
سوءاستفاده از این آسیب‌پذیری از طریق فایل‌های فشرده با پسوند ACE انجام می‌شود که با انتشار نسخه ۵,۷۱ beta پشتیبانی از این پسوند متوقف شده است.
 
گزارش مایکروسافت از حملات انجام شده توسط این آسیب‌پذیری، هشداری است برای سازمان‌هایی که هنوز نسخه WinRAR خود را به‌روزرسانی نکرده‌اند.
 
در یکی از حملات اخیر، از طریق ایمیل‌های فیشینگ، پیوست‌های Word مخربی ارسال شده است که با باز کردن آن‌ها یک فایل Word دیگر از طریق یک لینک OneDrive دانلود می‌شود. این فایل حاوی یک کد ماکرو برای راه‌اندازی payload بدافزار است. در نهایت یک اسکریپت PowerShell با بهره‌برداری از اکسپلویت CVE-۲۰۱۸-۲۰۲۵۰ باعث ایجاد حمله از طریق درپشتی برای مهاجمان می‌شود.
 
مرکز افتا به کاربران توصیه کرده است که فایل‌های ACE تحت هیچ شرایطی باز نشوند و برنامه WinRAR به‌روزرسانی شود. باید توجه شود که مهاجمان می‌توانند برای فریب کاربر پسوند فایل‌های فشرده را تغییر دهند.
 
نشانه‌های آلودگی (IoC) حمله بررسی شده توسط مایکروسافت در این لینک آمده است.

مایکروسافت آفیس و آسیب‌پذیری‌هایش

ایدکو: برخی نشست‌ها در کنفرانس SAS 2019 نه تنها به حملات پیچیده‌ی APT اختصاص داده‌ شده‌ است؛ بلکه همچنین امور پژوهشیِ محققین ضدبدافزارِ ما را نیز در طی آن‌ها مورد بررسی قرار می‌گیرد. متخصصین ما بوریس لارین، ولاد استولیاروو و الکساندر لیسکین، تحقیقاتی را تحت عنوان «گرفتن حملات روز صفر چندلایه‌ای روی مایکروسافت آفیس[1]» آماده کردند که تمرکز اصلی‌اش روی ابزارهایی بود که به آن‌ها کمک می‌کرد بتوانند بدافزارها را مورد تحلیل و بررسی قرار دهند؛ اما آن‌ها همچنین چشم‌انداز فعلیِ تهدید  Microsoft Office را نیز در این پژوهش لحاظ نمودند. تغییرات پیرامون این چشم‌انداز تهدید در طول تنها دو سال بسیار قابل‌ملاحظه است. متخصصین ما با استفاده از پلت‌فرم‌های هدف‌دار از آخر سال گذشته، توزیع کاربران مورد حمله قرار گرفته را با توزیع کاربران مورد حمله قرارگرفته‌ی دو سال پیش مورد مقایسه قرار دادند. در نهایت به این موضوع پی بردند که مجرمین سایبری دیگر از آسیب‌پذیری‌های مبتنی بر وب استفاده نمی‌کنند و به آسیب‌پذیری‌هایروی آورده‌اند؛ اما میزان تغییرات حتی خود آن‌ها را هم شگفت‌زده کرد: در طول چند ماه گذشته، مایکروسافت آفیس -با بیش از 70 درصد سهم حملات- به پلت‌فرمی تبدیل شده که بیشترین حملات بدان شده است.
 
از سال گذشته یک سری اکسپلویت‌های روز صفر عملیات خود را روی مایکروسافت آفیس شروع کردند. این اکسپلویت‌ها معمولاً در ابتدا کار خود را با کمپین‌های هدف‌دار شروع می‌کنند اما در نهایت خود را عمومی می‌کنند و می‌شوند یک داکیومنت‌سازِ مخرب و یکپارچه. با این حال این زمان چرخش به طور قابل‌توجهی کوتاه شده است. برای مثال، در مورد CVE-2017-11882 اولین آسیب‌پذیری‌ای که متخصص ما دید، یک کمپین بزرگ اسپم بود که درست همان روز که اثباتِ این مفهوم منتشر شد، شروع به کار خود کرد. البته این برای سایر آسیب‌پذیری‌ها هم صدق می‌کند- وقتی یک گزارش فنی برای آسیب‌پذیری همگانی می‌شود، ظرف چند روز اکسپلویتِ مخصوص به آن روی بازار سیاه پدیدار می‌شود. باگ‌ها خود کمتر پیچیده‌اند و برخی اوقات مجرم سایبری برای ساخت یک اکسپلویتِ فعال تنها به یک گزارش با جزئیات نیاز دارد.
 
تنها انداختن نگاهی به بیشترِ آسیب‌پذیری‌های بهره‌برداری‌شده سال 2018 کافی است تا متوجه شویم: نویسندگانِ بدافزار، باگ‌های ساده و منطقی را ترجیح می‌دهند. به همین دلیل است که آسیب‌پذیری‌های CVE-2017-11882 و CVE-2018-0802 اکنون باگ‌هایی هستند که در مایکروسافت آفیس بیشترین میزان اکسپلویت را داشته‌اند. به بیانی ساده، این نوع باگ‌ها مطمئن‌اند و با هر نسخه از برنامه‌ی Word (که در طول 17 سال گذشته منتشر شده است) نیز سازگاری دارند. و از همه مهم تر اینکه ساخت یک اکسپلویت برای هر یک از آن‌ها به هیچ مهارت پیشرفته و خاصی نیاز ندارد. دلیل هم این است که فرمول‌نویسی آن‌ها هیچ حفاظِ مدرنی ندارد (بر خلاف اپ‌های 2018).
 
یک یادداشت مهم: هیچیک از آسیب‌پذیری‌هایی که بیشترین میزان اکسپلویت را داشتند در خودِ مایکروسافت آفیس نیستند. در عوض، آن ها در اجزای مربوط به آن وجود دارند.
 
 
چطور چنین چیزهایی پیش می‌آید؟
بسیارخوب، سطوح حمله‌ی مایکروسافت آفیس وسیع است (فرمت‌های فایل پیچیده و متعدد و نیز یکپارچگی با ویندوز). و نکته‌ای که به لحاظ امنیتی بسیار اهمیت دارد است که بسیاری از تصمیم‌هایی که مایکروسافت هنگام ساخت آفیس گرفت اکنون تنها ایده‌هایی بد هستند و تغییر دادنشان تنها کار را خراب‌تر کرده و به بخش سازگاری صدمه می‌زند. تنها در سال 2018 شاهد چندین آسیب‌پذیریِ روز صفر بودیم که مورد بهره‌برداری قرار گرفتند. از میان آن‌ها می‌توان به CVE-2018-8174 اشاره کرد که البته ماجرای آن بسیار جالب است. اکسپلویت در داکیومنت ورد پیدا شد اما خودِ این آسیب‌پذیری در حقیقت در Internet Explorer بود.
 
چطور آسیب‌پذیری‌ها پیدا می‌شوند؟
محصولات امنیتی کسپرسکی برای اندپوینت‌ها از قابلیت‌های بسیار پیچیده‌ای برای شناسایی تهدیداتی برخورداند که از طریق داکیومنت‌های مایکروسافت آفیس رخنه می‌کنند. این در حقیقت می‌تواند اولین لایه‌ی شناسایی باشد. موتور اکتشافی از فرمت تمامی فایل‌ها و ابهاماتِ داکیومنت‌ها باخبر است. این موتور همچنین حکم اولین خط دفاعی را دارد. اما وقتی شیءای مخرب یافت می‌شود، بعد از شناسایی آن دیگر عملیات خود را تمام نمی‌کنیم. برای مثال یکی از فناوری‌هایی که در این زمینه به شدت موفق بوده سندباکس است. در زمینه‌ی امنیت اطلاعات، سندباکس‌ها برای جداسازی یک محیط ناامن از یک محیط امن و یا برعکس مورد استفاده قرار می‌گیرد. همچنین آن‌ها کد مخرب را نیز تحلیل می‌کنند. سندباکسِ ما سیستمی است برای شناسایی بدافزار که چیزی مشکوک را در ماشین مجازی (با سیستم‌عامل کاملاً مجهز) اجرا می‌کند و بعد با آنالیزِ رفتار آن، فعالیت آلوده‌ی آن چیز را شناسایی می‌کند. سندباکس ما چند سال پیش در بخش زیرساخت ساخته شد و مورد استفاده قرار گرفت و بعد رفته‌رفته عضوی از  Kaspersky Anti-Targeted Attack Platform شد. مایکروسافت آفیس تارگتی داغ و هیجان‌انگیز برای مهاجمین است و اینطور هم باقی خواهد ماند. در آخر توصیه می‌کنیم از راه‌حل‌هایی استفاده کنید که کارایی‌شان در فهرست شناساییِ  CVE اثبات‌شده باشد.
 
 
 
[1] Catching multilayered zero-day attacks on MS Office 
منبع: کسپرسکی آنلاین
 

مایکروسافت آفیس و آسیب‌پذیری‌هایش

ایدکو: برخی نشست‌ها در کنفرانس SAS 2019 نه تنها به حملات پیچیده‌ی APT اختصاص داده‌ شده‌ است؛ بلکه همچنین امور پژوهشیِ محققین ضدبدافزارِ ما را نیز در طی آن‌ها مورد بررسی قرار می‌گیرد. متخصصین ما بوریس لارین، ولاد استولیاروو و الکساندر لیسکین، تحقیقاتی را تحت عنوان «گرفتن حملات روز صفر چندلایه‌ای روی مایکروسافت آفیس[1]» آماده کردند که تمرکز اصلی‌اش روی ابزارهایی بود که به آن‌ها کمک می‌کرد بتوانند بدافزارها را مورد تحلیل و بررسی قرار دهند؛ اما آن‌ها همچنین چشم‌انداز فعلیِ تهدید  Microsoft Office را نیز در این پژوهش لحاظ نمودند. تغییرات پیرامون این چشم‌انداز تهدید در طول تنها دو سال بسیار قابل‌ملاحظه است. متخصصین ما با استفاده از پلت‌فرم‌های هدف‌دار از آخر سال گذشته، توزیع کاربران مورد حمله قرار گرفته را با توزیع کاربران مورد حمله قرارگرفته‌ی دو سال پیش مورد مقایسه قرار دادند. در نهایت به این موضوع پی بردند که مجرمین سایبری دیگر از آسیب‌پذیری‌های مبتنی بر وب استفاده نمی‌کنند و به آسیب‌پذیری‌هایروی آورده‌اند؛ اما میزان تغییرات حتی خود آن‌ها را هم شگفت‌زده کرد: در طول چند ماه گذشته، مایکروسافت آفیس -با بیش از 70 درصد سهم حملات- به پلت‌فرمی تبدیل شده که بیشترین حملات بدان شده است.
 
از سال گذشته یک سری اکسپلویت‌های روز صفر عملیات خود را روی مایکروسافت آفیس شروع کردند. این اکسپلویت‌ها معمولاً در ابتدا کار خود را با کمپین‌های هدف‌دار شروع می‌کنند اما در نهایت خود را عمومی می‌کنند و می‌شوند یک داکیومنت‌سازِ مخرب و یکپارچه. با این حال این زمان چرخش به طور قابل‌توجهی کوتاه شده است. برای مثال، در مورد CVE-2017-11882 اولین آسیب‌پذیری‌ای که متخصص ما دید، یک کمپین بزرگ اسپم بود که درست همان روز که اثباتِ این مفهوم منتشر شد، شروع به کار خود کرد. البته این برای سایر آسیب‌پذیری‌ها هم صدق می‌کند- وقتی یک گزارش فنی برای آسیب‌پذیری همگانی می‌شود، ظرف چند روز اکسپلویتِ مخصوص به آن روی بازار سیاه پدیدار می‌شود. باگ‌ها خود کمتر پیچیده‌اند و برخی اوقات مجرم سایبری برای ساخت یک اکسپلویتِ فعال تنها به یک گزارش با جزئیات نیاز دارد.
 
تنها انداختن نگاهی به بیشترِ آسیب‌پذیری‌های بهره‌برداری‌شده سال 2018 کافی است تا متوجه شویم: نویسندگانِ بدافزار، باگ‌های ساده و منطقی را ترجیح می‌دهند. به همین دلیل است که آسیب‌پذیری‌های CVE-2017-11882 و CVE-2018-0802 اکنون باگ‌هایی هستند که در مایکروسافت آفیس بیشترین میزان اکسپلویت را داشته‌اند. به بیانی ساده، این نوع باگ‌ها مطمئن‌اند و با هر نسخه از برنامه‌ی Word (که در طول 17 سال گذشته منتشر شده است) نیز سازگاری دارند. و از همه مهم تر اینکه ساخت یک اکسپلویت برای هر یک از آن‌ها به هیچ مهارت پیشرفته و خاصی نیاز ندارد. دلیل هم این است که فرمول‌نویسی آن‌ها هیچ حفاظِ مدرنی ندارد (بر خلاف اپ‌های 2018).
 
یک یادداشت مهم: هیچیک از آسیب‌پذیری‌هایی که بیشترین میزان اکسپلویت را داشتند در خودِ مایکروسافت آفیس نیستند. در عوض، آن ها در اجزای مربوط به آن وجود دارند.
 
 
چطور چنین چیزهایی پیش می‌آید؟
بسیارخوب، سطوح حمله‌ی مایکروسافت آفیس وسیع است (فرمت‌های فایل پیچیده و متعدد و نیز یکپارچگی با ویندوز). و نکته‌ای که به لحاظ امنیتی بسیار اهمیت دارد است که بسیاری از تصمیم‌هایی که مایکروسافت هنگام ساخت آفیس گرفت اکنون تنها ایده‌هایی بد هستند و تغییر دادنشان تنها کار را خراب‌تر کرده و به بخش سازگاری صدمه می‌زند. تنها در سال 2018 شاهد چندین آسیب‌پذیریِ روز صفر بودیم که مورد بهره‌برداری قرار گرفتند. از میان آن‌ها می‌توان به CVE-2018-8174 اشاره کرد که البته ماجرای آن بسیار جالب است. اکسپلویت در داکیومنت ورد پیدا شد اما خودِ این آسیب‌پذیری در حقیقت در Internet Explorer بود.
 
چطور آسیب‌پذیری‌ها پیدا می‌شوند؟
محصولات امنیتی کسپرسکی برای اندپوینت‌ها از قابلیت‌های بسیار پیچیده‌ای برای شناسایی تهدیداتی برخورداند که از طریق داکیومنت‌های مایکروسافت آفیس رخنه می‌کنند. این در حقیقت می‌تواند اولین لایه‌ی شناسایی باشد. موتور اکتشافی از فرمت تمامی فایل‌ها و ابهاماتِ داکیومنت‌ها باخبر است. این موتور همچنین حکم اولین خط دفاعی را دارد. اما وقتی شیءای مخرب یافت می‌شود، بعد از شناسایی آن دیگر عملیات خود را تمام نمی‌کنیم. برای مثال یکی از فناوری‌هایی که در این زمینه به شدت موفق بوده سندباکس است. در زمینه‌ی امنیت اطلاعات، سندباکس‌ها برای جداسازی یک محیط ناامن از یک محیط امن و یا برعکس مورد استفاده قرار می‌گیرد. همچنین آن‌ها کد مخرب را نیز تحلیل می‌کنند. سندباکسِ ما سیستمی است برای شناسایی بدافزار که چیزی مشکوک را در ماشین مجازی (با سیستم‌عامل کاملاً مجهز) اجرا می‌کند و بعد با آنالیزِ رفتار آن، فعالیت آلوده‌ی آن چیز را شناسایی می‌کند. سندباکس ما چند سال پیش در بخش زیرساخت ساخته شد و مورد استفاده قرار گرفت و بعد رفته‌رفته عضوی از  Kaspersky Anti-Targeted Attack Platform شد. مایکروسافت آفیس تارگتی داغ و هیجان‌انگیز برای مهاجمین است و اینطور هم باقی خواهد ماند. در آخر توصیه می‌کنیم از راه‌حل‌هایی استفاده کنید که کارایی‌شان در فهرست شناساییِ  CVE اثبات‌شده باشد.
 
 
 
[1] Catching multilayered zero-day attacks on MS Office 
منبع: کسپرسکی آنلاین