تأثير ملايين أجهزة البلوتوث بثغرات BrakTooth
واجهت تقنية Bluetooth (BT) تدقيقًا شديدًا بسبب عيوب التصميم ونقاط الضعف المختلفة. كشف خبراء الأمن من جامعة سنغافورة للتكنولوجيا والتصميم مؤخرًا عن مجموعة من الثغرات الأمنية ، تم تتبعها باسم BrakTooth ، في بروتوكول Bluetooth Classic (BR / EDR) ، مما يؤثر على ملايين الأجهزة التي تدعم تقنية Bluetooth. يتم تصنيع هذه الأجهزة بواسطة Intel و Qualcomm و Texas Instruments و Infineon (Cypress) و Zhuhai Jieli Technology و Texas Instruments و Silicon Labs.
بعد تحليل 13 جهاز BT من 11 بائعًا ، وجد الباحثون 16 ثغرة أمنية ، والتي ، إذا تم استغلالها بنجاح ، يمكن أن تسمح للمتسلل عن بُعد بشن هجمات متعددة ، بما في ذلك رفض الخدمة (DoS) ، وتعطل البرامج الثابتة ، والتوقف ، وتنفيذ التعليمات البرمجية التعسفية ( ACE) على الأجهزة الضعيفة.
"تم بالفعل الإبلاغ عن جميع نقاط الضعف إلى البائعين المعنيين ، مع وجود العديد من الثغرات التي تم تصحيحها بالفعل والباقي قيد التكرار والتصحيح. نظرًا لأن مكدس BT غالبًا ما يتم مشاركته عبر العديد من المنتجات ، فمن المحتمل أن تتأثر العديد من المنتجات الأخرى بـ BrakTooth. لذلك ، نقترح على البائعين الذين ينتجون نظام BT على الرقائق (SoCs) أو وحدات BT أو منتجات BT النهائية استخدام كود BrakTooth لإثبات صحة المفهوم (PoC) للتحقق من صحة تنفيذ مكدس BT الخاص بهم ، " قال الباحثون .
تم اكتشاف نقاط الضعف
تنفيذ الصفحات المميزة (CVE-2021-28139)
طلب ارتباط SCO مقطوع (CVE-2021-34144)
IOCAP مكرر (CVE-2021-28136)
ميزة الاستجابة للفيضانات (CVE-2021-28135 / 28155/31717)
تجاوز معدل السيارات LMP (CVE-2021-31609 / 31612)
تجاوز LMP 2-DH1
تجاوز LMP DM1 (CVE-2021-34150)
مقبول LMP المقتطع (CVE-2021-31613)
اكتمل الإعداد غير صالح (CVE-2021-31611)
فيضان اتصال المضيف (CVE-2021-31785)
نفس اتصال المضيف (CVE-2021-31786)
LMP AU Rand Flooding (CVE-2021-31610 / 34149/34146/34143)
LMP Max Slot Type غير صالح (CVE-2021-34145)
تجاوز الحد الأقصى لطول الفتحة (CVE-2021-34148)
دقة التوقيت غير صالحة (CVE-2021-34147)
الأجهزة المتضررة
المعدات الصناعية مثل أجهزة التحكم المنطقية القابلة للبرمجة (PLCs)
الهواتف الذكية
أنظمة المعلومات والترفيه
أنظمة الكمبيوتر المحمول وسطح المكتب
أجهزة الصوت
أنظمة الترفيه المنزلي
لوحات المفاتيح والألعاب الممكّنة لـ BT
كيف يعمل الهجوم
يمكن لمجرمي الإنترنت استغلال ثغرة BrakTooth من خلال الاستفادة من مجموعة تطوير ESP32 (ESP-WROVER-KIT) جنبًا إلى جنب مع برنامج ثابت LMP مخصص (غير متوافق) وجهاز كمبيوتر لتشغيل أداة PoC أثناء هجومهم.
كما قام الباحثون بتفصيل سيناريو الهجوم في مقطع فيديو.

"يمكن تشغيل جميع نقاط الضعف دون أي اقتران أو مصادقة سابقة. يتم تصنيف تأثير نقاط الضعف المكتشفة لدينا إلى حوادث وحالات توقف تام. تؤدي الأعطال عمومًا إلى تأكيد قاتل ، وأخطاء تجزئة بسبب تجاوز سعة المخزن المؤقت أو كومة الذاكرة المؤقتة داخل البرامج الثابتة COC. وعلى النقيض من ذلك ، فإن عمليات الإغلاق المحكم تؤدي بالجهاز المستهدف إلى حالة لا يمكن فيها إجراء مزيد من الاتصالات عبر تقنية BT ".
واجهت تقنية Bluetooth (BT) تدقيقًا شديدًا بسبب عيوب التصميم ونقاط الضعف المختلفة. كشف خبراء الأمن من جامعة سنغافورة للتكنولوجيا والتصميم مؤخرًا عن مجموعة من الثغرات الأمنية ، تم تتبعها باسم BrakTooth ، في بروتوكول Bluetooth Classic (BR / EDR) ، مما يؤثر على ملايين الأجهزة التي تدعم تقنية Bluetooth. يتم تصنيع هذه الأجهزة بواسطة Intel و Qualcomm و Texas Instruments و Infineon (Cypress) و Zhuhai Jieli Technology و Texas Instruments و Silicon Labs.
بعد تحليل 13 جهاز BT من 11 بائعًا ، وجد الباحثون 16 ثغرة أمنية ، والتي ، إذا تم استغلالها بنجاح ، يمكن أن تسمح للمتسلل عن بُعد بشن هجمات متعددة ، بما في ذلك رفض الخدمة (DoS) ، وتعطل البرامج الثابتة ، والتوقف ، وتنفيذ التعليمات البرمجية التعسفية ( ACE) على الأجهزة الضعيفة.
"تم بالفعل الإبلاغ عن جميع نقاط الضعف إلى البائعين المعنيين ، مع وجود العديد من الثغرات التي تم تصحيحها بالفعل والباقي قيد التكرار والتصحيح. نظرًا لأن مكدس BT غالبًا ما يتم مشاركته عبر العديد من المنتجات ، فمن المحتمل أن تتأثر العديد من المنتجات الأخرى بـ BrakTooth. لذلك ، نقترح على البائعين الذين ينتجون نظام BT على الرقائق (SoCs) أو وحدات BT أو منتجات BT النهائية استخدام كود BrakTooth لإثبات صحة المفهوم (PoC) للتحقق من صحة تنفيذ مكدس BT الخاص بهم ، " قال الباحثون .
تم اكتشاف نقاط الضعف
تنفيذ الصفحات المميزة (CVE-2021-28139)
طلب ارتباط SCO مقطوع (CVE-2021-34144)
IOCAP مكرر (CVE-2021-28136)
ميزة الاستجابة للفيضانات (CVE-2021-28135 / 28155/31717)
تجاوز معدل السيارات LMP (CVE-2021-31609 / 31612)
تجاوز LMP 2-DH1
تجاوز LMP DM1 (CVE-2021-34150)
مقبول LMP المقتطع (CVE-2021-31613)
اكتمل الإعداد غير صالح (CVE-2021-31611)
فيضان اتصال المضيف (CVE-2021-31785)
نفس اتصال المضيف (CVE-2021-31786)
LMP AU Rand Flooding (CVE-2021-31610 / 34149/34146/34143)
LMP Max Slot Type غير صالح (CVE-2021-34145)
تجاوز الحد الأقصى لطول الفتحة (CVE-2021-34148)
دقة التوقيت غير صالحة (CVE-2021-34147)
الأجهزة المتضررة
المعدات الصناعية مثل أجهزة التحكم المنطقية القابلة للبرمجة (PLCs)
الهواتف الذكية
أنظمة المعلومات والترفيه
أنظمة الكمبيوتر المحمول وسطح المكتب
أجهزة الصوت
أنظمة الترفيه المنزلي
لوحات المفاتيح والألعاب الممكّنة لـ BT
كيف يعمل الهجوم
يمكن لمجرمي الإنترنت استغلال ثغرة BrakTooth من خلال الاستفادة من مجموعة تطوير ESP32 (ESP-WROVER-KIT) جنبًا إلى جنب مع برنامج ثابت LMP مخصص (غير متوافق) وجهاز كمبيوتر لتشغيل أداة PoC أثناء هجومهم.
كما قام الباحثون بتفصيل سيناريو الهجوم في مقطع فيديو.

"يمكن تشغيل جميع نقاط الضعف دون أي اقتران أو مصادقة سابقة. يتم تصنيف تأثير نقاط الضعف المكتشفة لدينا إلى حوادث وحالات توقف تام. تؤدي الأعطال عمومًا إلى تأكيد قاتل ، وأخطاء تجزئة بسبب تجاوز سعة المخزن المؤقت أو كومة الذاكرة المؤقتة داخل البرامج الثابتة COC. وعلى النقيض من ذلك ، فإن عمليات الإغلاق المحكم تؤدي بالجهاز المستهدف إلى حالة لا يمكن فيها إجراء مزيد من الاتصالات عبر تقنية BT ".
أعلن مركز Microsoft Threat Intelligence Center (MSTIC)
أن المتسللين الإيرانيين استهدفوا بنجاح شركات تكنولوجيا الدفاع الأمريكية والإسرائيلية وموانئ الدخول في الخليج العربي وشركات النقل البحري العالمية التي لها وجود تجاري في الولايات المتحدة. الشرق الأوسط. تضمنت الشركات التي تم اختراقها شركات دفاعية تدعم شركاء الولايات المتحدة والاتحاد الأوروبي والحكومة الإسرائيلية الذين ينتجون رادارات من الدرجة العسكرية وتكنولوجيا الطائرات بدون طيار وأنظمة الأقمار الصناعية وأنظمة اتصالات الاستجابة للطوارئ. وقالت مايكروسوفت إن القرصنة "تدعم على الأرجح المصالح الوطنية لجمهورية إيران الإسلامية". أطلقت الشركة على مجموعة القرصنة DEV-0343. تحذر Microsoft من أن المتسللين كانوا يحاولون اقتحام العديد من حسابات Office 365 من خلال هجمات تخمين كلمات المرور. تعمل هجمات رش كلمة المرور من خلال تعلم عنوان البريد الإلكتروني للمستخدم ثم محاولة العديد من كلمات المرور على مدار عدة ساعات أو أيام لمحاولة الاختراق. كان المتسللون يحاكيون متصفح Firefox عبر عناوين IP المستضافة عبر شبكة Tor ، والتي تم تصميمها للمساعدة إخفاء هوية أصول المهاجم. لوقف الهجمات ، تشجع Microsoft عملائها على تمكين المصادقة متعددة العوامل على حساباتهم.
أن المتسللين الإيرانيين استهدفوا بنجاح شركات تكنولوجيا الدفاع الأمريكية والإسرائيلية وموانئ الدخول في الخليج العربي وشركات النقل البحري العالمية التي لها وجود تجاري في الولايات المتحدة. الشرق الأوسط. تضمنت الشركات التي تم اختراقها شركات دفاعية تدعم شركاء الولايات المتحدة والاتحاد الأوروبي والحكومة الإسرائيلية الذين ينتجون رادارات من الدرجة العسكرية وتكنولوجيا الطائرات بدون طيار وأنظمة الأقمار الصناعية وأنظمة اتصالات الاستجابة للطوارئ. وقالت مايكروسوفت إن القرصنة "تدعم على الأرجح المصالح الوطنية لجمهورية إيران الإسلامية". أطلقت الشركة على مجموعة القرصنة DEV-0343. تحذر Microsoft من أن المتسللين كانوا يحاولون اقتحام العديد من حسابات Office 365 من خلال هجمات تخمين كلمات المرور. تعمل هجمات رش كلمة المرور من خلال تعلم عنوان البريد الإلكتروني للمستخدم ثم محاولة العديد من كلمات المرور على مدار عدة ساعات أو أيام لمحاولة الاختراق. كان المتسللون يحاكيون متصفح Firefox عبر عناوين IP المستضافة عبر شبكة Tor ، والتي تم تصميمها للمساعدة إخفاء هوية أصول المهاجم. لوقف الهجمات ، تشجع Microsoft عملائها على تمكين المصادقة متعددة العوامل على حساباتهم.
أصدرت Microsoft 71 إصلاحًا أمنيًا للبرامج
بما في ذلك خطأ يوم الصفر تم استغلاله بشكل نشط في Win32k. يتم تتبع أخطاء اليوم الصفري مثل CVE-2021-40449 و CVE-2021-41338 و CVE-2021-40469 و CVE-2021-41335. يتم استغلال CVE-2021-40449 بنشاط. أصدرت درجة خطورة CVSS تبلغ 7.8 ، وتؤثر هذه الثغرة الأمنية على برنامج تشغيل Win32K kernel. أبلغت Kaspersky Microsoft عن الخلل ، وقالت إن فوضى النشاط ، التي يطلق عليها MysterySnail ، تستخدم عيب الاستخدام بعد الخالي. "إلى جانب العثور على يوم الصفر في البرية ، قمنا بتحليل حمولة البرامج الضارة المستخدمة جنبًا إلى جنب مع استغلال يوم الصفر ، ووجدنا أنه تم اكتشاف أنواع مختلفة من البرامج الضارة في حملات تجسس واسعة النطاق ضد شركات تكنولوجيا المعلومات والمقاولين العسكريين / الدفاعيين والهيئات الدبلوماسية ، "الثغرات الأمنية الثلاثة الأخرى التي تم حلها في هذه الجولة من التصحيحات هي CVE-2021-41338 (CVSS 5.5) ، وهو خطأ في جدار حماية Windows AppContainer يسمح للمهاجمين بتجاوز ميزات الأمان ؛ CVE-2021-40469 (CVSS 7.2) ، RCE في Windows DNS Server ؛ و CVE-2021-41335 (CVSS 7.8) ، ارتفاع في خطأ الامتياز في Windows Kernel. ثلاثة أخطاء حرجة ، CVE-2021-40486 ، و CVE-2021-38672 ، و CVE-2021-40461 ، تجدر الإشارة أيضًا إلى أن الخلل الأمني الأول يؤثر على Microsoft Word بينما يؤثر الاثنان الآخران على Hyper-V. إذا تم استغلالهما ، يمكن أن يؤدي كل منهما إلى تنفيذ التعليمات البرمجية عن بُعد.
بما في ذلك خطأ يوم الصفر تم استغلاله بشكل نشط في Win32k. يتم تتبع أخطاء اليوم الصفري مثل CVE-2021-40449 و CVE-2021-41338 و CVE-2021-40469 و CVE-2021-41335. يتم استغلال CVE-2021-40449 بنشاط. أصدرت درجة خطورة CVSS تبلغ 7.8 ، وتؤثر هذه الثغرة الأمنية على برنامج تشغيل Win32K kernel. أبلغت Kaspersky Microsoft عن الخلل ، وقالت إن فوضى النشاط ، التي يطلق عليها MysterySnail ، تستخدم عيب الاستخدام بعد الخالي. "إلى جانب العثور على يوم الصفر في البرية ، قمنا بتحليل حمولة البرامج الضارة المستخدمة جنبًا إلى جنب مع استغلال يوم الصفر ، ووجدنا أنه تم اكتشاف أنواع مختلفة من البرامج الضارة في حملات تجسس واسعة النطاق ضد شركات تكنولوجيا المعلومات والمقاولين العسكريين / الدفاعيين والهيئات الدبلوماسية ، "الثغرات الأمنية الثلاثة الأخرى التي تم حلها في هذه الجولة من التصحيحات هي CVE-2021-41338 (CVSS 5.5) ، وهو خطأ في جدار حماية Windows AppContainer يسمح للمهاجمين بتجاوز ميزات الأمان ؛ CVE-2021-40469 (CVSS 7.2) ، RCE في Windows DNS Server ؛ و CVE-2021-41335 (CVSS 7.8) ، ارتفاع في خطأ الامتياز في Windows Kernel. ثلاثة أخطاء حرجة ، CVE-2021-40486 ، و CVE-2021-38672 ، و CVE-2021-40461 ، تجدر الإشارة أيضًا إلى أن الخلل الأمني الأول يؤثر على Microsoft Word بينما يؤثر الاثنان الآخران على Hyper-V. إذا تم استغلالهما ، يمكن أن يؤدي كل منهما إلى تنفيذ التعليمات البرمجية عن بُعد.
أكدت عملاق الكمبيوتر #Acer
وقوع هجوم إلكتروني على مكاتبها في الهند بعد أن ادعى قراصنة من مجموعة Desorden Group أنهم قاموا باختراق الخوادم وسرقة 60 جيجابايت من الملفات. نفى المتسللون أن يكون الاختراق الأخير هجومًا ببرنامج الفدية. ومع ذلك ، زعموا أن لديهم حاليًا معلومات حساسة حول مطور التكنولوجيا. وتشمل هذه المعلومات المالية وقاعدة بيانات الأعمال والتفاصيل المصنفة الأخرى. من ناحية أخرى ، أكد متحدث باسم شركة أيسر الحملة الخبيثة الأخيرة ، قائلاً إنهم اكتشفوا خرقًا منفردًا لنظام خدمة ما بعد البيع المحلي للشركة في الهند. في وقت سابق من هذا العام ، وقعت شركة أيسر أيضًا ضحية لهجوم فدية بقيمة 50 مليون دولار نفذته عصابة برامج الفدية سيئة السمعة REvil. أعلنت المجموعة عن اختراق أيسر على موقعها على الإنترنت حيث قدمت صورًا لملفات يُزعم أنها مسروقة ، بما في ذلك جداول البيانات المالية ، والاتصالات المصرفية ، والأرصدة المصرفية. يُعتقد أن الاختراق مرتبط بهجوم Microsoft Exchange الإلكتروني ، الذي نفذته ما لا يقل عن عشر مجموعات قراصنة.
وقوع هجوم إلكتروني على مكاتبها في الهند بعد أن ادعى قراصنة من مجموعة Desorden Group أنهم قاموا باختراق الخوادم وسرقة 60 جيجابايت من الملفات. نفى المتسللون أن يكون الاختراق الأخير هجومًا ببرنامج الفدية. ومع ذلك ، زعموا أن لديهم حاليًا معلومات حساسة حول مطور التكنولوجيا. وتشمل هذه المعلومات المالية وقاعدة بيانات الأعمال والتفاصيل المصنفة الأخرى. من ناحية أخرى ، أكد متحدث باسم شركة أيسر الحملة الخبيثة الأخيرة ، قائلاً إنهم اكتشفوا خرقًا منفردًا لنظام خدمة ما بعد البيع المحلي للشركة في الهند. في وقت سابق من هذا العام ، وقعت شركة أيسر أيضًا ضحية لهجوم فدية بقيمة 50 مليون دولار نفذته عصابة برامج الفدية سيئة السمعة REvil. أعلنت المجموعة عن اختراق أيسر على موقعها على الإنترنت حيث قدمت صورًا لملفات يُزعم أنها مسروقة ، بما في ذلك جداول البيانات المالية ، والاتصالات المصرفية ، والأرصدة المصرفية. يُعتقد أن الاختراق مرتبط بهجوم Microsoft Exchange الإلكتروني ، الذي نفذته ما لا يقل عن عشر مجموعات قراصنة.