🔻محققان آلمانی: آیفون حتی زمانی هم که خاموش است می‌تواند به بدافزار آلوده شود

▫️ محققان دانشگاه فنی دارمشتات آلمان نشان داده‌اند که امکان انتقال بدافزار به آیفون حتی ساعت‌ها پس از خاموش شدن، وجود دارد. اگرچه فعلا شواهدی مبنی بر استفاده از این آسیب‌پذیری مشاهده نشده اما این یافته می‌تواند به اپل کمک کند تا امنیت تلفن هوشمند خود را ارتقا دهد.
▫️ این آسیب پذیری مربوط به قابلیتی در iOS 15 است که به سرویس Find My اجازه می‌دهد حتی ساعت‌ها بعد از خاموش شدن دستگاه به کار خود ادامه دهد. در واقع، تراشه‌هایی که برای بلوتوث، NFC و باند فوق عریض (UWB) استفاده می‌شوند، تا چند وقت بعد از خاموش شدن در حالت مصرف پایین (LPM) روشن باقی می‌مانند.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

ویندوز ۱۱ جعلی
در یک کمپین تازه کشف شده، هکرها با استفاده از دامنه‌های جعلی، پورتال دانلود #Windows11 #Microsoft را برای فریب کاربران برای نصب #بدافزار Vidar که اطلاعات را سرقت می‌کند، پنهان می‌کنند.

بخوانید: https://lnkd.in/dFkFFQv3

#infosec #امنیت سایبری #هک #فناوری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

⚠️ هشدار❗️
آسیب‌پذیری روزصفر اجرای کد از راه دور به نام Follina در ابزار MSDT مایکروسافت

🔷 این آسیب‌پذیری روزصفر با شناسه‌ی CVE-2022-30190 و شدت بالا (7.8 از 10)، در ابزار Diagnosis ویندوز وجود دارد.

🔶 آسیب‌پذیری مذکور تحت حمله‌ی فعالانه‌ی مهاجمان قرار دارد و بهره‌برداری موفق از آن امکان نصب برنامه، مشاهده، تغییر یا حذف داده و ایجاد حساب کاربری جدید را برای مهاجم فراهم می‌کند.

✅ توصیه امنیتی
در حال حاضر هیچ وصله‌ای برای این نقص وجود ندارد، اما مایکروسافت توصیه می‌کند که کاربرانِ آسیب‌پذیر فعلاً URL MSDT غیرفعال کنند تا خطرات این نقص را به طور موقت کاهش دهند.

👈 برای غیرفعال کردن URL MSDT به صورت زیر عمل کنید:

▪️پنجره خط فرمان (cmd) را به عنوان administrator اجرا کنید؛ با اجرای دستور زیر از registry key بکاپ بگیرید:

reg export HKEY_CLASSES_ROOT\ms-msdt filename

و سپس دستور زیر را اجرا کنید:
reg delete HKEY_CLASSES_ROOT\ms-msdt /f

#infosec #امنیت سایبری #هک #فناوری
#هشدار
👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

🎯تخفیف ویژه ۹۰ درصدی
ویدیوی کامل وبینار دوره آموزشی CSCU – الزامات امنیتی کاربران
لینک ثبت نام: https://eseminar.tv/wb64647
مدت وبینار: 2 ساعت

دوستانی که امکان حضور در دوره را نداشتند، علاقمندان آشنایی با اصول پایه امنیت سایبری در هر سن می‌توانند از لینک زیر ویدیو را دریافت کنند
اگر علاقه مند به سلامت سایبری دوستان و اطرافیانتان هستید ، اگر از مخاطرات فضای سایبر‌یرای آنها نگرانید ، این دوره را به آنها هدیه دهید:
‏https://eseminar.tv/wb64647

🏆 هدیه ویژه به همراهان عزیز گروه با کد تخفیف ۹۰درصدی
‏vcoach90
🛑مدت محدود

حمله سایبری به بزرگترین میدان گازی گازپروم روسیه

حمله سایبری منجر به انفجار و آتش سوزی بزرگ شد
بیانیه گازپروم که توسط پراودا گزارش شده است:
« اداره اصلی اطلاعات واحد سایبری تهاجمی وزارت دفاع اوکراین بار دیگر حمله کرده است. این بار هدف شرکت Gazprom Dobycha Yamburg LLC بود، یک شرکت تابعه گازپروم در منطقه خودمختار Yamalo-Nenets که دومین میدان گازی بزرگ جهان با ذخایر قابل بازیافت تا 10 تریلیون متر مکعب گاز را در خود جای داده است. »
کاهش فشار در میدان Urengoyskoye با آتش سوزی در خط دوم کلکتور گاز، واقع بین واحدهای تصفیه گاز یکپارچه UKPG-7 و UKPG-8V رخ داد. تلفات جانی نداشت. OOO Gazprom dobycha Urengoy به سرعت اقداماتی را برای تعلیق عملکرد تأسیسات تولید، توزیع مجدد جریان گاز، مهار و از بین بردن آتش سوزی انجام داد. در ساعت 02:05 آتش خاموش شد. در ساعت 02:50 تاسیسات تولیدی دوباره به بهره برداری رسید. این حادثه تاثیری بر تحقق اهداف تولید گاز نداشت. دفتر مطبوعاتی این شرکت اعلام کرد که علت این حادثه توسط کمیسیون ویژه ایجاد شده تعیین خواهد شد.

هکرهای مسئول این حمله و حملات قبلی، این خبر را در اوایل صبح امروز صبح در ساعت 0230 PDT به طور انحصاری​ به همراه 32 مگابایت فایل گرفته شده از شبکه گازپروم که مربوط به این حمله است، به اشتراک گذاشتند. پس از ترجمه و مطالعه فایل ها، اطلاعات بیشتر در اختیار شما قرار خواهد گرفت. برای به روز رسانی کامل از جمله دسترسی به فایل مشترک شوید.

#امنیت_سایبری #جنگ_سایبری #حمله_سایبری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

نخبه‌ دانشگاه شریف کلاهبردار شد/ پیج هک می‌کنم و یک میلیارد می‌گیرم

فوتبالیست معروف درخواست کرد صفحه مدیر یکی از باشگاه ها را هک کنم،. فوتبالیست جوان قصد داشت جذب یک تیم خارجی بشود اما مدیر باشگاه اجازه نمی‌داد. با هک پیج وی، ‌راه برای فوتبالیست هموار شد و به کشور خارجی رفت

🔹مدتی در هتل کار می‌کردم و در آنجا با فوتبالیست‌ها آشنا شدم و گفتم که چه توانایی‌هایی دارم.

🔹یکی از آنها از من خواست پیج مدیر یکی از باشگاه‌ها را برایش هک کنم. من هم انجام دادم. فوتبالیست جوان قصد داشت جذب یک تیم خارجی بشود اما مدیر باشگاه اجازه نمی‌داد. با هک پیج وی، ‌راه برای فوتبالیست هموار شد و به کشور خارجی رفت.

#infosec #امنیت سایبری #هک #فناوری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

متن اطلاعیه منتشره از کانال گنجشک درنده، مدعی حمله سایبری به هلدینگ فولاد مبارکه:
گنجشک درنده:
امروز صنعت فولاد ایران وابسته به سپاه و بسیج، شرکت فولاد خوزستان و شركت فولاد مبارکه اصفهان و شرکت فولاد هرمزگان را تحت حمله سایبری خود «گنجشک درنده» قرار دادیم. این شرکت ها همچنان علی رغم تحریم های بین المللی علیه آنان به فعالیت خود ادامه می دهند. این حمله سایبری که با احتیاط کامل برای جلوگیری از رساندن هر آسیبی به افراد بیگناه صورت گرفته، در واکنش به تجاوزگری های جمهوری اسلامی است.

همانطوریکه می توان در این ویدیو مشاهده نمود، این حملات سایبری با احتیاط کامل برای جلوگیری از رساندن هر آسیبی به افراد بیگناه صورت گرفته است. در ضمیمه شواهدی از هک این شرکت ها توسط ما.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

کارشناسان امنیت زنجیره تامین نرم افزار Sonatype بسته مخرب دیگری Python PyPi را کشف کرده اند که اطلاعات حساس از جمله اعتبارنامه AWS را جذب می کند.

از جمله آنها: loglib-modules، pyg-modules، pygrata، pygrata-utils و hkg-sol-utils.

در عین حال، دو بسته اول به عنوان پروژه‌های معروف در PyPI استتار می‌شوند و توسعه‌دهندگان بی‌توجه یا بی‌تجربه را در حین اجرای خود گمراه می‌کنند، سه بسته آخر هدف‌گذاری واضحی ندارند، اما همه کد یا اتصالات مشابه دارند.

همانطور که تحلیلگران دریافتند، ماژول‌های loglib و بسته‌های pygrata-utils در اصل دارای عملکرد سرقت داده‌ها، گرفتن اعتبار AWS، استخراج اطلاعات در مورد رابط شبکه و متغیرهای محیطی بودند. اگرچه بسته Pygrata این سرقت را اجرا نکرد، اما از نظر عملکردی به عنوان یک وابستگی به pygrata-utils مرتبط بود.

داده های رهگیری شده در فرمت TXT ذخیره شده و از طریق دامنه PyGrata[.]com منتقل شده است. در عین حال، نقطه پایانی به درستی محافظت نمی شد و بنابراین تحلیلگران می توانستند هر چیزی که درز کرده بود را شناسایی کنند.

پس از افشای عمومی مهاجمان توسط محققان، دسترسی ممنوع شد. همانطور که انتظار می رفت، توضیحاتی نیز دریافت نشد.

بسته ها به سرعت حذف شدند، اما pygrata هنوز برای مدتی در دسترس بود.


#infosec #امنیت سایبری #هک #فناوری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

نگاهی به عملكرد بدافزار Chaplin، بدافزاری چند مرحله‌ای و پیشرفته

بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی می‌شود.
مرکز مدیریت راهبردی افتا دیروز ششم تیرماه 1401 خبری با موضوع شناسایی بدافزار جدید با نام Chaplin در زیرساخت‌های کشور منتشر کرد، شواهدی از فعالیت این بدافزار در زیرساخت‌های فناوری اطلاعات حوزه صنعت کشور رصد شده است که در این مطلب تشریح دقیق‌تر از عملکرد آن بهمراه فایل‌ها و اسکریپت‌های مخرب بیان می‌شود.


عملکرد بدافزار:
بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی می‌شود. این فایل پاورشل به صورت چندمرحله‌ای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:
• گزینش سیستم هدف
• ایجاد مسیر هدف
• انتقال فایل‌های مورد نیاز به مسیر هدف
• غیرفشرده‌سازی فایل‌های موردنیاز
• ایجاد، اجرا و سپس حذف سرویس
• حذف لاگ فعالیت‌ها
نکته حایز اهمیت در Mapping.ps1 آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسط‌های شبکه را غیرفعال می‌کند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرآیند احراز هویت کاربران و ایجاد مشکل در فرآیند Boot سیستم برمی‌آید.

راهکارهای پیشگیری و مقابله:
1) بروزرسانی آنتی‌ویروس و پویش شبکه
2) محدودسازی مجوزهای اجرای کدهای پاورشل
3) استفاده از دیواره‌های آتش با قواعد سخت‌گیرانه
4) تنظیم رمزهای عبور براساس استاندارد‌های امنیتی
5) جمع‌آوری و پایش لاگ‌های سیستمی و رویدادهای امنیتی
6) معرفی و شناساندن شاخص فایل‌های اجرایی و سرویس‌های مخرب (IoC)

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.

🏭وبسایت و کانال تخصصی امنیت زیرساختهای اتوماسیون و کنترل صنعتی

ادمین:
https://t.me/pedram_kiani
کانال تلگرام:
https://t.me/ics_cert
توییتر:
https://twitter.com/icscerti

🔻 چالش خطرناک در تیک تاک باعث مرگ دو کودک شد

▫️والدین دو کودک ٨ و ٩ ساله ادعا می‌کنند یکی از چالش‌های خطرناک در شبکه اجتماعی تیک تاک به نام «blackout challenge» باعث مرگ فرزندانشان شده و حالا آنها از این شرکت شکایت کرده‌اند.
▫️در این چالش عجیب و خطرناک، کاربران گلوی خود را فشار می‌دهند تا از هوش بروند و سپس تجربه آن را با دیگران به اشتراک می‌گذارند! والدین کودکان ادعا می‌کنند که الگوریتم این شبکه اجتماعی، به صورت عمدی محتوای خطرناکی را در اختیار کودکان قرار داده و باعث مرگ آن‌ها شده است.
#هشدار #بهداشت_سایبری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

⭕️ در پشتی در سرورهای exchange

🔸مهاجمان از یک بدافزار تازه کشف شده برای در پشتی قرار دادن در سرورهای Microsoft Exchange متعلق به سازمان‌های دولتی و نظامی از اروپا، خاورمیانه، آسیا و آفریقا استفاده کردند.

🔹 این بدافزار که اولین بار در اوایل سال 2022 توسط محققان امنیتی کسپرسکی مشاهده شد و SessionManager نام گرفت، یک ماژول کد بومی مخرب برای نرم‌افزار وب‌سرور Microsoft's Internet Information Services (IIS) است.

🔸 این بدافزار حداقل از مارس 2021، درست پس از شروع موج عظیم حملات ProxyLogon در سال گذشته، بدون شناسایی مورد استفاده قرار گرفته است.

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

⚠️ هشدار❗️
آسیب‌پذیری‌های با شدت بحرانی و بالا در محصولات Cisco Expressway و TelePresence Video Communication Server سیسکو

🔷 چندین آسیب‌پذیری در API و رابط مدیریت تحت‌وب نرم‌افزارهای Cisco Expressway Series و Cisco TelePresence Video Communication Server (VCS) سیسکو، که برای مهاجم از راه دور امکان بازنویسی فایل‌های دلخواه یا حملات null byte poisoning را بر روی دستگاه آسیب‌پذیر (چنانچه دارای پیکربندی پیش‌فرض باشد) فراهم می‌کند.

🔶 این آسیب‌پذیری‌ها دارای شناسه‌های CVE-2022-20812 با شدت بحرانی (9.0 از 10) و CVE-2022-20813 با شدت بالا (7.4 از 10) می‌باشند.

❌ محصولات تحت تأثیر:
▪️نرم‌افزارCisco Expressway Series نسخه 14.0 و نسخه‌های قبل از آن.
▪️نرم‌افزارCisco TelePresence VCS نسخه 14.0 و نسخه‌های قبل از آن.

✅ توصیه امنیتی:
سیسکو برای رفع آسیب‌پذیری‌های مذکور به‌روزرسانی‌های نرم‌افزاری منتشر نموده و هیچ اقدام کاهشی برای رفع موقت این آسیب‌پذیری‌ها وجود ندارد، لذا به کاربران توصیه می‌شود هر چه سریع‌تر محصولات آسیب‌پذیر خود را به نسخه‌های به‌روزرسانی‌شده ارتقاء دهند.

http://t.me/ict_security

آسیب‌پذیری‌های مهم در مرورگر فایرفاکس

چندین آسیب‌پذیری با شدت بالا در محصولات فایرفاکس کشف شده است که امکان اجرای کد دلخواه را برای مهاجم فراهم می‌کند و بسته به دسترسی‌های کاربر مرتبط، پس از آن می‌تواند برنامه نصب کند، داده‌ها را مشاهده کرده و آن‌ها را تغییر داده یا حذف کند، همچنین می‌تواند حساب کاربری با دسترسی کامل ایجاد کند.

محصولات تحت تأثیر:
▪️Mozilla Firefox prior to 101
▪️Firefox ESR prior to 91.10
▪️Thunderbird prior to 91.10

توصیه امنیتی
آسیب‌پذیری‌های مذکور در نسخه‌های زیر برطرف شده‌اند. به کاربران و مدیران توصیه می‌شود، هر چه سریع‌تر مرورگر فایرفاکس خود را به نسخه‌های جدید به‎‌روزرسانی نمایند.

🔸 Mozilla Firefox 101
🔸 Firefox ESR 91.10
🔸 Thunderbird 91.10

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کنترل های کلیدی امنیت اطلاعات، دفاع در مقابل بدافزار ها

موسسه SANS به عنوان یکی از معتبرترین موسسات امنیت اطلاعات در جهان، 20 کنترل کلیدی را برای امنیت اطلاعات در سازمان ها ارائه نموده است که حسابرسان فناوری اطلاعات و حسابرسان داخلی می توانند در ارزیابی های خود از آنها بهره گیرند. در این نوشتار کنترل هشتم یعنی دفاع در مقابل بدافزار ها تشریح می گردد.


شرح کنترل
بدافزارها نرم افزارهایی هستند که با هدف انواع عملیات مخرب تولید می شوند. این نرم افزارها معمولاً به صورت مخفیانه و به روش های مختلف به سازمان راه می یابند. این نرم افزارها پس از ورود به شبکه و سیستم های سازمان، ممکن است بلافاصله فعال شوند. برخی از بدافزارها نیز در شرایط خاص فعال می شوند.

بدافزارها می توانند تهدیدهای مختلفی را برای سازمان به همراه داشته باشند. ممکن است یک بدافزار با هدف اخاذی و باج خواهی طراحی شده باشد. در این حالت پس از ورود به رایانه شخص مورد نظر، بخشی از فایل های کلیدی وی را تحت تصرف در می آورد. پس از آن کاربر باید براساس درخواست تولیدکننده بدافزار وجهی را به حساب وی واریز کند. ویروس Wanacry که سال قبل بسیاری از نقاط دنبال را آلوده نمود از همین روش استفاده کرد.

برخی از بدافزارها نیز با هدف از بین بردن فایل ها، آسیب های نرم افزاری و سخت افزاری و یا دزدی اطلاعات تولید می شوند. بدافزارها ممکن است اطلاعات محرمانه افراد از جمله نام کاربری و کلمه عبور وی را دزدیده و برای تولیدکننده آن ارسال کند.
بدافزارها به روش های مختلفی ممکن است به سازمان وارد شوند. پست الکترونیکی، مرورگر اینترنت، دانلود فایل، هارد دیسک های همراه، نصب برنامه و حافظه های Flash memory برخی از مسیرهای ورود آنها هستند. براین اساس باید کنترل های دقیقی در مبادی ورودی فایل ها به سازمان صورت گیرد. یکی از کنترل های اصلی برای مقابله با آنها، محدود نمودن نصب برنامه های کامپیوتری در سازمان است. در این روش تنها از طریق یک نقطه مرکزی و با حساب کاربری مشخص امکان نصب برنامه وجود دارد. بسیاری از نرم افزارهای Freeware یا مجانی می توانند حاوی بدافزار باشند. از این رو کنترل نصب برنامه ها می تواند این تهدید را کاهش دهد.

نصب برنامه های امنیتی مانند آنتی ویروس های معتبر و به روزرسانی مستمر آنها نیز می تواند یکی از روش های کلیدی مقابله با بدافزارها باشند. هرچند که نسل جدید بدافزارها توانایی عبور از برخی از برنامه های امنیتی را دارند. با توجه به اینکه الگوی رفتاری بدافزارها روز به روز پیچیده تر می شود، مقابله جدی با آنها مستلزم استفاده از روش های مکانیزه و خودکار برای به روزرسانی مستمر نرم افزارهای امنیتی و پایش و اسکن مستمر سیستم ها و زیرساخت ها است. همچنین باید فرآیند مشخص و موثری برای گزارش رخدادهای امنیتی (Security Incidents) در سازمان تعریف شود تا در صورت مواجهه با یک بدافزار به سرعت بتوان رخداد را گزارش نموده و به آن رسیدگی کرد.


آزمون کنترل
• نرم افزاری مجانی را دانلود کرده و آنرا بر روی شبکه نصب کنید، آیا کنترل های امنیتی از نصب این نرم افزار توسط شما جلوگیری می کنند؟

• آیا امکان استفاده از USB Memory و یا DVD Drive برای تمام کاربران وجود دارد؟ آیا کنترلی برای ورود فایل به سازمان وجود دارد؟

• نرم افزار آنتی ویروس سازمان بد افزارها را پوشش می دهد؟ نرم افزار آنتی ویروس به روزرسانی مستمر می شود؟

• آیا فرآیندی برای گزارش و رسیدگی به رخدادهای امنیتی خصوصاً تهدیدهای ناشی از بدافزارها در سازمان تعریف شده است؟

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

Linux commands Mindmap!!

https://www.xmind.net/m/WwtB/#

#cybersecurity #linux

https://t.me/linux_news

سه آسیب‌پذیری سرریز بافر در سیستم عامل UEFI بیش از 70 مدل لپ‌تاپ لنوو را تحت تأثیر قرار می‌دهد.

آسیب‌پذیری‌های CVE-2022-1890، CVE-2022-1891 و CVE-2022-1892 یافت شده می‌توانند به مهاجمان اجازه دهند راه‌اندازی نصب ویندوز را متوقف کنند.

اگر اولین مورد فقط در برخی از لپ‌تاپ‌ها به درایور ReadyBootDxe متصل است، دو مورد آخر با درایور SystemLoadDefaultDxe هستند که در Lenovo Yoga، IdeaPad، Flex، ThinkBook، V14، V15، V130، Slim، S145 استفاده می‌شود. خطوط S540، S940 و در مجموع بیش از 70 مدل مجزا را تحت تاثیر قرار می دهد.

آسیب‌پذیری‌ها توسط محققان ESET کشف شد، آنها به این نتیجه رسیدند که مهاجم می‌تواند از آنها برای ضبط جریان اجرای سیستم‌عامل و متعاقباً غیرفعال کردن عملکردهای امنیتی استفاده کند.

خود مشکل به دلیل اعتبار سنجی ناکافی پارامتر DataSize است که به تابع GetVariable سرویس های زمان اجرا UEFI ارسال شده است. یک مهاجم می‌تواند یک متغیر NVRAM ایجاد کند که باعث می‌شود بافر داده در دومین تماس GetVariable سرریز شود.

حملات به UEFI بسیار خطرناک هستند، زیرا به مهاجمان اجازه می‌دهند تا نرم‌افزارهای مخرب را در مراحل اولیه فرآیند بوت سیستم‌عامل، قبل از فعال‌سازی محافظ‌های داخلی ویندوز، راه‌اندازی کنند که به آن‌ها اجازه می‌دهد حفاظت‌ها را در سطح سیستم‌عامل دور بزنند یا غیرفعال کنند، و از شناسایی جلوگیری کنند. و حتی پس از فرمت کردن دیسک باقی می مانند.

برای جلوگیری از چنین حملاتی، به کاربران دستگاه های آسیب پذیر توصیه می شود که آخرین نسخه درایور موجود را برای محصولات لنوو خود دانلود کنند.

به نوبه خود، ESET بهبود کد را برای تحلیلگر سیستم عامل UEFI از Binary efiXplorer توسعه داد که به صورت رایگان در GitHub در دسترس است.

#infosec #امنیت سایبری #هک #فناوری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security

کاربران وردپرس دوباره مورد حمله قرار می گیرند و چگونه.
کارشناسان امنیتی موج عظیمی از حملات سایبری را شناسایی کرده اند که 1.6 میلیون وب سایت وردپرس را هدف قرار می دهد. این کمپین هنوز فعال است و چندین پلاگین آسیب پذیر را هدف قرار می دهد که به مهاجمان اجازه می دهد وب سایت ها را تحت کنترل خود درآورند.

محققان Wordfence در مورد این تهدید هشدار داده و گزارشی منتشر کرده اند که هشدار می دهد هکرها چندین مؤلفه آسیب پذیر وردپرس را هدف قرار می دهند که به مهاجمان اجازه می دهد خطوط کد را از راه دور به روز کنند و منابع آسیب پذیر وب را هک کنند.

افزونه‌های آسیب‌پذیر عبارتند از PublishPress Capabilities (نسخه 2.3 یا قبل)، Kiwi Social Plugin (نسخه 2.0.10 یا قبل)، Pinterest Automatic (4.14.3 یا قبل‌تر)، و WordPress Automatic (3.53.2 یا قبل‌تر).

هر چهار افزونه به آسیب‌پذیری‌هایی مرتبط هستند که پارامترهای دلخواه را بدون احراز هویت به‌روزرسانی می‌کنند، که به مهاجمان اجازه می‌دهد در هر سایتی به‌عنوان مدیر ثبت نام کنند.

بر اساس این گزارش، سایت هایی با مضامین بر اساس همین گزارش نیز تحت تاثیر قرار گرفته اند. تجزیه و تحلیل کلی نشان داد که 1.6 میلیون منبع وردپرس با 13.7 میلیون حمله در 36 ساعت از 16000 آدرس IP متحمل شدند.

به این ترتیب، به صاحبان سایت های وردپرسی که از اجزای لیست شده استفاده می کنند اکیداً توصیه می شود که افزونه ها یا تم های خود را به آخرین نسخه وصله شده به روز کنند.

علاوه بر این، کارشناسان توصیه می کنند که صاحبان سایت به طور پیش فرض حقوق مدیر را برای کاربران جدید مسدود کنند.

#infosec #امنیت_سایبری #هک# #فناوری

👮‍♀️👮‍♀️ بازنشر مطالب این کانال صرفا با ذکر منبع و آدرس کامل کانال مجاز میباشد.
🦁«کتاس»
‏http://t.me/ict_security