• info@arka.ir
  • تماس با ما: ۰۲۱۹۱۰۷۰۴۷۶ - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

آرشیوها

اخبار و مقالات

12 فوریه 2020

پیرو اخبار منتشر شده در مورد آسیب پذیری ارتباطات Remote ویندوز سرورهای مایکروسافت که در خبرهای پیشین بررسی گردید محققان به این نتیجه رسیدند که Microsoft Windows RDP می‌تواند به یک مهاجم اجازه دور زدن صفحه‌ قفل در Remote Sessionها را بدهد. پس از قفل شدن ریموت Session ویندوز، ویندوز از کاربر برای ادامه استفاده از Session، تایید هویت می خواهد و در واقع قفل شدن Session می‌تواند همانند Sessionهای Local سیستم، از طریق RDP نیز اتفاق بیفتد.

CWE-288: آسیب‌پذیری احراز هویت (CVE-2019-9510)
از نسخه ۱۸۰۳ ویندوز ۱۰ که در آوریل ۲۰۱۸ منتشر شد و همچنین ویندوز سرور ۲۰۱۹، مدیریت Sessionهای RDP به گونه‌ای تغییر کرده است که می‌تواند موجب رفتار غیرمنتظره در رابطه با قفل شدن Session شود.

اگر اختلالی در شبکه موجب قطع اتصال موقت RDP شود، پس از اتصال مجدد به صورت اتوماتیک، RDP Session بدون در نظر گرفتن اینکه سیستم Remote به چه حالتی رها شده بود، به حالت قفل نشده بازگردانده می‌شود. برای مثال مراحل زیر را در نظر بگیرید:

  1. کاربر با استفاده از RDP به Windows 10 1803 یا Server 2019 و یا نسخه‌های جدیدتر به صورت Remote متصل می‌شود.
  2. کاربر Session دسکتاپ Remote را قفل می‌کند.
  3. کاربر محدوده فیزیکی سیستمی را که به عنوان یک Client RDP مورد استفاده است را ترک می‌کند.

در این هنگام، مهاجم می‌تواند اتصال شبکه سیستم Client RDP را قطع کند. هنگامی که اتصال به اینترنت برقرار می‌شود، نرم‌افزار RDP Client به طور خودکار مجددا به سیستم Remote متصل خواهد شد. اما به سبب این آسیب‌پذیری، RDP Session مجددا به جای نمایش یک صفحه ورود به سیستم، به دسکتاپ وارد شده و بدون قفل بازگردانده می‌شود. این بدین معناست که سیستم Remote بدون نیاز به وارد کردن هیچگونه Credentialی باز می‌شود. سیستم‌های احراز هویت دو مرحله‌ای که با صفحه ورود ویندوز ادغام می‌شوند، مانند Duo Security MFA، ممکن است توسط این مکانیزم دور زده شوند. گمان می‌شود که دیگر راهکارهای MFA که روی صفحه ورود ویندوز تاثیر می‌گذارند نیز دارای همین مشکل هستند. هر صفحه‌ی ورودی که توسط یک سازمان اجرا می‌شود نیز دور زده خواهد شد.

لازم به ذکر است که این آسیب‌پذیری مربوط به عملکرد قفل صفحه نمایش مایکروسافت هنگام استفاده از RDP می‌باشد و در زمانی که هیچ راهکار MFAای نیز نصب نشده باشد، وجود دارد. در حالی که تولیدکننده‌های محصولات MFA تحت تاثیر این آسیب‌پذیری قرار می‌گیرند، شرکت‌های تولیدکننده نرم‌افزارهای MFA لزوما به علت وابسته بودن به صفحه قفل ویندوز مقصر نیستند.

در گذشته بیان شده بود که این آسیب‌پذیری به احراز هویت سطح شبکه (Network Level Authentication و یا به اختصار NLA) نیاز دارد. ما از آن زمان تاکنون به‌این نتیجه رسیده‌ایم که این رفتار به فعال بودن و یا نبودن NLA بستگی ندارد. این اطلاعات با بیانیه مایکروسافت که پیش از مطلع شدن ما در مورد این موضوع ارائه شده است در تضاد است.

تاثیرات آسیب‌پذیری RDP و راه حل آن

با متوقف کردن اتصال شبکه یک سیستم، مهاجمی با دسترسی به سیستمی که به عنوان Client Windows RDP مورد استفاده قرار می‌گیرد، می‌تواند به سیستم Remote متصل دسترسی پیدا کند، صرف نظر از اینکه سیستم Remote قفل شده باشد یا خیر. موسسه‌ی CERT/CC در حال حاضر از راه‌حلی عملی برای این مشکل آگاه نیست. لطفا راه‌حل‌های جایگزین زیر را در نظر بگیرید.

غیر فعال کردن اتصال مجدد RDP

Microsoft RDP از یک ویژگی به نام اتصال مجدد خودکار، که اجازه می‌دهد تا یک Client به یک Session موجود، پس از یک قطعی کوتاه مدت شبکه بدون نیاز به ارسال مجدد Credentialهای کاربر به سرور مجددا متصل شود، پشتیبانی می‌کند. این قابلیت اتصال مجدد خودکار، که در رابطه با این آسیب‌پذیری مورد استفاده قرار می‌گیرد، می‌تواند به مهاجم اجازه‌ی ایجاد یک Session دسکتاپ بدون نیاز به ارائه Credentialهای کاربر، بدهد. قابلیت اتصال مجدد خودکار را می‌توان در Windows Group Policy با غیرفعال کردن کلید زیر غیرفعال کرد:

Local Computer -> Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections -> Automatic reconnection

ارائه راهکار مقابله با آسیب‌پذیری جدید Microsoft Windows 2019 RDP

حفاظت از دسترسی به سیستمهای RDP Client

اگر سیستمی دارید که به عنوان یک RDP Client استفاده می‌شود، مطمئن شوید که سیستم محلی را، بجای سیستم Remote قفل می‌کنید. حتی اگر سیستم محلی اطلاعات باارزشی نداشته باشد، محافظت از Session فعال RDP فقط توسط محدود کردن دسترسی به سیستم Client ممکن خواهد بود. قفل کردن سیستم Remote توسط RDP محافظتی را ارائه نمی‌کند.

قطع اتصال Sessionهای RDP به جای قفل کردن آنها

از آن‌جا که قفل کردن Sessionهای Remote RDP هیچ حفاظت مؤثری را فراهم نمی‌کند، Sessionهای RDP باید به جای قفل شدن قطع شوند. این امر Session فعلی را باطل کرده، که مانع متصل شدن مجدد خودکار RDP بدون احراز هویت می‌شود.

23 سپتامبر 2019

چین با فروش ۱۵۶ هزار دستگاه روبات در سال ۲۰۱۸، همچنان بزرگ‌ترین بازار روبات‌های صنعتی جهان است. درحالی‌که مجموع فروش جهانی این‌گونه روبات‌ها، نسبت به سال قبل با کاهش ۱/ ۷ درصدی مواجه شده در مقابل فروش تولیدکنندگان چینی نسبت به سال گذشته ۱۶/ ۲ درصد رشد داشته است.
براساس گزارش اخیر فدراسیون بین‌المللی روباتیک، در سال گذشته حدود ۱۵۴ هزار دستگاه روبات در چین نصب شده که حدود ۳۶ درصد از آمار کل جهانی را شامل می‌شود. ارزش دستگاه‌های نصب شده در چین در مجموع به ۵۴ میلیارد دلار می‌رسد که نسبت به سال ۲۰۱۷ میلادی ۲۱ درصد رشد داشته است. این نخستین بار است که این فدراسیون گزارش سالانه جهانی خود را در چین منتشر می‌کند.

17 سپتامبر 2019
شرکت چینی لنوو که اخیرا به بازار اسمارت‌واچ‌ها ورود کرده و توانسته با عرضه محصولاتی مقرون به‌‎‌صرفه، نگاه علاقمندان به گجت‌های پوشیدنی را به خود جلب کند به‌تازگی از ساعت هوشمند جدید خود تحت عنوان لنوو Carme پرده برداشت.
این ساعت از یک نمایشگر ۱٫۳ اینچی رنگی مجهز به شیشه منحنی ۲٫۵D بهره می‌برد که امکان مشاهده اطلاعات روی نمایشگر از زوایای مختلف را برای کاربر فراهم می‌کند. نمایشگر این ساعت قادر است پیام‌های هشداری را پس از دریافت پیام‌های متنی و یا تماس به نمایش درآورد.
لنوو Carme همانند دیگر مدل‌های قبلی این شرکت از قابلیت‌های ردیاب سلامتی همانند گام‌شمار، حسگر ضربان قلب و مانیتور وضعیت خواب بهره می‌برد. همچنین این ساعت، می‌تواند میزان فعالیت کاربر در ورزش‌های مختلف را ردیابی و آن‌ها را ثبت کند.
از دیگر ویژگی‌های لنوو Carme می‌توان به پیش‌بینی وضعیت آب‌وهوایی، زنگ هشدار، پیدا کردن گوشی مفقودشده کاربر و کرنومتر اشاره کرد. گفتنی است این اسمارت‌واچ از استاندارد IP68 برخوردار است که مقاومت بدنه آن را در برابر نفوذ آب تضمین می‌کند. بدین ترتیب، کاربران می‌توانند با خیال راحت از این ساعت در حین ورزش‌های آبی استفاده کنند.
باتری این ساعت از ظرفیت ۲۰۰ میلی‌آمپری بهره می‌برد که طبق ادعای این شرکت قادر است با یک بار شارژ، تا ۷ روز دستگاه را روشن نگه دارد. لنوو Carme از طریق ارتباط بلوتوث با گوشی‌های مجهز به پلتفرم‌های اندروید و iOS متصل خواهد شد.
محصول پوشیدنی جدید لنوو در دو رنگ سبز و آبی و با قیمت تقریبی ۵۰ دلار روانه بازار خواهد شد.
15 سپتامبر 2019

‫زیمنس درباره آسیب‌پذیری خطرناک در محصولات SIMATIC WINCC ، SIMATIC PCS۷ و SIMATIC TIA  PORTAL هشدار داد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طبق مستند اخیرا منتشر شده شرکت ‫Siemens، محصولات SIMATIC WinCC Runtime و SIMATIC PCS۷ و SIMATIC WinCC (همچنین نسخه TIA PORTAL ) دارای آسیب‌پذیری با درجه اهمیت ۹.۱ و شماره CVE-۲۰۱۹-۱۰۹۱۶ هستند که اجازه اجرای کد را برای حمله‌کننده برروی سیستم‌های آلوده را فراهم می‌کند. این آسیب‌پذیری قابل بهره برداری از راه دور است. حمله کننده باید به project file دسترسی داشته‌باشد و به دلیل ضعف در کد از نوع SQL INJECTION (شماره CWE-۸۹) به‌وجود آمده‌است.

محصولات آسیب‌پذیر به شرح زیر هستند:

• تمامی نسخه های SIMATIC PCS ۷ V۸.۰
• تمامی نسخه های SIMATIC PCS ۷ V۸.۱ قبل از V۸.۱ به همراه WinCC V۷.۳ Upd ۱۹
• تمامی نسخه های SIMATIC PCS ۷ V۸.۲قبل از V۸.۲ SP۱ به همراه WinCC V۷.۴ SP۱Upd۱۱
• تمامی نسخه های SIMATIC PCS ۷ V۹.۰ قبل از V۹.۰ SP۲ به همراه WinCC V۷.۴ SP۱Upd۱۱
• تمامی نسخه های SIMATIC WinCC (TIA Portal) V۱۳
• تمامی نسخه های SIMATIC WinCC (TIA Portal) V۱۴
• تمامی نسخه های SIMATIC WinCC (TIA Portal) V۱۵
• تمامی نسخه های SIMATIC WinCC Runtime Professional V۱۳
• تمامی نسخه های SIMATIC WinCC Runtime Professional V۱۴ قبل از V۱۴.۱ Upd ۱۱
• تمامی نسخه های SIMATIC WinCC Runtime Professional V۱۵ قبل از V۱۵.۱ Upd ۳
• نسخه SIMATIC WinCC V۷.۲ و همه نسخه های قبل از آن
• تمامی نسخه های SIMATIC WinCC V۷.۳ قبل از V۷.۳ Upd ۱۹
• تمامی نسخه های SIMATIC WinCC V۷.۴ قبل از V۷.۴ SP۱ Upd ۱۱
• تمامی نسخه های SIMATIC WinCC V۷.۵ قبل از V۷.۵ Upd ۳

به‌روز‌رسانی‌های زیر توسط Siemens منتشر شده که در آنها این آسیب‌پذیری برطرف شده‌است:

• SIMATIC WinCC Runtime Professional v۱۴: Update to v۱۴.۱ Upd ۱۱
• SIMATIC WinCC Runtime Professional v۱۵: Update to v۱۵.۱ Upd ۳
• SIMATIC PCS۷ v۸.۱: Update WinCC to v۷.۳ Upd ۱۹
• SIMATIC PCS۷ v۹.۰: Update WinCC to v۷.۴ SP۱ Upd ۱۱
• SIMATIC WinCC v۷.۳: Update WinCC to v۷.۳ Upd ۱۹
• SIMATIC PCS۷ v۸.۲: Update WinCC to v۷.۴ SP۱ Upd ۱۱
• SIMATIC WinCC v۷.۴: Update WinCC to v۷.۴ SP۱ Upd ۱۱
• SIMATIC WinCC v۷.۵: Update WinCC to v۷.۵ Upd ۳

27 آگوست 2019

تروجان خطرناک بانکی دانابات که مدتی در استرالیا در حال حمله به حساب های بانکی کاربران بود، حالا دامنه فعالیت های خود را به اروپا و آمریکا گسترش داده است.

به نقل از زددی نت، تروجان خطرناک بانکی دانابات که مدتی در استرالیا در حال حمله به حساب های بانکی کاربران بود، حالا دامنه فعالیت های خود را به اروپا و آمریکا گسترش داده است. این بدافزار در سال ۲۰۱۸ برای اولین بار کشف شد و به بسیاری از بانک های این کشور حمله کرده و خساراتی را به آنها و مشتریانشان وارد کرد.

در ابتدا تهدید این باج افزار چندان جدی گرفته نشد، اما بعد از مدتی دانابات به روز شده و ماژول های جدیدی به آن اضافه شد که باعث می شود بتواند نرم افزارهای امنیتی را راحت تر دور بزند.

دانا بات قادر به نفوذ به درون مرورگرها و تغییر دادن مسیر آنها در زمان مراجعه کاربران به وب سایت های خدماتی است. این تروجان می تواند از نمایشگر رایانه عکس بردارد و هرگونه اطلاعات وارد شده در مرورگر را بدزدد و آنها را برای یک سرور متعلق به هکرها ارسال کند.
دانابات روش نفوذ به مرورگر وب خود را هم ارتقا داده و از توانایی بالایی برای مخفی کاربری برخوردار است. از همین رو نفوذ آن به کشورهای اروپایی و آمریکا بسیار نگران کننده تلقی می شود. در حال حاضر این تروجان از طریق ایمیل های فیشینگ در حال گسترش است.
14 آگوست 2019
اپل همیشه کاربرانش را به استفاده از لوازم جانبی اوریجینال یا اصل این شرکت تشویق کرده و پیشنهاد می‌کند که تا حد ممکن از محصولات ساخته شده توسط شرکت‌های متفرقه، اجتناب کنند، به خصوص محصولاتی که توسط این شرکت تایید نشده بودند. دلیلی نیز که مطرح می‌کرد، مسائل امنیتی دستگاه‌ها بود، به خصوص محصولاتی مانند کابل‌های لایتنینگ که برای شارژ و انتقال داده‌ها در آیفون یا مک کاربرد دارد.
حالا اپل دلیل جدیدی پیدا کرده که ثابت کند برخی از ابزارهای جانبی ساخته شده توسط دیگر شرکت‌ها در واقع وسیله‌ای برای هک کردن دستگاه کاربران است.
جدیدا مشخص شده که برخی از کابل‌های شارژ لایتنینگ می‌تواند به ابزاری تبدیل شود که از راه دور دستگاه مک کاربران را هک کند.
این کابل شارژ تقلبی در واقع شباهت بسیار زیادی به نسخه اصلی دارد و حتی پکیج بسته بندی مشابهی با نسخه اوریجینال دارد. این کابل‌ها حقیقتا شباهت بسیار زیادی به کابل‌های اصل دارد و حتی می‌توانند افراد متخصص در این زمینه را نیز فریب دهند. اما DEFCON، یک محقق امنیتی شناخته شده در شبکه توییتر نشان داد که این کابل‌ها تا چه اندازه می‌توانند نیات پلیدانه و شوم سازندگانش را به خوبی پیش ببرد.
به گفته DEFCON، در داخل این کابل‌ها در واقع یک ایمپلنت تعبیه شد که امکان دسترسی وایرلس به دستگاه مک کاربر را ممکن می‌سازد. مانند دیگر کابل‌های لایتنینگ، کاربران در اکثر مواقع با دسترسی این وسیله جانبی به کامپیوتر خود، موافقت می‌کنند در حالیکه روحشان نیز از نیات پلید پشت پرده این وسیله خبر ندارد.
یک هکر از این طریق می‌تواند آیفون کاربر را پاک کرده و تنها از طریق آی‌پی آدرس ایمپلنت تعبیه شده، به اینترنت وصل شده و دستورات دیگر خود را اجرا کند.
چیزی که حساسیت چنین حملاتی را بیشتر می‌کند، شیوه انجام به شدت ساده این روش است. احتمال بروز هیچ اشتباهی از این طریق وجود ندارد، یک حمله بی ایراد امنیتی، تنها با کمک یک وسیله جانبی.