• info@arka.ir
  • تماس با ما: ۰۲۱۹۱۰۷۰۴۷۶ - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

آرشیوها

تازه های امنیت

8 مارس 2021

وضعیت بحرانی امنیت سایبری در کشور درباره ایمیل سرورهای Exchange

 

براساس گزارش سایت Shodan.io تعداد ۲۶۶۶۲۹ ایمیل سرورهای Exchange آسیب پذیر همچنان روی اینترنت در دسترس است !

وضعیت بحرانی امنیت سایبری در کشور درباره ایمیل سرورهای Exchange

در ایران، در لحظه نگارش این مطلب بیش از ۱۰۰۰ سرور Exchange آسیب پذیر در دسترس است! نگاهی اجمالی به لیست سرورهای آسیب پذیر در ایران نشان می دهد Mail Server های سازمانهایی مثل:
– یک نهاد حاکمیتی،
– چند سازمان دولتی،
– یکی از بانکها،
– یکی از پژوهشگاه های مهم کشور،
– یکی از شرکتهای فعالی در حوزه نیروگاهی
– یک شرکت نفتی،
– چندین دانشگاه،
– یک شرکت بیمه ای،
– یک شرکت داروسازی،
– چند فروشگاه اینترنتی و زنجیره ای،
– یک شرکت بزرگ حمل و نقل و ترانزیت کالا،
– چندین کارخانه تولیدی
– و حتی چندین شرکت فعال در حوزه IT و امنیت، در میان سرورهای Exchange آسیب پذیر دیده می شوند!

مهاجمان سایبری با سوءاستفاده از آسیب‌پذیری‌های Exchange، کنترل برخی سرورها را بدست گرفته، بعضی از ایمیل‌ها را سرقت کرده و دامنه نفوذ خود را در سطح شبکه، افزایش داده‌اند.

تمامی نسخه‌های که فاقد آخرین به‌روزرسانی‌های منتشر شده از سوی مایکروسافت هستند، آسیب‌پذیر هستند و باید بلافاصله به‌روزرسانی شوند.

تاکید می شود عدم نصب Patch روی سرورهای آسیب پذیر می تواند به سادگی دسترسی کامل سرور ایمیل را در اختیار فرد هکر قرار دهد.

سوءاستفاده احتمالی موفق از این آسیب پذیری ها، به مهاجم این امکان را میدهد تا به سرورهای داخلی Exchange دسترسی پیدا کرده و برای وی امکان دسترسی مداوم سیستم و کنترل شبکه سازمانی را فراهم میکند.

شرکت مایکروسافت اخیرا، چهار آسیب‌پذیری روز صفر در نسخ مختلف Microsoft Exchange را به‌صورت به‌روزرسانی اضطراری و خارج از برنامه ترمیم کرده است.

بررسی عمومی لاگ‌های امنیتی مهم در کل شبکه با هدف کشف شواهد Lateral Movement احتمالی همچون لاگ‌های آنتی ویروس، لاگ اجرای پاورشل‌های مشکوک و یا سرویس‌های مشکوک نصب‌شده.

همچون PsExec، از دیگر اقدامات حوزه‌های IT زیرساخت‌ها برای مقابله با سوءاستفاده مهاجمان سایبری از آسیب‌پذیری‌های Microsoft Exchange است.

این سازمانها باید خیلی خوش شانس بوده باشند اگر تا کنون مورد نفوذ قرار نگرفته باشند!

8 مارس 2021

حمله هکرها به سرورهای Exchange و هک شدن ایمیل ۳۰ هزار سازمان

مایکروسافت هفته گذشته پک امنیتی مهمی را برای سرورهای سرویس Exchange منتشر کرد تا ۴ آسیب‌پذیری روز صفر آن‌ها را اصلاح کند.

اما این اتفاق ظاهرا از تداوم حملات هکرها جلوگیری نکرده است. مطابق گزارش وب‌سایت Krebs on Security و خبرگزاری Wired، گروه هکری «هافنیوم» (Hafnium) که به دولت چین وابسته است،

پس از انتشار این وصله امنیتی با توان بیشتری به حملات خود ادامه داده است.

این گروه در آمریکا به حداقل ۳۰ هزار سازمان نظیر اداره‌های پلیس، بیمارستان‌ها، فرمانداری‌های محلی، بانک‌ها، شرکت‌های اعتباری، ارائه‌دهندگان خدمات ارتباطی و شرکت‌های غیرانتفاعی نفوذ کرده است.

شمار قربانیان جهانی حمله به سرویس ایمیلی Exchange به چند صد هزار می‌رسد.

حمله هکرها به سرورهای Exchange

یک گروه مهاجم چینی که برای هدف قرار دادن سازمان های مختلف در چندین صنعت در ایالات متحده از چهار آسیب پذیری جداگانه روز صفر در Microsoft Exchange

برای دسترسی به سرورهای هدف و سپس سرقت محتوای Mailbox کاربران استفاده کرده است.
مایکروسافت روز سه شنبه به روزرسانی های out-of-band برای آسیب پذیری های مذکور منتشر کرده و از مشتریان خود می خواهد که هرچه سریعتر پچ ها را اعمال کنند.

ظاهرا این نقص‌های امنیتی توسط مایکروسافت رفع شده‌اند. اما متخصصان امنیتی می‌گویند شناسایی و پاک‌سازی به تلاشی عظیم از سوی هزاران اداره‌ی شهری، آتش‌نشانی و پلیس، حوزه‌ی آموزشی، مؤسسه‌های مالی و دیگر نهادهایی که از هک متأثر شده‌اند نیاز دارد.

براساس اطلاعیه‌ی مایکروسافت، آسیب‌پذیری Exchange Server هکرها را قادر ساخته‌ است به حساب‌های ایمیل دسترسی پیدا کنند.

هکرها با استفاده از آسیب‌پذیری‌ توانایی نصب بدافزار داشتند تا از طریق آن، بار دیگر به سرور بازگردند.

جزئیات فنی کاملتر به شرح ذیل میباشد:

۱- خطرناکترین آسیب پذیری اجبار جعل درخواست سمت سرور (SSRF) است که منجر به دسترسی به سرور Microsoft Exchange شده

و قابلیت سرقت و استخراج محتوای کامل Mailbox میگردد.

این آسیب پذیری نیاز به هیچگونه سطح دسترسی نداشته و با داشتن آدرس IP خارجی سرور Exchange قابل انجام میباشد.

نحوه Exploit: ارسال درخواست HTTP با متود POST حاوی پیلود XML SOAP مهاجم به سمت API Exchange Web Services (EWS)، این درخواست SOAP ،

با استفاده از کوکی های خاص ساخته شده ، احراز هویت را دور می زند و در نهایت درخواست مشخص شده در XML را اجرا می کند ،

به مهاجم اجازه می دهد تا هرگونه عملیات روی صندوق پستی کاربران را انجام دهد.

۲- نصب Web Shell جهت حفظ دسترسی ایجاد شده جهت نفوذ به شبکه داخلی.

۳- دو آسیب پذیری دیگر منجر به ایجاد هر نوع فایلی در هر مسیری بر روی سرور Exchange میگردد. لازم به ذکر است این آسیب پذیری نیازمند احراز هویت میباشند

۴- آسیب پذیری چهارم منجر به اجرای کد دلخواه مهاجم با سطح دسترسی system بر روی سرور میگردد.

جهت مطالعه اطلاعات فنی جهت شناسایی و شکار تهدیدات و اجرای یوزکیس .

میتوان از لینک زیر استفاده نمود:

https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

22 دسامبر 2020


پس از آنکه هکرها موفق شدند به وزارت خزانه‌داری آمریکا نفوذ کنند، بسیاری از طرفداران ارزهای دیجیتال با انتقاد از سیستم‌های متمرکز، خاطرنشان کردند که بیت‌کوین تا به حال هرگز هک نشده است.

یک گروه از هکرهای ماهر که احتمالا توسط یک دولت خارجی حمایت می‌شوند، موفق شدند به وزارت خزانه‌داری، اداره ارتباطات و اطلاعات ملی آمریکا و وزارت بازرگانی این کشور نفوذ کنند. گمانه‌زنی‌ها حاکی از آن است که روسیه مسئول این حملات سایبری است.

این اتفاق در حالی رخ می‌دهد که یک ماه پیش، دونالد ترامپ، کریس کربز (Chris Krebs)، رئیس بخش امنیت سایبری وزارت امنیت میهن را برکنار کرده بود. رویترز در گزارش خود عنوان می‌کند که هکرها یک ماه بود که ایمیل‌های کارمندان اداره ارتباطات در پلتفرم آفیس ۳۶۰ را رصد می‌کردند. در بخش دیگری از این گزارش آمده است که احتمالا دیگر بخش‌های دولتی هم درگیر این رخنه امنیتی شده‌اند اما جزئیات بیشتری ارائه نشده است. عده زیادی از طرفداران ارزهای دیجیتال در واکنش به این اتفاق با تمجید از ارزهای دیجیتال به مزیت‌های پلتفرم‌های غیرمتمرکز اشاره کردند.

دن هلد (Dan Held)، مسئول بخش کسب‌وکار صرافی کراکن (Kraken)، در اظهارنظر خود گفت: بیت‌کوین هیچ‌وقت هک نمی‌شود.

آنتونی پومپلیانو (Anthony Poplliano)، از مشهورترین چهره‌های حوزه ارزهای دیجیتال، در اظهارنظری مشابه هلد نوشت: بیت‌کوین تا به حال هیچ‌گاه هک نشده است.

بلاکفولیو (Blockfolio) هم ضمن اشاره به امنیت نه‌چندان مناسب اداره ارتباطات آمریکا، اعلام کرد که این اداره از الگوریتم‌های امنیتی قدیمی برای رمزنگاری استفاده می‌کند، گفت: بیت‌کوین یعنی بیش از آنکه خزانه آمریکا را قبول داشته باشید به الگوریتم SHA256‌ اعتماد کنید.

تیلور موناهان (Taylor Monahan)، مدیرعامل و بنیان‌گذار مای‌کریپتو (MyCrypto)، در اظهارنظری گفت: تقصیر خودشان است. وزارت خزانه‌داری پیش از توسط خودشان هک شده بود.

به‌گفته بسیاری، این صحبت‌های موناهان به برنامه‌های چاپ پول از جانب دولت آمریکا و وزارت خزانه‌داری اشاره دارد.

هنوز مشخص نیست که هکرها به اطلاعات خاصی دسترسی پیدا کرده‌اند یا نه. تا به اینجا احتمال می‌رود اطلاعاتی نظیر ایمیل‌های این نهادها در اختیار هکرها قرار گرفته باشد. باید منتظر ماند و دید که ابعاد این حملات تا چه اندازه گسترده است.

8 دسامبر 2020

سیستم عامل ویندوز در دام PowerPepper

 آزمایشگاه کسپرسکی بدافزاری به نام PowerPepper شناسایی کرد که سیستم‌عامل ویندوز را هدف گرفته است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کارشناسان آزمایشگاه کسپرسکی در گزارشی تازه اعلام کردند بدافزاری به نام پاورپپر (PowerPepper) شناسایی کرده‌اند که متعلق به گروه هکری دث‌استاکر (DeathStalker) بوده و سیستم‌عامل ویندوز را هدف قرار می‌دهد.

طبق گزارش این آزمایشگاه، پاورپپر یک در پشتی پیچیده است که امکان اجرای از راه دور دستورات شل از طریق سرور فرماندهی و کنترل را می‌دهد. محققان کسپرسکی نخستین‌بار در ماه می ۲۰۲۰ نسخه جدید این بدافزار را شناسایی کردند. از آن زمان تاکنون پاورپپر قابلیت‌های زیادی کسب کرده است.

نسخه‌های جدید پاورپپر می‌توانند حرکت موس را ردگیری کرده و آدرس‌های مک قربانی را فیلتر کنند و با بهره‌گیری از ابزارهای پیشرفته مانع از تجزیه‌وتحلیل کارشناسان امنیت سایبری شوند.

اپراتورهای این بدافزار که بنا به گفته محققان کسپرسکی، اعضای گروه هکری دث‌استاکر هستند از سال ۲۰۱۲ اقدام به جاسوسی سایبری علیه شرکت‌های حقوقی و مالی و صاحبان کسب‌وکارهای کوچک و متوسط کرده‌اند.

کارشناسان کسپرسکی از سال ۲۰۱۸ فعالیت این گروه را رصد کرده و معتقدند دث‌استاکر عملیات خود را گسترش داده و همچنان از تکنیک‌ها و روش‌های اثربخش در حمله استفاده می‌کند.

گروه دث‌استاکر در مرحله نخست حمله، ایمیل‌های فیشینگ حاوی آرشیوی از فایل‌های مخرب به کارکنان شرکت‌های هدف ارسال می‌کند.

هنگامی‌که کاربران روی فایل و میانبر LNK کلیک می‌کنند، یک اسکریپت مخرب به اجرا درآمده و بدافزاری بارگیری می‌شود و مهاجمان از طریق آن سیستم‌های قربانی را در اختیار می‌گیرند.

دث‌استاکر از ابزارهای مخربی همچون پاورسینگ (Powersing)، اویلنوم (Evilnum) و جانیکاب (Janicab) نیز بهره می‌گیرد.

پاورسینگ ایمپلنتی مبتنی بر پاورشل بوده و امکان گرفتن اسکرین‌شات در سیستم‌های آلوده و اجرای اسکریپت پاورشل را فراهم می‌سازد. آنتی‌ویروس‌ها به‌سختی می‌توانند این بدافزار را شناسایی کنند.

مهاجمان پیش از انجام حمله، به کمک پاورسینگ امکان انجام فعالیت‌های پنهان در سیستم را چک کرده و سپس اسکریپت‌های لازم را بر اساس نتایج بررسی خود به‌روزرسانی می‌کنند.

آنها در شبکه‌های اجتماعی معتبر، سرویس‌های وبلاگ نویسی و پیام‌رسان‌ها به‌اصطلاح ریسولورها و اطلاعات رمزگذاری شده مرتبط با مراکز فرماندهی و کنترل بارگذاری می‌کنند تا بتوانند به‌سرعت و نامحسوس عملیات مخرب خود را انجام دهند.

برای این منظور هکرها از Google+ ،Imgur ،Reddit ،ShockChan ،Tumblr ،Twitter ،YouTube و WordPress استفاده می‌کنند. همه این اقدامات شناسایی سرورهای فرماندهی و کنترل واقعی را سخت و پیچیده می‌سازد.
مرجع : سایبربان

 

فروش لایسنس سوفوس با آپدیت سرور ایرانی از شرکت آرکا

7 دسامبر 2020

ابزار خودکار بررسی امنیتی مودم

ابزار خودکار بررسی امنیتی مودم یک ابزار رایگان است که توسط مرکز ماهر در اختیار عموم قرار گرفته‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مرکز ماهر در راستای کمک به افزایش امنیت سایبری در کشور یک‌سری ابزار امنیتی رایگان را در وب‌سایت خود در دسترس عموم قرار داده است.

ابزار ارزیابی امنیتی مودم‌ها به‌صورت خودکار نقایص امنیتی احتمالی مودم شما را بررسی می‌کند. برای این منظور لازم است حتما از طریق شبکه اینترنت خود به این سامانه مراجعه کنید. ابزار به‌طور خودکار آدرس IP مودم شما را تشخیص می‌دهد.

آسیب‌پذیری‌ها و نقایص امنیتی مورد بررسی توسط این ابزار عبارت‌اند از:
۱) آسیب‌پذیری rom۰
۲) آسیب‌پذیری دسترسی به پنل مدیریت
۳) آسیب‌پذیری تغییر DNS
۴) بررسی وضعیت پورت‌های مودم
۵) تست کلمه عبور پیش فرض مودم (بتا)
۶) بررسی آسیب پذیری path traversal

لازم به ذکر است اجرای ارزیابی توسط این سامانه هیچ خطری برای مودم یا رایانه‌های شما ندارد و فقط جهت اطلاع شما از نقایص امنیتی احتمالی و رفع آنها است.

برای بهره‌گیری از این ابزار رایگان به وب‌سایت مرکز ماهر مراجعه کنید.

فروش لایسنس سوفوس با آپدیت سرور ایرانی از شرکت آرکا

21 اکتبر 2020

خطای ریموت دسکتاپ و عدم اعتبارسنجی

خطای ‘The connection was denied because the user account is not authorized for remote login’ یا خطای ریموت دسکتاپ و عدم اعتبارسنجی معمولاً هنگامی رخ می دهد که حساب کاربری که از آن برای اتصال از راه دور به سیستم هدف استفاده می کنید مجوز کافی ندارد. این خطا در گذشته نیز برای بسیاری از کاربران رخ داده است و به نظر می رسد ویندوز ۱۰ نیز از این قاعده مستثنی نیست. به محض تلاش برای ایجاد اتصال ، کاربران گزارش داده اند که پیام خطای گفته شده برایشان نمایش داده می شود.

خطای ریموت دسکتاپ و عدم اعتبارسنجی - خطا

از ارتباط از راه دور می توان برای موارد مختلف مانند عیب یابی خطاها در یک سیستم هدف و غیره استفاده کرد ، با این حال ، این ویژگی دارای تعدادی خطا است. برای دور زدن این مسئله خاص ، می توانید راه حل هایی که در زیر آورده ایم را دنبال کنید.

چه عواملی باعث بروز این خطا در ویندوز ۱۰ می شود؟

علت خطا در خود پیام خطا است!

مجوزهای ناکافی: وقتی حساب کاربری شما مجوز کافی برای برقراری ارتباط با میزبان مورد نظر را ندارد ، خطا ظاهر می شود.
سرویس RD: در برخی موارد ، مشکل ممکن است در صورت عدم پیکربندی کاربر ورود به سیستم Remote Desktop باشد.

با این اوصاف، می توانید با استفاده از راه حل های زیر با خطا مقابله کنید. هنگام اجرای راهکارهای ارائه شده، حتماً از حساب ادمین استفاده کنید.

راه حل ۱: ایجاد یک گروه امنیتی جدید برای خطای ریموت دسکتاپ و عدم اعتبارسنجی

برای رفع این مشکل، ممکن است بخواهید یک گروه امنیتی جدید ایجاد کنید که اعضای آن قدرت برقراری ارتباط از راه دور دسک تاپ را داشته باشند. در اینجا نحوه انجام این کار ذکر شده است:

  1. Windows Key + R را فشار دهید تا Run باز شود.
  2. secpol.msc” را تایپ کرده و Enter را فشار دهید.
  3. به مسیر Local Policies > User Rights Assignment بروید.
  4. از لیست خط مشی ها، Allow log on through Remote Desktop Services را پیدا کنید و روی آن دوبار کلیک کنید.خطای ریموت دسکتاپ و عدم اعتبارسنجی - لوکال پالیسی
  5. در صورت عدم وجود گروه Remote Desktop Users در زیر Administrators، دستورالعمل های زیر را دنبال کنید. اگر از قبل وجود دارد، به راه حل بعدی بروید.
  6. روی Add User or Group کلیک کنید و زیر ‘Enter the object names to select’ ، گروه Remote Desktop Users را وارد کنید.خطای ریموت دسکتاپ و عدم اعتبارسنجی - یوزر
  7. OK را بزنید.
  8. سیستم خود را ریستارت کنید تا وارد سیستم شود، در غیر اینصورت می توانید دستور زیر را در خط فرمان با دسترسی ادمین وارد کنید:
gpupdate /force

خطای ریموت دسکتاپ به علت عدم اعتبارسنجی - پالیسی آپدیت

راه حل ۲: دسترسی به حساب کاربری خود در خطای ریموت دسکتاپ و عدم اعتبارسنجی

در برخی موارد ، اگر حساب کاربری که برای برقراری اتصال از راه دور استفاده می کنید عضوی از گروه کاربران از راه دور دسک تاپ نباشد ، با خطای ذکرشده اعلان می شود. در چنین سناریویی ، باید آن را در گروه Remote Desktop Users اضافه کنید. در اینجا نحوه انجام این کار آمده است:

  1. Winkey + R را فشار دهید تا Run باز شود.
  2. lusrmgr.msc را وارد کنید و Enter را فشار دهید.
  3. روی Users کلیک کنید و سپس روی حساب کاربری خود دوبار کلیک کنید.
  4. به برگه Member Of بروید.خطای ریموت دسکتاپ به علت عدم اعتبارسنجی - ویژگی ها
  5. در صورت عدم وجود گروه Remote Desktop Users در زیر Administrators، روی Add کلیک کنید.
  6. Advanced را انتخاب کنید و سپس روی Find now کلیک کنید.
  7. از لیست ، بر روی Remote Desktop Users دوبار کلیک کرده و OK را کلیک کنید.خطای ریموت دسکتاپ به علت عدم اعتبارسنجی - گروه ها
  8. حساب کاربری شما اکنون عضو گروه Remote Desktop User است.
  9. اکنون سعی کنید ارتباط برقرار کنید.

راه حل ۳: بررسی ورود به سیستم Remote Desktop Service در خطای ریموت دسکتاپ و عدم اعتبارسنجی


اگر سرویس دسک تاپ راه دور شما از سرویس محلی به جای شبکه سرویس به عنوان ورود کاربر استفاده می کند ، این امر نیز می تواند باعث بروز این مشکل شود. با تغییر در Network Service می توانید این مشکل را برطرف کنید. در اینجا نحوه انجام این کار آمده است:

  1. Windows Key + R را فشار دهید تا Run باز شود.
  2.  ‘services.msc‘ را وارد کنید و Enter را فشار دهید.
  3. Remote Desktop Service را پیدا کرده و سپس روی آن دوبار کلیک کنید.خطای ریموت دسکتاپ و عدم اعتبارسنجی - سرویس ها
  4. به برگه Log On بروید.
  5. اگر حساب Local Service انتخاب شده باشد، باید آن را تغییر دهید. روی Browse کلیک کنید.
  6. Advanced را انتخاب کنید و سپس روی Find now کلیک کنید.
  7. از لیست ، روی Network Service دوبار کلیک کرده و OK را کلیک کنید.خطای ریموت دسکتاپ و عدم اعتبارسنجی - یوزر ها
  8. با کلیک راست روی سرویس و انتخاب Restart، سرویس را ریستارت کنید.

 

پایان مقاله خطای ریموت دسکتاپ و عدم اعتبارسنجی .

شرکت رایان سامانه آرکا