• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

بایگانی برچسب: s

4 اکتبر 2021

طبق گزارش تهدید ESET T2 2021 ، حملات نقطه پایانی Remote Desktop Protocol (RDP) افزایش چشمگیری داشته است. آمارهای ESET نشان دهنده افزایش ۱۰۴ درصدی حملات علیه سرورهای RDP از گزارش ژوئن آن است.

یادداشت ویراستار

این مورد برای کسی که در دو سال گذشته لیست سیاهه های خود را تماشا می کند ، نباید خبر خاصی باشد. تعدادی نشت اعتبار بزرگ بر RDP متمرکز شده است. ما برخی از افزایشهای اسکن RDP را در آوریل سالهای گذشته بررسی کردیم که به عنوان نقطه ورود قابل توجهی برای باج افزارها (isc.sans.edu  افزایش در اسکن RDP) شناخته شد. از آن زمان ، ما شاهد افزایش مداوم تعداد منابع اسکن RDP با افزایش گاه به گاه گزارش ها (isc.sans.edu Port 3389 (tcp/udp) Attack Activity) ) هستیم. توجه داشته باشید که این افزایش چندان ناشی از کار از راه دور نیست. این سیستم ها قبلاً افشا شده بودند ، اما اطلاعات فاش شده به مهاجمان ابزار جدیدی برای حمله به این سیستم های در معرض دید داد.

آیا مورد سوء استفاده قرار گرفته اید یا نه ، متخصصین امنیت شما باید به شما بگویند که سرویس هایی مانند RDP ، VNC ، SMB و غیره در معرض تهدیدات بدی هستند. لطفاً آنها را پشت یک VPN خوب با MFA قرار دهید.

با افزایش دورکاری ، بسیاری از خدمات اضافی به سرعت در دسترس اینترنت قرار گرفت. این موارد اغلب شامل RDP است که دسترسی را برای کاربران و بازیگران مخرب آسان می کند. دسترسی از راه دور باید احراز هویت چند عاملی برای خنثی سازی اعتبار اعتبارنامه های ضبط شده باشد. خدمات RDP خود را بجای اینکه مستقیما در اینترنت بگذارید، پشت یک دروازه دسترسی از راه دور ایمن قرار دهید .

اتصالات RDP ناامن یکی از برترین حملاتی است که باندهای باج افزار برای نفوذ به شرکت ها از آن استفاده می کنند. مایکروسافت راهنمای نحوه ایمن سازی RDP  راهنمای امنیتی برای پذیرش دسکتاپ از راه دور) را منتشر کرده است. اما شما همچنین باید همه ابزارها و سیستم عامل های مدیریت از راه دور که در سازمان شما وجود دارد را شناسایی کنید ، از امنیت مناسب آنها اطمینان حاصل کنید و به طور منظم بررسی کنید تا از امنیت آنها مطمئن شوید.

19 سپتامبر 2021
اصلاحیه‌های ماه سپتامبر مایکروسافت، بیش از ۶۰ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت مایکروسافت (Microsoft Corp)، هفته گذشته مجموعه اصلاحیه‌های امنیتی ماهانه خود را برای ماه میلادی سپتامبر منتشر کرد. اصلاحیه‌های مذکور بیش از ۶۰ آسیب‌پذیری را در Windows و محصولات مختلف این شرکت ترمیم می‌کنند.

درجه اهمیت ۳ مورد از آسیب‌پذیری‌های ترمیم شده این ماه حیاتی (Critical) و تقریباً تمامی موارد دیگر مهم (Important) اعلام شده است.

این مجموعه اصلاحیه‌ها، انواع مختلفی از آسیب‌پذیری‌ها را به شرح زیر در محصولات مختلف مایکروسافت ترمیم می‌کنند:
“افزایش سطح دسترسی” (Elevation of Privilege)
“عبور از سد امکانات امنیتی” (Security Feature Bypass)
“اجرای کد از راه دور” (Remote Code Execution)
“افشای اطلاعات” (Information Disclosure)
“منع سرویس” (Denial of Service – به‌اختصار DoS)
“جعل” (Spoofing)

۲ مورد از آسیب‌پذیری‌های ترمیم شده این ماه، از نوع روز – صفر هستند. اولین ضعف امنیتی “روز – صفر” که در این ماه ترمیم شده، آسیب‌پذیری موجود در MSHTML است که سوءاستفاده از آن اجرای کد از راه دور را در نسخه‌های مختلف سیستم‌عامل Windows برای مهاجم فراهم می‌کند. این آسیب‌پذیری دارای شناسه CVE-۲۰۲۱-۴۰۴۴۴ بوده و به طور فعال مورد سوءاستفاده قرار گرفته است. سه‌شنبه ۱۶ شهریور مایکروسافت نسبت به سوءاستفاده مهاجمان از این ضعف امنیتی هشدار و راهکارهای موقتی برای مقابله با آن ارائه داد.

مهاجم در این روش معمولاً یک سند Office برای کاربر ارسال کرده و کاربر را متقاعد می‌کند که سند مخرب را باز کند. سپس با کنترل مرورگر کاربر از طریق ایجاد یک کنترل مخرب ActiveX، از آسیب‌پذیری موجود در MSHTML ، سوءاستفاده می‌کند.

جزئیات کامل این آسیب‌پذیری در لینک زیر قابل‌مطالعه است:
https://newsroom.shabakeh.net/۲۲۵۷۵/microsoft-mshtml-mitigations-workarounds-windows-vulnerability.html

لازم به ذکر است نحوه سوءاستفاده از آسیب‌پذیری مذکور، بر روی اینترنت در دسترس عموم قرار گرفته است.
دیگر ضعف امنیتی از نوع روز – صفر این ماه، آسیب‌پذیری با شناسه CVE-۲۰۲۱-۳۶۹۶۸ است که مربوط به Windows DNS و از نوع “افزایش سطح دسترسی” است. جزئیات این ضعف امنیتی به‌صورت عمومی افشا شده؛ اگرچه موردی در خصوص بهره‌جویی از آن گزارش نشده است.

از جدی‌ترین آسیب‌پذیری‌های ترمیم شده در این ماه می‌توان به ضعف امنیتی با شناسه CVE-۲۰۲۱-۳۶۹۶۵ اشاره کرد که از نوع اجرای کد از راه دور در Windows WLAN است. این ضعف امنیتی همانند آسیب‌پذیری موجود در MSHTML دارای درجه شدت ۸/۸ از ۱۰ است.

یکی دیگر از آسیب‌پذیری‌هایی که در این ماه ترمیم شده ضعفی با شناسه CVE-۲۰۲۱-۳۶۹۵۸ مرتبط با PrintNightmare است.

PrintNightmare به مجموعه‌ای از آسیب‌پذیری‌های امنیتی (با شناسه‌های CVE-۲۰۲۱-۱۶۷۵،CVE-۲۰۲۱-۳۴۵۲۷ و CVE-۲۰۲۱-۶۹۵۸) اطلاق می‌شود که سرویس Windows Print Spooler، راه‌اندازهای چاپ در Windows و قابلیت Point & Print Windows از آن متأثر می‌شوند. مایکروسافت به‌روز‌رسانی‌های امنیتی را برای آسیب‌پذیری‌ها با شناسه‌های CVE-۲۰۲۱-۱۶۷۵ و CVE-۲۰۲۱-۳۴۵۲۷ در ماه‌های ژوئن، ژوئیه و آگوست منتشر کرد. این شرکت پیش‌تر با انتشار توصیه‌نامه‌‌ای، راهکاری موقت برای ترمیم آسیب‌پذیری CVE-۲۰۲۱-۳۶۹۵۸ نیز ارائه کرده بود که اکنون اصلاحیه آن در دسترس قرار گرفته است.

از دیگر آسیب‌پذیری‌های بااهمیت این ماه ضعف امنیتی با شناسه CVE-۲۰۲۱-۲۶۴۳۵ است که Windows Scripting Engine از آن تأثیر می‌پذیرد. مهاجم می‌تواند با فریب کاربر درباز کردن یک فایل خاص یا بازدید از سایت حاوی فایل مخرب، اقدام به سوءاستفاده از این ضعف امنیتی کرده و حافظه دستگاه قربانی را مورد دست‌درازی قرار دهد.
آسیب‌پذیری حیاتی دیگر مربوط است به یک ضعف امنیتی با شناسه CVE-۲۰۲۱-۳۸۶۴۷ که از نوع اجرای کد از راه دور در Open Management Infrastructure است.

از دیگر آسیب‌پذیری‌های ترمیم شده در این ماه، می‌توان به ضعف امنیتی با شناسه CVE-۲۰۲۱-۳۶۹۵۵ اشاره کرد که از نوع افزایش سطح دسترسی در Windows Common Log File System است. مایکروسافت هشدار داده که پیچیدگی سوءاستفاده از این آسیب‌پذیری «کم» بوده و احتمال سوءاستفاده از آن «زیاد» است.

5 سپتامبر 2021

در اینجا، در عملیات جهانی بازیابی امنیت مایکروسافت CRSP، ما با مشتریانی کار می کنیم که رویدادهای امنیتی مخرب را برای بازیابی اعتماد به سیستم های هویت و حذف کنترل مهاجم تجربه کرده اند. در طول سال ۲۰۲۰ ، این تیم به بسیاری از حوادث مربوط به باج افزار و استقرار ابزارهای رمزنگاری پاسخ داد. باج افزار تهدیدی فزاینده برای سازمانها و کاربران خانگی است ، زیرا این یک مدل تجاری کم هزینه و با بازدهی بالا است. این حملات پیچیده نیستند ، آنها به ابزارها و نرم افزارهایی تکیه میکنند که سالهاست وجود داشته و هنوز قابل اصلاح نیستند و هنوز کار می کنند.

در این پست ، ما امیدواریم که کاربردی ترین و مقرون به صرفه ترین روش های عدم نیاز به خدمات را با شما به اشتراک بگذاریم.

امنیت اولیه خود را به روز کرده و حفظ کنید

یک داستان قدیمی درباره دو کوهنورد در بیابان وجود دارد که می بینند خرس به سمت آنها می آید. یکی شروع به دویدن می کند و دوستش می گوید: “شما هرگز از یک خرس پیشی نمی گیرید.” اولین کوهنورد پاسخ می دهد: “مجبور نیستم ، فقط باید از تو پیشی بگیرم.”

موضوع پشت این داستان در چشم انداز تهدید امنیت سایبری فعلی منعکس می شود. این خبر مملو از داستانهای حملات سایبری است که بیشتر آنها “بسیار پیچیده” توصیف شده اند. با این حال ، حقیقت این است که بیشتر حوادث سایبری پیچیده نیستند. اکثر مهاجمان از وضع مالی خوبی برخوردار نیستند یا بسیاری از مهاجمان به خوبی از بودجه کشور، تامین نمی شوند. آنها فقط مجرمانی هستند که سعی در کسب درآمد دارند. سود مستقیم مالی محرک اصلی حملات سایبری در سال ۲۰۲۰ است. این امر به ویژه هنگامی صادق است که قربانیان شرکت های کوچک تا متوسط و بخش های غیر انتفاعی مانند مدارس و موسسات خیریه باشند. یک راه آسان برای بهبود وضعیت امنیتی خود ، وصله سریع و کارآمد است.

در اوایل سال ۲۰۲۰ ، تیم تشخیص و پاسخ مایکروسافت (DART) توسط یک سازمان بخش دولتی در استرالیا برای بررسی حمله سایبری مشارکت کرد. تحقیقات DART مشخص کرد که مهاجم از آدرس IP خارجی سرچشمه گرفته است. تحقیقات Incident Response (IR) نشان داد که دشمن حمله خود را با اسکن کردن زیرساخت های اینترنتی برای پورت های در معرض حمله آغاز کرد. در این نمونه ، یک اتصال دسکتاپ از راه دور مستقیماً به اینترنت باز شد تا فروشنده نرم افزار بتواند پشتیبانی کند. گذرواژه مدیریتی ضعیفی به کار برده شد. با دسترسی مدیریتی به سرور در معرض دید ، آنها با استفاده از ابزارهای هک رایج در دسترس و با استفاده از ابزارهای هک معمولی ، به طور قابل توجهی نویز را شناسایی کردند. مهاجمان به سرعت به صورت جانبی در سراسر شبکه حرکت کردند و به دامنه کنترل کننده ها رسیدند.

پس از تحقیقات DART ، تیم CRSP برای بازیابی محیط از طریق اعتماد مجدد به سیستم های هویت ، تقویت دفاع و از بین بردن کنترل دشمن تلاش کرد. اگرچه از اهمیت بالایی برخوردار است و منابع خوبی دارد ، بخش دولتی یک سازمان کوچک با حدود ۵۰۰ کارمند بود و متأسفانه در سالهای اخیر از اقدامات امنیتی عقب افتاده بود.

از حمله اولیه نیروی وحشیانه ، مهاجم در عرض چند ساعت به تسلط بر دامنه دست یافت. در این حمله ، دشمن با استقرار ابزارهای رمزنگاری در همه سرورها و ایستگاه های کاری ، انگیزه مالی خود را نشان داد. همانطور که در آخر هفته بود ، این حمله برای مدتی کشف نشد.

هیچ نشانه ای مبنی بر اینکه هدف حمله به طور خاص سازمان بوده است وجود نداشت ، اما به نظر می رسید که انگیزه مهاجم صرفاً مالی است. رمزنگاری یک محموله کم خطر و کم بازده است و نیازی به انتخاب صریح قربانی برای پرداخت آن ندارد. پاداش ها کمتر اما فوری است و برای حملات کم ارزش با حجم بالا مناسب است.

درسهای این حادثه عبارتند از: اگر بتوانید کار را از حد متوسط دشوارتر کنید ، مهاجمان کم مهارت اغلب سریع تسلیم می شوند و به سمت هدف بعدی حرکت می کنند. اساساً از دوست خود پیشی بگیرید ، نه خرس. تمرکز بر اصلاح اصول اولیه تا حد زیادی به حفاظت از اکثر شرکت های کوچک و متوسط کمک می کند. در زیر هفت حوزه (کاملاً جامع) وجود دارد که می تواند به سرعت شما را به یک هدف سخت تر تبدیل کند-و همه مواردی است که ما هنگام همکاری با مشتریان در پروژه های واکنشی به کار می بریم.

  1. همه چیز را سریعتر وصله کنید

هدف از پوشش کامل وصله ظرف ۴۸ ساعت ، وضعیت امنیتی شما را به میزان قابل توجهی بهبود می بخشد. سرورهای خود را در اسرع وقت و با تمرکز بر سیستم های Tier 0 مانند Domain Controllers و Microsoft Azure Active Directory Connect وصله کنید.

وصله برنامه ها به همان اندازه مهم است ، به ویژه برنامه های بهره وری تجاری مانند مشتریان ایمیل ، سرویس گیرندگان VPN و مرورگرهای وب. به روز رسانی خودکار مرورگرهای وب خود را در Edge ، Chrome ، Firefox یا سایر موارد فعال کنید. مرورگرهای قدیمی اطلاعات کاربر و دستگاه را در معرض خطر قرار می دهند. استفاده از ابر و Windows Update for Business می تواند به طور خودکار وصله  کند و برای رفع برخی از مشکلات مربوط به تعمیر و نگهداری هنگام توزیع نیروی کار سازمان شما ، به ویژه با توزیع نیروی کار سبک همه گیر ، کمک کند.

ما به عنوان بخشی از بازیابی سازش تلاش می کنیم تا مطمئن شویم مشتریان ما می توانند مهمترین دارایی های خود را در عرض چند ساعت وصله کنند ، این امر معمولاً شامل پیاده سازی سریع مراحل وصله و چرخه های آزمایش برای بارهای مهم است. ما مزایای زیادی را در جدا نگه داشتن سیستم های وصله برای حجم کاری اصلی خود مشاهده می کنیم ، مانند اجرای یک ابزار مدیریت به روز رسانی اختصاصی فقط برای کنترل کننده های دامنه.

  1. به طور فعال از دستگاه های خود محافظت کنید

یک دستگاه ویندوز به روز و پیکربندی شده که از Microsoft Defender برای Endpoint یا راه حل تشخیص و پاسخ گسترده دیگر (XDR) استفاده می کند ، باید اولین خط دفاعی شما باشد. همراه با سیستم مدیریت رویداد امنیتی (SIEM) برای سیستم های تجاری مهم و کلیدی شما ، این امر به شما کمک می کند تا از دارایی های مهم آگاه شوید. اطمینان حاصل کنید که افراد به دنبال هشدارها و ردیابی فعالیت ها هستند.

پس از صرف زمان با مشتریان خود ، دوست داریم مطمئن شویم که هر چیزی که در سیستم های تجاری مهم آنها اتفاق می افتد به خوبی تحت نظارت و مدیریت است. این که بتوانید به هر چیزی که ممکن است در این محیط رخ دهد واکنش نشان دهید برای حفظ اطمینان مداوم در یک محیط حیاتی است.

  1. قرار گرفتن در معرض را کاهش دهید.

بازکردن هرگونه سرویس در اینترنت با خطرات ذاتی همراه است. یک خطر این است که هر چیزی که به اینترنت متصل است به طور مرتب و منظم اسکن شود. همانطور که در HAFNIUM اخیر مشاهده کردیم ، از هر چیزی که آسیب پذیر تشخیص داده شود ، چند دقیقه پس از آنلاین شدن به طور بالقوه مورد سوء استفاده قرار می گیرد.

علاوه بر این ، منابع عمومی خدمات در دسترس به صورت آنلاین وجود دارد. این نتایج نه تنها برای هکرهایی که به دنبال بهره برداری از منابع هستند جالب توجه است بلکه می تواند برای کسانی که به دنبال افزایش موقعیت امنیتی خود هستند مفید باشد.

فایروالی که دسترسی به آدرس های منبع تعریف شده را محدود می کند ، خطر را تا حدی کاهش می دهد ، همانطور که آنها را در پشت اتصال VPN قرار می دهد ، به ویژه آنهایی که نیاز به احراز هویت دو مرحله ای دارند.

اگر سرورهای شما در Azure یا یک ابر دیگر هستند ، از یک گروه امنیتی شبکه برای محدود کردن دسترسی به IP های خاص استفاده کنید ، یا حتی بهتر است از دسترسی به موقع و Microsoft Azure Bastion استفاده کنید.

در مثال مشتری ما ، پروتکل دسکتاپ از راه دور مستقیماً در اینترنت قرار گرفت ، بدون هیچ گونه کنترل کنترل کننده.

ما با مشتریان خود برای توجیه و کاهش قرار گرفتن در معرض هرگونه خدمات اینترنتی در یک محیط کار می کنیم. ما در کنار شیوه های اجرایی کار می کنیم تا مطمئن شویم که مدیران هنوز می توانند یک سیستم را به طور کامل حفظ کنند اما این کار را با روش امن تری انجام می دهند.

  1. دسترسی ها را کاهش دهید

بیشتر حملات متکی بر دسترسی مهاجم به مدیریت است. اگر بتوانیم حق دسترسی را محدود کنیم ، راه زیادی را برای جلوگیری از حملات زیاد وجود دارد. داشتن گذرواژه مدیریتی محلی مشترک ، حرکت جانبی و افزایش امتیاز را برای مهاجمان یک کار بی اهمیت می کند.

راه حل رمز عبور سرپرست محلی (LAPS )، که حساب های مدیریت محلی را در سیستم ها مدیریت می کند ، نزدیک به شش سال است که در دسترس رایگان است. با این وجود ، در بسیاری از مشارکت ها ، می بینیم که به کار گرفته نشده است. امروز آن را در شبکه خود قرار دهید.

در مثال بخش عمومی ما ، مهاجم توانست اعتبارهای بسیار ممتاز را از سرور برنامه استخراج کند. استقرار مدیریت امتیاز و راه حل های سرپرست به موقع ارزش زیادی را اضافه می کند اما می تواند پیچیده و زمان بر باشد. با مشاهده عضویت در گروه های امنیتی مهم خود ، مانند Domain and Enterprise Administrators ، و کاهش تعداد افرادی که واقعاً به آن احتیاج دارند ، می توان به موفقیت های سریع دست یافت. در همه محیطها به جز بزرگترین محیط ها ، باید بتوانید تعداد مدیران دامنه را در انگشتان یک دست بشمارید.

استفاده از ایستگاه کاری اختصاصی سرپرست برای کارهای با ارزش ، خطر سرقت اطلاعات کاربری مدیر را کاهش می دهد. حتی دقیق ترین افراد گاهی روی پیوند اشتباه کلیک می کنند. ایده خوبی نیست که از حساب مدیریتی خود در همان رایانه ای که ایمیل می خوانید یا در وب گشت و گذار می کنید استفاده کنید ، زیرا خطراتی برای امتیاز شما ایجاد می شود.

از حسابهای خدمات مدیریت شده با گذرواژه های چرخان خودکار استفاده کنید ، اگر فروشنده برنامه به شما بگوید که حساب سرویس آنها باید مدیر باشد ، زمان آن فرا رسیده است که به سختی عقب بروید.

راهنمایی های ما درباره امنیت دسترسی ممتاز را بیشتر بخوانید.

استفاده از دستگاه های سخت شده فقط برای مدیران یک راه عالی و مقرون به صرفه برای افزایش تاکتیکی امنیت شما است. داشتن یک ماشین مستقل بدون ایمیل یا وبگردی ، مشکلاتی را که مهاجمان با آن روبرو می شوند ، افزایش می دهد.

برای مشتریان بخش عمومی ما ، محدودیت استفاده از امتیاز می تواند مهاجم را از انتقال از حرکت اولیه بر روی سرور در معرض دید بقیه محیط بسیار سخت تر کند.

  1. از قدرت ابر استفاده کنید

در نظر بگیرید که هنوز برای اجرای داخلی به چه خدماتی نیاز دارید. اگر نیاز چندانی به انجام این کار ندارید ، به شخص دیگری اجازه دهید. مدل مسئولیت مشترک در ابر به شما این فرصت را می دهد تا میزان مسئولیت خود را کاهش داده و امنیت پلتفرم را به یک ارائه دهنده ابر واگذار کنید. ابر می تواند به طور خودکار در جایی که فناوری اطلاعات سنتی نمی تواند مقیاس بندی کند ، و همین امر را باید در مورد سرویس های امنیتی در ابر نیز بیان کرد.

به آنچه در حال اجرا هستید نگاه کنید و آن را با پلتفرم به عنوان سرویس (PaaS) یا نرم افزار به عنوان سرویس (SaaS) جایگزین کنید.

به عنوان مثال ، سرورهای Exchange محلی محصولی عالی هستند ، اما به نگهداری ، وصله و پیکربندی نیاز دارند. مهاجرت صندوق های پستی به Exchange Online بسیاری از کارها را حذف کرده و با مسدود کردن بیشتر پیوندهای مخرب و فیشینگ قبل از رسیدن به صندوق پستی ، سطح حمله را کاهش می دهد.

اگر بتوانید در درازمدت به یک راه حل مبتنی بر ابر در Azure یا ابر دیگر بروید ، اجرای یک سرور وب امن در محیط شما ممکن است دشوار باشد. این مساله در این مورد مناسب نبود ، اما این یک بردار حمله رایج است.

از ابزارهای امنیتی مدرن مبتنی بر ابر مانند Azure Security Center و Azure Defender استفاده کنید. حتی اگر سرورهای شما در محل یا در یک ابر دیگر ساکن باشند ، باز هم می توان آنها را پیکربندی کرد تا به مرکز امنیتی گزارش دهند و تصویری از وضعیت امنیتی شما را در اختیارتان قرار دهند. استفاده از سیستم SIEM مانند Microsoft Azure Sentinel می تواند دید حملات احتمالی را افزایش دهد.

اگر مشتری مورد حمله ما از راه حل های امنیتی ابری استفاده می کرد ، می دید که این حمله در حال وقوع است.

  1. بدهی فنی خود را پرداخت کنید

اجرای سیستم عامل های قدیمی آسیب پذیری شما را در برابر حملاتی که از آسیب پذیری های طولانی مدت استفاده می کنند افزایش می دهد. در صورت امکان ، از سیستم خارج شده یا ارتقاء سیستم عامل های قدیمی ویندوز استفاده کنید. پروتکل های قدیمی می توانند ریسک را افزایش دهند. فن آوری های به اشتراک گذاری فایل های قدیمی یک بردار حمله شناخته شده برای باج افزار هستند اما هنوز در بسیاری از محیط ها مورد استفاده قرار می گیرند.

در این حادثه ، سیستم های زیادی از جمله Domain Controllers وجود داشت که اخیراً وصله نشده بودند. این امر به مهاجمان در حرکت آنها در سراسر محیط کمک زیادی کرد. به عنوان بخشی از کمک به مشتریان ، ما مهم ترین سیستم ها را بررسی می کنیم و مطمئن می شویم که ما به روزترین پروتکل ها را برای بهبود محیط بیشتر اجرا می کنیم.

  1. به log های خود نگاه کنید و به هشدارها عمل کنید.

به قول معروف “جمع آوری تشخیص نیست”. در بسیاری از تعاملات ، اقدامات مهاجم در گزارشات رویداد روشن و آشکار است. مشکل رایج این است که هیچ کس به طور روزانه به آنها نگاه نمی کند یا نمی فهمد که ظاهر طبیعی چگونه است. تغییرات غیرقابل توضیح در گزارش رویدادها ، مانند حذف یا حفظ تغییرات ، باید مشکوک تلقی شده و مورد بررسی قرار گیرد.

در این حادثه ، اقدامات مهاجم را می توان به راحتی از طریق log های مربوط پس از آن پیگیری کرد. یک سیستم SIEM ، که گزارشات بسیاری از منابع را جمع آوری می کند ، به طور سنتی یک سرمایه گذاری بزرگ و دور از دسترس برای همه شرکت ها به جز شرکت های بزرگ بود. با Azure Sentinel ، اکنون در دسترس همه است-بدون نیاز به زیرساخت های داخلی و بدون نیاز به سرمایه گذاری اولیه. به سادگی ایجنت ها را در سیستم های خود مستقر کنید (مهم نیست که آنها در محل ، Azure یا ابر دیگر هستند).

بیشتر بدانید

هیچ راه حل فناوری جادویی وجود ندارد که شما را به هدف سخت تری برای ضربه زدن تبدیل کند. تیم های Microsoft DART و CSRP گروه کثیری از مردم هستند ، دوستانه و یاری رسان هستند ، اما شما واقعاً مجبور نیستید با ما ملاقات کنید.

یک بازیگر تهدید مصمم و با منابع خوب ، به موقع ، بهترین دفاع سایبری را نقض می کند. به طور خلاصه ، نمی توان از خرس پیشی گرفت ، اما با برداشتن اولین قدم ها برای تبدیل شدن به یک هدف سخت تر ، مهاجمان به سمت اهداف راحت تری حرکت خواهند کرد.

برای کسب اطلاعات بیشتر در مورد راه حل های امنیتی Microsoft ، از وب سایت ما دیدن کنید. وبلاگ Security را نشانه گذاری کنید تا از پوشش تخصصی ما در زمینه مسائل امنیتی مطلع شوید.

18 جولای 2021

مشکلات مایکروسافت در زمینه نقص امنیتی در برنامه Windows Print Spooler هر هفته بیشتر می شود.

تیم پاسخگویی امنیتی ردموندی اواخر پنجشنبه پس از صرف دو ماه گذشته برای برطرف کردن اصلاحات متعدد چاپ Spooler (به عنوان یک بروزرسانی اضطراری ، خارج از باند) ، یک اشکال جدید و بدون واسطه را پذیرفت که کاربران ویندوز را در معرض امتیازات حملات تشدید قرار می دهد.

مشاوره مایکروسافت یک آسیب پذیری کاملاً جدید را توصیف می کند – CVE-2021-34481 – که می تواند با یک اشکال دیگر ترکیب شود تا حملات اجرای کد را انجام دهد.

هیچ وصله ای در دسترس نیست و مایکروسافت می گوید تنها راه حل این است که کاربران ویندوز سرویس Print Spooler را متوقف و غیرفعال کنند.

از مشاوره:

”  هنگامی که سرویس Windows Print Spooler به طور نامناسب عملیات پرونده ممتاز را انجام دهد ، سطح آسیب پذیری امتیاز وجود دارد. مهاجمی که با موفقیت از این آسیب پذیری سو استفاده کرده می تواند کد دلخواه را با امتیازات SYSTEM اجرا کند. سپس یک مهاجم می تواند برنامه ها را نصب کند. مشاهده ، تغییر یا حذف داده ها ؛ یا حسابهای جدید با حقوق کامل کاربر ایجاد کنید.

یک مهاجم باید از توانایی اجرای کد بر روی سیستم قربانی برای سواستفاده از این آسیب پذیری برخوردار باشد. “

مایکروسافت گفت که این آسیب پذیری قبلاً به طور عمومی فاش شده و محقق امنیتی Dragos را به عنوان Jacob Baines به این کشف معتبر دانسته است.

به طرز عجیبی ، Baines در توییتر گفت که مشاوره مایکروسافت کاملاً بی خبر است و بخشی از یک فرایند هماهنگ سازی آسیب پذیری نیست.

Baines گفت که این مسئله را در تاریخ ۱۸ ژوئن به مایکروسافت گزارش داد و گفت که این موضوع با آسیب پذیری PrintNightmare Print Spooler ارتباطی ندارد.

محقق دراگوس قصد دارد در کنفرانس آتی Defcon ، برنامه ریزی شده برای اوایل ماه اوت در لاس وگاس ، در مورد این موضوع بحث کند. در بحثی تحت عنوان آسیب پذیری درایور چاپ خود را بیاورید ، Baines قرار است در مورد چگونگی معرفی درایورهای آسیب پذیر چاپ Windows به سیستم کاملاً وصله خورده صحبت کند.

در خلاصه بحث Defcon آمده است:

وقتی خود را به عنوان یک کاربر ویندوز کم امتیاز و بدون هیچ راهی به سیستم می بینید ، چه کاری می توانید به عنوان یک مهاجم انجام دهید؟ یک درایور چاپی آسیب پذیر نصب کنید! در این سخنرانی ، شما می آموزید که چگونه درایورهای چاپی آسیب پذیر را به یک سیستم کاملاً وصله دار معرفی کنید. سپس ، با استفاده از سه مثال ، یاد می گیرید که چگونه از رانندگان آسیب پذیر برای افزایش سیستم SYSTEM استفاده کنید.

مایکروسافت گفت که در حال کار روی پچ است اما جدول زمانی برای انتشار ارائه نکرد.

1 جولای 2021

▪️ (https://nakedsecurity.sophos.com/2021/06/30/printnightmare-the-zero-day-hole-in-windows-heres-what-to-do/)تیم های امنیتی یک آسیب پذیری خطرناک بنام PrintNightmare را روی Windows کشف کرده اند که به مهاجم راه دور امکان Domain takeover کردن را می دهد. این آسیب پذیری هنوز توسط مایکروسافت Patch نشده است اما شرکت امنیتی چینی QiAnXin یک فیلم دمو از Exploit این آسیب پذیری منتشر کرده است و همزمان گزارشهایی مبنی بر استفاده گروه های هکری از این آسیب پذیری منتشر شده است.
▪️این آسیب پذیری (CVE-2021-1675) بسیار بحرانی بوده و لازم به اقدام فوری Adminهای شبکه می باشد. از آنجا که این آسیب پذیری مرتبط با Windows Print Spooler می باشد لازم است تا زمان ارائه Patch از سوی مایکروسافت، در اقدامی فوری سرویس spooler بویژه روی Domain Controllerها متوقف و Disable شود. سایر اقدامات مورد نیاز تکمیلی در این لینک توضیح داده شده است.
▪️با این Ruleها می توانید تشخیص دهید که آیا Windowsهای شما تا کنون Exploit شده اند یا خیر؟
▪️مایکروسافت تا این لحظه اطلاعات مفیدی در خصوص این آسیب پذیری منتشر نکرده است. اما احتمالا به زودی شاهد واکنش مایکروسافت خواهیم بود.
▪️موسسه معتبر NIST این آسیب پذیری را با درجه High تایید کرده است.
▪️شرکتهای امنیتی Tencent ، AFINE، NSFOCUS و Sophos نیز گزارشهای تحلیلی در خصوص این آسیب پذیری منتشر کرده اند. گزارش و توصیه های Sophos در خصوص این آسیب پذیری را در اینجا بخوانید.
🎥در این پست  می توانید فیلمی از Exploit کردن آسیب پذیری PrintNightmare و ایجاد دسترسی در سطح System برای Attacker را مشاهده کنید!!!

Naked Security
PrintNightmare, the zero-day hole in Windows – here’s what to do
All bugs are equal. But some bugs are more equal than others.

29 ژوئن 2021
مایکروسافت متوجه شد که یک مهاجم سایبری با دسترسی به سیستم یک نماینده خدمات مشتری از اطلاعات کاربران برای حمله هکری استفاده کرده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت مایکروسافت اعلام کرد یک مهاجم سایبری به سیستم یک نماینده خدمات مشتریانش نفوذ کرده و با استفاده از اطلاعات عملیات‌های هکی علیه مشتریان انجام می‌دهد.

این شرکت اعلام کرد هنگام بررسی و پاسخ به حملات گروهی از هکرها که مسئول هک سولارویندز هستند، فرایند هک مذکور را شناسایی کرده است.

مایکروسافت اعلام کرد مشتریانی که اطلاعاتشان تحت تأثیر این حمله بوده را مطلع کرده است. نسخه‌ای از هشدار این شرکت به مشتریانش نشان می‌دهد مهاجمان سایبری به گروهی به نام «نوبلیم» تعلق دارند و طی نیمه دوم ماه می به سیستم شرکت نفوذ کرده‌اند.

در این هشدار آمده است: یک گروه هکر دولتی به نام نوبلیم، به ابزارهای پشتیبانی از مشتری مایکروسافت نفوذ و اطلاعات مربوط به عضویت کاربران در سرویس‌های مایکروسافت را بررسی کرده است.

هنگامیکه رویترز خواستار توضیحاتی درباره این هشدار شد، مایکروسافت نشت اطلاعات مشتریانش را به طور عمومی اعلام کرد.

این شرکت ادعا می‌کند نفوذ هکرها به سیستم نماینده‌اش را خود کشف کرده است. نماینده مذکور می‌تواند اطلاعات صورتحساب مشتری و سرویس‌های مورد استفاده وی را مشاهده کند.

مایکروسافت در این باره گفت: مهاجم سایبری در برخی مواقع با استفاده از این اطلاعات حملات هدفمندی را انجام داده است.
همچنین این شرکت فناوری هشدار داد مشتریانش باید نام کاربری و ایمیل خود را عوض کنند.

تاکنون مشخص شده طی این حمله فیشینگ اطلاعات سه مشتری به خطر افتاده است.

  • 1
  • 2