نوشته‌ها

شناسایی آسیب پذیری zero-day در Win32

شناسایی آسیب پذیری zero-day در Win32

شناسایی آسیب پذیری zero-day در Win32 :با وجودیک آسیب‌پذیری ارتقای سطح دسترسی درویندوز،وقتیWin32نمی‌تواندبه اشیاء داخل حافظه رسیدگی کند،نفوذگرمی‌تواندکددلخواه را درسطح هسته اجراکند.

متخصصان امنیت، ‫آسیب‌پذیری ‫zero-day جدیدی در سیستم عامل ‫ویندوز کشف کرده‌اند. این نقص، هنگام بررسی نفوذ برخی مهاجمان و درحالی کشف شده‌است که فرد نفوذگر سعی داشت از طریق یک آسیب‌پذیری ناشناخته در سیستم عامل ویندوز به شبکه هدف حمله کند.

تحلیل‌های انجام شده بیشترحول کتابخانه‌ای به نام win32.sysبوده‌است که درواقع فایل مربوط به درایورWin32محسوب می‌شود.

متن منتشر شده مایکروسافت بدین شرح است:

«یک آسیب‌پذیری ارتقای سطح دسترسی (elevation of privilege) در ویندوز وجود دارد به‌طوری که وقتی Win32 نمی‌تواند به اشیاء داخل حافظه رسیدگی (handle) کند، فرد نفوذگر با استفاده از این آسیب‌پذیری قادر به اجرای کد دلخواه در سطح هسته (kernel mode) خواهدبود.

در صورت استفاده صحیح، مهاجم قادربه نصب نرم‌افزارها،مشاهده،تغییرویاحذف اطلاعات ویاحتی ایجاداکانت جدیدبا اختیارات کامل است.

شناسایی آسیب پذیری zero-day در Win32

برای استفاده از این آسیب‌پذیری، مهاجم ابتدابایددرداخل سیستم وارد(log on)شودوسپس یک برنامه مخصوص وازپیش طراحی‌شده رااجراکندتاکنترل سیستم موردنظررابه دست گیرد.»

از لحاظ جغرافیایی، بیشتر حملات به کامپیوترهای خاورمیانه صورت گرفته‌است که نشان‌دهنده حملات هدفمند (targeted attack) است.

مایکروسافت یک به‌روزرسانی امنیتی را به‌صورت اضطراری منتشر و از همه کاربران درخواست کرده‌است که در اولین فرصت ممکن سیستم‌های خود را به‌روزرسانی کنند. این آسیب‌پذیری روز ۹ اکتبر ۲۰۱۸ شناسایی شد و درجه ریسک آسیب‌پذیری بالاست، اما به دلیل نبود کد مخرب به‌صورت عمومی و ارائه وصله توسط مایکروسافت، متوسط در نظر گرفته شده‌است.

 

سیستم‌های عامل تحت تاثیر این آسیب‌پذیری عبارت‌اند از:

• Microsoft Windows 10 Version 1607 for 32-bit Systems 
• Microsoft Windows 10 Version 1607 for x64-based Systems 
• Microsoft Windows 10 Version1803 for32-bit Systems 
• Microsoft Windows 10 Version 1803 for x64-based Systems 
• Microsoft Windows 10 Version 1809 for 32-bit Systems 
• Microsoft Windows 10 Version 1809 for x64-based Systems 
• Microsoft Windows 10 for 32-bit Systems 
• Microsoft Windows 10 for x64-based Systems 
• Microsoft Windows 10 version 1703 for 32-bit Systems 
• Microsoft Windows 10 version 1703 for x64-based Systems 
• Microsoft Windows 10 version 1709 for 32-bit Systems 
• Microsoft Windows 10 version 1709 for x64-based Systems 
• Microsoft Windows ۷ for 32-bit Systems SP۱ 
• Microsoft Windows ۷ for x64-based Systems SP۱ 
• Microsoft Windows 8.1 for 32-bit Systems 
• Microsoft Windows 8.1 for x64-based Systems 
• Microsoft Windows RT 8.1 
• Microsoft Windows Server 1709 
• Microsoft Windows Server 1803 
• Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 
• Microsoft Windows Server 2008 R2 for x64-based Systems SP1 
• Microsoft Windows Server 2008 for 32-bit Systems SP2 
• Microsoft Windows Server 2008 for Itanium-based Systems SP2 
• Microsoft Windows Server 2008 for x64-based Systems SP2 
• Microsoft Windows Server 2012 
• Microsoft Windows Server 2012 R2 
• Microsoft Windows Server 2016 
• Microsoft Windows Server 2019

از آنجایی‌که برای استفاده از این آسیب‌پذیری فرد حمله‌کننده نیازمند دسترسی محلی به کامپیوتر هدف است، ضروری است این دسترسی صرفا به اشخاص مورد اعتماد داده شده و درصورت امکان از محیط‌های محدود شده استفاده شود.

 

شناسایی آسیب پذیری zero-day در Win32

منبع خبر: پایگاه خبری امنیت فناوری اطلاعات

 

کارکنان بخش امنیت خواهان تغییر شغل خود هستند

حملات شبکه های بیسیم

هشدار حمله Ghost DNS به روترهای خانگی

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

 

هشدار حمله Ghost DNS به روترهای خانگی

هشدار حمله Ghost DNS به روترهای خانگی

هشدار حمله Ghost DNS به روترهای خانگی: پژوهشگران امنیتی درباره نفوذ هکرها به صدهزار مودم و روتر خانگی در برزیل با حمله سایبری Ghost DNS هشدار دادند.

حمله سایبری جدیدی از طریق بدافزار Ghost DNS، صدهزار روتر خانگی را در برزیل آلوده‌ کرده‌است. هکرها در این حمله می ‌توانند اطلاعات حساس کاربر را با دستکاری مسیر ترافیک و هدایت قربانی به سمت صفحات جعلی سرقت کنند.

به گفته گروهی از پژوهشگران هم‌اکنون کنترل بیش از صدهزار مودم و روتر خانگی از برندهایی چون D-Link ،MikroTik ،TP-Link ،Huawei و SpeedTouch به دست هکرها افتاده است و آنها آدرس سرورهای DNS را برای مقاصد خود تغییر داده‌اند.

پژوهشگران از ۲۰ سپتامبر ۲۰۱۸ خبر از یک حمله گسترده داده‌اند. روند اینگونه است که در هنگام بازدید از صفحات آلوده به کدهای مخرب، یک اسکریپت به منظور بررسی باز بودن درگاه‌های روتر اجرا می‌‌شود و تلاش می‌کند از طریق حملات بروت فورس (Brute Force) به صفحه تنظیمات آن وارد شوند. در صورتی که حمله موفقیت‌آمیز باشد، آدرس‌های DNS و همچنین کلمه عبور روتر عوض می‌‌شود تا ضمن هدایت ترافیک کاربر به سمت شبکه‌های تحت کنترل هکرها، قادر به ورود به تنظیمات و بازگردانی آنها نباشد. از آنجایی که بسیاری از کاربران هرگز کلمه عبور پیش‌فرض روتر خود را تغییر نمی‌دهند، بسیاری از روترها در برابر این نوع حملات آسیب‌پذیر هستند.

بروت فورس یکی از انواع حملات هکری برای به‌دست آوردن رمز های عبور است. در این روش هکر با استفاده از نرم‌افزارهای مخصوص سعی می‌کند تمام عبارت‌های ممکن را بررسی کند. آشنایی با حملات brute force برای همه مدیران سایت‌ها و کاربران اینترنتی که دارای پنل مدیریت اینترنتی یا نام کاربری و رمز عبور در یک سایت خاص هستند لازم و ضروری است، چراکه با شناخت این نوع حمله و راهکار‌های مقابله با آن گامی بلند در راه ارتقای امنیت سایبری برداشته‌شده و میزان کمتری از سایت‌ها توسط این روش خطرناک مورد نفوذ قرار می‌گیرند.

حمله Ghost DNS به روترهای خانگی

این حمله را شرکت امنیت سایبری Netlab360 شناسایی کرده‌است. برندهایی که در این حمله تحت تاثیر قرار گرفته‌اند در ذیل آمده‌اند:

• 3COM OCR-812
• AP-ROUTER
• D-LINK
• D-LINK DSL-2640T
• D-LINK DSL-2740R
• D-LINK DSL-500
• D-LINK DSL-500G/DSL-502G
• Huawei SmartAX MT880a
• Intelbras WRN240-1
• Kaiomy Router
• MikroTiK Routers
• OIWTECH OIW-2415CPE
• Ralink Routers
• SpeedStream
• SpeedTouch
• Tenda
• TP-LINK TD-W8901G/TD-W8961ND/TD-8816
• TP-LINK TD-W8960N
• TP-LINK TL-WR740N
• TRIZ TZ5500E/VIKING
• VIKING/DSLINK 200 U/E

بررسی‌های شرکت امنیت سایبری Netlab ۳۶۰، حاکی از آن است که هکرها کاربران را به سمت صفحات جعلی فیشینگ هدایت می‌کنند و اطلاعات آنها را سرقت می‌کنند.

کاربران برای جلوگیری از حملات این‌چنینی باید Firmware های روتر خود را به‌روز نگه دارند و از برنامه‌های ضدویروس قدرتمند استفاده کنند. همچنین کلمه عبور پیش‌فرض روتر را تغییر دهند.

 

منبع خبر: پایگاه خبری امنیت فناوری اطلاعات

هشدار حمله Ghost DNS به روترهای خانگی

آموزش روش های ایمن سازی تجهیزات سیسکو

آموزش روش های ایمن سازی تجهیزات سیسکو

آموزش روش های ایمن سازی تجهیزات سیسکو :میخواهیم در این مقاله 10 دستور کارردی جهت ایمن سازی تجهیزات سیسکو معرفی کنیم.

آموزش روش های ایمن سازی تجهیزات سیسکو

۱- تعیین طول پسورد

با استفاده از دستور زیر شما می توانید طول پسوردهای ورودی در سیسکو را مدیریت کنید. این نکته لازم به ذکر است که سعی کنید حداقل از طول 8 کارکتر جهت بالا بردن امنیت تجهیزات خود استفاده نمایید.

(Router (config) #security passwords min-length 8 ( Minimum length of all user/enable passwords

✅طول پسورد را می توان از صفر تا 16 کاراکتر مشخص کرد.

۲- استفاده از دستور Enable Secret

همانظور که می دانید یکی از دستوراتی که خیلی در پیکربندی تجهیزات سیسکو استفاده می شود دستور enable password است اما به علت مشکل امنیتی و عدم کد گذاری پسورد پیشنهاد می شود از دستور Enable Secret استفاده کنید.

*Router (config) #enable secret cisco123

۳- قراردادن پسورد درراه های دسترسی به تجهیزات

ما جهت دسترسی به تجهیزات سیسکو روش های مختلفی از قبیل vty , Comsole , aux … داریم که برای بالا بردن امنیت تجهیزات سیسکو خود می بایست پسورد مناسبی جهت دسترسی به آن ها قرار دهیم تا از دسترسی افراد سودجو به تجهیزات جلوگیری کنیم.

۴- فعال سازی سرویس کدگذاری پسوردها

با استفاده از سرویس password encryption به صورت خودکار تمام رمزهای مشخص شده کد گذاری می شوند.

Router (config) #service password-encryption

۵- غیرفعال کردن Password Recovery

همانطور که می دانید امکان Password Recovery در محیط Rommon در تجهیزات سیسکو وجود دارد که این قابلیت در محیط های که تجهیزات در محیط های امنی از لحاظ فیزیکی وجود ندارند می تواند بسیار خطرناک باشد زیرا هکر به راحتی می تواند با استفاده از این قابلیت به تجهیزات ما دسترسی پیدا کند. با استفاده از دستور زیر می توانید این قابلیت را غیر فعال کنید.

Router (config) # no Service Password Recovery

۶- محدودیت در تعداد دفعات وارد کردن پسورد

یکی از روشهای هک استفاده از حملات کرکینگ است که در این روش هکر به صورت مکرر از یک دیکشنری جهت وارد کردن پسورد استفاده می کنند از این رو ما باید برای ورود پسوردها محدودیت ایجاد کنیم برای این امر از دستور زیر استفاده می کنیم.

Router (config) # Security authentication failure rate 5

با توجه به دستور بالا اگر 5 بار پسورد اشتباه زده شود 15 ثانیه وقفه در دادن پسورد ایجاد می شود.

۷- محدودیت زمان کار نکردن کاربر با تجهیزات

(Router (config) #line console 0 (Vty or Aux
(Router (config-line) #exec-timeout 2 (Min) 30 (Sec

با توجه به دستور بالا در صورتی که کاربر 2 دقیقه 30 ثانیه کانفیگی انجام ندهد ارتباط قطع می شود و باید مجددا متصل شویم.

۸- محدودیت تعداد دفعات لاگین اشتباه در یه بازده زمانی خاص

Router (config) #login block-for 30 attempts 5 within 10

در کد بالا اگر کاربری در 10 ثانیه 5 بار اشتباه پسورد را وارد کند به مدت 30 ثانیه بلاک می شود.

۹- مخفی کردن فایل Boot

جهت بالابردن امنیت تجهیزات سیسکو ، فایل boot خود را با استفاده از دستور بالا می توانید مخفی کنید.

Router(config)#secure boot-image

۱۰- ایجاد پشتیبان مخفی از کانفیگ تجهیزات

Router(config)#secure boot-config

منبع: گیک بوی

آموزش روش های ایمن سازی تجهیزات سیسکو

 

 

شاید این موارد نیز مورد علاقه شما باشد

آموزش روش های ایمن سازی تجهیزات سیسکو

دستورات پیکربندی سوئیچ سیسکو

دستورات تنظیمات روتر و سوئیچ سیسکو

آموزش تنظیم IP روتر و سوئیچ سیسکو

بازنشانی پیکربندی سوئیچ های سیسکو به پیش فرض کارخانه

آموزش SNMP در روتر و سوئیچ های سیسکو

دسترسی Telnet به روتر سیسکو

راه اندازی SSH در سوئیچ ها و روتر های سیسکو

آموزش روش های ایمن سازی تجهیزات سیسکو

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

 پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو: شرکت سیسکو روز 13 آگوست ۲۰۱۸ به‌روز رسانی امنیتی مهمی را منتشر کرده که این به‌روز رسانی برای سیستم‌عامل IOS و IOS XE خود است و در بسیاری از محصولات سیسکو به کار می‌رود. این آسیب‌پذیری که با شماره شناسایی CVE-2018-0131 معرفی شده‌است، یکی از حملات جدید cryptographic علیه پروتکل IKE است که در IPSec مورد استفاده قرار می‌گیرد. معرفی این حمله جدید که به‌تازگی در مقاله‌ای با نام The Dan­gers of Key Reuse: Prac­tical At­tacks on IPsec IKE منتشر شده‌است، هفته آینده در بیست و هفتمین نشست امنیتی USENIX در شهر بالتیمور ایالت مریلند آمریکا صورت خواهدگرفت.

محققان اعلام کردند که پیاده‌سازی این حمله علیه پروتکل IKEv1 در Cisco با شماره شناسایی CVE-۲۰۱۸-۰۱۳۱، در Huawei با شماره شناسایی CVE-۲۰۱۷-۱۷۳۰۵ ، در Clavister با شماره شناسایی CVE-۲۰۱۸-۸۷۵۳ و در ZyXEL با شماره شناسایی CVE-۲۰۱۸-۹۱۲۹ معرفی خواهند شد. یکی نفز از این محققین  از دانشگاه Ruhr-University بوخوم آلمان و دو نفر دیگر از دانشگاه Opole لهستان هستند اعلام کردند که این آسیب‌پذیری‌ها را به سازندگان محصولات اطلاع داده‌اند که پاسخ سازندگان دستگاه‌های آسیب‌پذیر در پاسخ گفتند به‌روز رسانی‌هایی برای رفع این آسیب‌پذیری‌ها منتشر کرده‌اند.

دراین میان که سیسکوبیشترین محصولات آسیب‌پذیررا دارابوده است،مشخص شده که سیستم عاملIOS و IOS XEآسیب‌پذیرهستندکه باشماره شناساییCVE-۲۰۱۸-۰۱۳۱معرفی شده‌است،

اما سیستم عامل نسخه IOS XR که به‌طورعمده‌تردرمحصولات روترهای سیسکو مورداستفاده قرارمی‌گیرد،به علت تفاوت درنوع کدنویسی آن،آسیب‌پذیرنیست.

امروز سیسکو به‌روز رسانی برای هردوسیستم‌عامل خودمنتشرکردواعلام کردکه دستگاه‌های دارای دوسیستم عامل فوق که دارای تنظیمات احراز هویت rsa-encr هستندآسیب‌پذیرند.

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

بر اساس توضیحات سیسکو، این آسیب‌پذیری از راه دور به نفوذگران احراز هویت نشده این اجازه را می‌دهد که Encrypted Nonces از یک نشست کاری رمزنگاری شده با استفاده از پروتکل IKEv۱ را با موفقیت به‌دست بیاورند. علت وجود این آسیب‌پذیری، اشتباه در عملیات Decryption در نرم‌افزار پاسخ‌دهنده است. نفوذگر می‌تواند با استفاده از یک متن رمزنگاری شده خاص که برای فرستادن به دستگاه دارای پروتکل IKEv۱ طراحی شده‌است، اطلاعات مربوط به رمزنگاری RSA استفاده شده در آن پروتکل را به دست بیاورد. همچنین نفوذگر می‌تواند با بازآوری IKEv۱ Nonces ها، دیتاهای رمزنگاری رد و بدل شده توسط پروتکل IPSec را که در اغلب ساختارهای VPN مورد استفاده قرار می‌گیرد رمزگشایی کنند.

توصیه اکیدبه مدیران شبکه درسازمان‌هاوشرکت‌ها می‌شودکه سریعاًدستگاه‌های خودرا که شامل این آسیب‌پذیری می‌شودبه‌روز رسانی کنند.

 

 

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

منبع خبر: افتانا (پایگاه خبری امنیت فناوری اطلاعات)

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

منبع خبر: افتانا (پایگاه خبری امنیت فناوری اطلاعات)