☑️مایکروسافت محافظت از حمله Brute-Force روی پروتکل RDP را به ویندوز 11 اضافه کرد.🛡
این ویژگی به صورت پیش فرض در ویندوز 11 Insider Preview builds 22528.1000 و نسخه های جدیدتر فعال خواهد بود. که باعث می شود اکانت بعد از 10 ورود ناموفق به مدت 10 دقیقه غیرفعال شود.
🔻این تنظیمات در ویندوز 10 هم وجود دارد اما به صورت پیش فرض غیرفعال است.
منبع
———————————————————-
🔰#RDP #AmnBAN
این ویژگی به صورت پیش فرض در ویندوز 11 Insider Preview builds 22528.1000 و نسخه های جدیدتر فعال خواهد بود. که باعث می شود اکانت بعد از 10 ورود ناموفق به مدت 10 دقیقه غیرفعال شود.
🔻این تنظیمات در ویندوز 10 هم وجود دارد اما به صورت پیش فرض غیرفعال است.
منبع
———————————————————-
🔰#RDP #AmnBAN
🔻به تازگی جزئیات یک آسیب پذیری در هسته لینوکس منتشر شده است که مشابه Dirty Pipe است. این آسیب پذیری توسط گروهی از محققان دانشگاه Northwestern که با نام DirtyCred شناخته میشود منتشر شده است. این آسیب پذیری باشناسه CVE-2022-2588 باعث افزایش سطح دسترسی مهاجم میشود.
مراحل این آسیب پذیری به شرح زیر است:
- آزادسازی یک unprivileged credential در حال استفاده
- قراردادن privileged credentials در فضای خالی با کمک پراسس هایی مثل mount, su, sshd
- کار کردن به عنوان یک یوزر مجاز!
جزییات فنی بیشتر را در کنفرانس BlackHat2022 و اینجا مشاهده کنید.
———————————————————-
#DirtyCred #CVE-2022-2588
🔗منبع
مراحل این آسیب پذیری به شرح زیر است:
- آزادسازی یک unprivileged credential در حال استفاده
- قراردادن privileged credentials در فضای خالی با کمک پراسس هایی مثل mount, su, sshd
- کار کردن به عنوان یک یوزر مجاز!
جزییات فنی بیشتر را در کنفرانس BlackHat2022 و اینجا مشاهده کنید.
———————————————————-
#DirtyCred #CVE-2022-2588
🔗منبع
🚨در یافته های جدید مشخص شده است که 1/3 بسته هایی که بوسیله PyPI نصب می شوند بعد از دانلود دستورات خودکاری را روی سیستم مقصد اجرا می کنند!
📦این ویژگی نگران کننده در pip/PyPI می تواند باعث اجرای کد روی سیستم توسعه دهندگان پایتون شود.
📋دستور pip install فایل setup.py را اجرا می کند که مهاجم می تواند دستورات مخرب خود را در آن قرار دهند. متاسفانه دستور pip download هم رفتار مشابهی دارد.
👈البته باید توجه داشت که این مشکل زمانی اتفاق می افتد که بسته به جای فایل wheel (.whl) شامل فایل tar.gz باشد.
منبع
#pip #python
➖➖➖➖➖➖
#گروه_امنیت_سایبری_امنبان
🔰 @Amnban
📦این ویژگی نگران کننده در pip/PyPI می تواند باعث اجرای کد روی سیستم توسعه دهندگان پایتون شود.
📋دستور pip install فایل setup.py را اجرا می کند که مهاجم می تواند دستورات مخرب خود را در آن قرار دهند. متاسفانه دستور pip download هم رفتار مشابهی دارد.
👈البته باید توجه داشت که این مشکل زمانی اتفاق می افتد که بسته به جای فایل wheel (.whl) شامل فایل tar.gz باشد.
منبع
#pip #python
➖➖➖➖➖➖
#گروه_امنیت_سایبری_امنبان
🔰 @Amnban
📗راهنمای امن سازی زنجیره تامین (supply chain) برای توسعه دهندگان که توسط
National Security Agency (NSA), Infrastructure Security Agency (CISA) و Office of the Director of National Intelligence (ODNI)
تهیه شده است را از اینجا می توانید دریافت کنید.
National Security Agency (NSA), Infrastructure Security Agency (CISA) و Office of the Director of National Intelligence (ODNI)
تهیه شده است را از اینجا می توانید دریافت کنید.
Forwarded from امن بان فناوری شریف 🇮🇷
🚨 آسیب پذیری Zero-day در پلاگین WPGateway وردپرس
مهاجمان می توانند سایتهای وردپرسی را با استفاده از آسیبپذیری روز صفر در پلاگین WPGateway مورد نفوذ قرار دهند.
این آسیب پذیری با شناسه CVE-2022-3180 از نوع افزایش سطح دسترسی است که به مهاجم اجازه میدهدتا یک کاربر عادی با دسترسیهای مدیریتی اضافه کند.
🔍نحوه تشخیص
1- یک کاربر ادمین ناشناس به وب سایت شما اضافه شده باشد!
2- در لاگ دسترسی وب سایت رسته زیر را مشاهده کنید:
//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1
منبع
———————————————————-
🔰#Wordpress #AmnBAN
مهاجمان می توانند سایتهای وردپرسی را با استفاده از آسیبپذیری روز صفر در پلاگین WPGateway مورد نفوذ قرار دهند.
این آسیب پذیری با شناسه CVE-2022-3180 از نوع افزایش سطح دسترسی است که به مهاجم اجازه میدهدتا یک کاربر عادی با دسترسیهای مدیریتی اضافه کند.
🔍نحوه تشخیص
1- یک کاربر ادمین ناشناس به وب سایت شما اضافه شده باشد!
2- در لاگ دسترسی وب سایت رسته زیر را مشاهده کنید:
//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1
منبع
———————————————————-
🔰#Wordpress #AmnBAN
🚨چند آسیب پذیری بحرانی در WhatsApp وصله شده اند در اولین فرصت آپدیت کنید!
این آسیب پذیریها با شناسه #CVE_202236934 و #CVE_202227492 معرفی شده اند.
این آسیب پذیریها از نوع RCE هستند که به مهاجم اجازه دسترسی به دستگاه و اجرای کد می دهند.
نسخه های آسیب پذیر:
WhatsApp for Android prior to v2.22.16.12
WhatsApp Business for Android prior to v2.22.16.12
WhatsApp for iOS prior to v2.22.16.12
WhatsApp Business for iOS prior to v2.22.16.12
هر دو آسیب پذیری مربوط به تماس تصویری و پخش فایل ویدیویی هستند.
منبع
———————————————————-
🔰#WhatsApp #AmnBAN
این آسیب پذیریها با شناسه #CVE_202236934 و #CVE_202227492 معرفی شده اند.
این آسیب پذیریها از نوع RCE هستند که به مهاجم اجازه دسترسی به دستگاه و اجرای کد می دهند.
نسخه های آسیب پذیر:
WhatsApp for Android prior to v2.22.16.12
WhatsApp Business for Android prior to v2.22.16.12
WhatsApp for iOS prior to v2.22.16.12
WhatsApp Business for iOS prior to v2.22.16.12
هر دو آسیب پذیری مربوط به تماس تصویری و پخش فایل ویدیویی هستند.
منبع
———————————————————-
🔰#WhatsApp #AmnBAN
Forwarded from امن بان فناوری شریف 🇮🇷
🚨مایکروسافت استفاده مهاجمان از دو آسیب پذیری zero-day جدید Exchange Server را تایید کرد.
این آسیب پذیریها روی نسخه های 2013،2016 و 2019 Exchange وجود دارند.
این آسیب پذیریها با شناسه CVE-2022-41040 که از نوع SSRF و CVE-2022-41082 که از نوع RCE است و به مهاجم اجرای دستورات PowerShell از راه دور را میدهد، مشخص شدهاند.
⛱مایکروسافت تایید کرده که دسترسی احراز هویت شده روی سرور آسیب پذیر برای سو استفاده از این آسیب پذیریها لازم است.
منبع
———————————————————-
🔰#Exchange #CVE_2022_41040 #CVE_2022_41082
#AmnBAN
این آسیب پذیریها روی نسخه های 2013،2016 و 2019 Exchange وجود دارند.
این آسیب پذیریها با شناسه CVE-2022-41040 که از نوع SSRF و CVE-2022-41082 که از نوع RCE است و به مهاجم اجرای دستورات PowerShell از راه دور را میدهد، مشخص شدهاند.
⛱مایکروسافت تایید کرده که دسترسی احراز هویت شده روی سرور آسیب پذیر برای سو استفاده از این آسیب پذیریها لازم است.
منبع
———————————————————-
🔰#Exchange #CVE_2022_41040 #CVE_2022_41082
#AmnBAN
Forwarded from امن بان فناوری شریف 🇮🇷
🔊مایکروسافت روز گذشته راهکار موقت برای آسیب پذیریهای مهم CVE-2022-41040 و CVE-2022-41082 که با نام #ProxyNotShell شناخته میشوند را به روزرسانی کرد که پست قبلی هم با این به روزرسانی به روز شد.
🔦دوستانی که از راهکار 1️⃣ استفاده میکنند باید آپدیت کنند برای راهکار 2️⃣ اسکریپت جدید دانلود شود و برای راهکار 3️⃣ رولها طبق روش جدید ایجاد شوند.
🔦دوستانی که از راهکار 1️⃣ استفاده میکنند باید آپدیت کنند برای راهکار 2️⃣ اسکریپت جدید دانلود شود و برای راهکار 3️⃣ رولها طبق روش جدید ایجاد شوند.
Forwarded from امن بان فناوری شریف 🇮🇷
⁉️انتشار نسخه آلوده مرورگر Tor از طریق یوتیوب
یک کانال پرطرفدار یوتیوب چینی زبان با بیش از 180 هزار مشترک اقدام به انتشار یک نسخه آلوده شده از Tor کرده بود.
لینک دانلود این نسخه که مخصوص نصب روی ویندوز بوده به عنوان توضیح در زیر یک ویدیو قرار گرفته بود. این ویدیو تا کنون 64 هزار بازدید داشته است.🤦♀️
مشخصات Hashفایل نصب آلوده:
MD5:9AABCABABD5B677813589F7154302EE0
SHA1:7E8B9D2BD32B3AEA0E298B509D3357D4155AF9BC
آدرس سرور C&C بدافزار: torbrowser[.]io
منبع
———————————————————-
😢متاسفانه این روزها در کشور ما هم با محدودیتهای اعمال شده روی اینترنت آمار نصب این چنین بدافزارهایی به شدت افزایش پیدا کرده چون کاربران ما به دلیل نداشتن تمایل و امکان پرداخت ارزی از نسخههای رایگان دانلودی از منابع غیرمعتبر استفاده می کنند که عمدتا آلوده هستند و در نهایت منجر به آلودگی زیادی در سطح کشور خواهند شد.
امیدواریم مسئولین با همفکری عزیزان متخصص راهکاری درست و منطقی برای این موضوع پیدا کنند. 🇮🇷
———————————————————-
🔰#AmnBAN
#OnionPoison #Tor #فیلترینگ
یک کانال پرطرفدار یوتیوب چینی زبان با بیش از 180 هزار مشترک اقدام به انتشار یک نسخه آلوده شده از Tor کرده بود.
لینک دانلود این نسخه که مخصوص نصب روی ویندوز بوده به عنوان توضیح در زیر یک ویدیو قرار گرفته بود. این ویدیو تا کنون 64 هزار بازدید داشته است.🤦♀️
مشخصات Hashفایل نصب آلوده:
MD5:9AABCABABD5B677813589F7154302EE0
SHA1:7E8B9D2BD32B3AEA0E298B509D3357D4155AF9BC
آدرس سرور C&C بدافزار: torbrowser[.]io
منبع
———————————————————-
😢متاسفانه این روزها در کشور ما هم با محدودیتهای اعمال شده روی اینترنت آمار نصب این چنین بدافزارهایی به شدت افزایش پیدا کرده چون کاربران ما به دلیل نداشتن تمایل و امکان پرداخت ارزی از نسخههای رایگان دانلودی از منابع غیرمعتبر استفاده می کنند که عمدتا آلوده هستند و در نهایت منجر به آلودگی زیادی در سطح کشور خواهند شد.
امیدواریم مسئولین با همفکری عزیزان متخصص راهکاری درست و منطقی برای این موضوع پیدا کنند. 🇮🇷
———————————————————-
🔰#AmnBAN
#OnionPoison #Tor #فیلترینگ
Forwarded from امن بان فناوری شریف 🇮🇷
🚨محققان در مورد جاسوس افزاری به نام RatMilad هشدار دادند!
📱این بدافزار جدید موبایل که با نام RatMilad شناخته میشود کاربران خاورمیانه را هدف قرار داده است و دارای قابلیتهای پیشرفتهای مانند:
- گرفتن عکس و ویدیو و ضبط صدا
- ارسال آخرین مکان GPS
- خواندن پیامها و لاگ تماسها
- آپلود فایل
- حذف فایلها و .... است.
این بدافزار اولین بار درقالب تبلیغات برنامهای با عنوان Text Me در یک برنامه VPN مشاهده شد که با نصب این اپ قابلیت گرفتن شماره مجازی برای فعال سازی سرویسهایی مانند تلگرام و واتس اپ را خواهید داشت.
نسخه به روز شده Text Me با عنوان NumRent منتشر شده است.
این برنامه از طریق شبکههای اجتماعی مانند تلگرام منتشر شده است.
سرورهای برنامه:
http[://]textme[.]network
api[.]numrent[.]shop
اسمهای برنامه:
com.example.confirmcode
com.example.confirmcodf
com.example.confirmcodg
منبع
———————————————————-
🔰#AmnBAN
#RatMilad #Android
📱این بدافزار جدید موبایل که با نام RatMilad شناخته میشود کاربران خاورمیانه را هدف قرار داده است و دارای قابلیتهای پیشرفتهای مانند:
- گرفتن عکس و ویدیو و ضبط صدا
- ارسال آخرین مکان GPS
- خواندن پیامها و لاگ تماسها
- آپلود فایل
- حذف فایلها و .... است.
این بدافزار اولین بار درقالب تبلیغات برنامهای با عنوان Text Me در یک برنامه VPN مشاهده شد که با نصب این اپ قابلیت گرفتن شماره مجازی برای فعال سازی سرویسهایی مانند تلگرام و واتس اپ را خواهید داشت.
نسخه به روز شده Text Me با عنوان NumRent منتشر شده است.
این برنامه از طریق شبکههای اجتماعی مانند تلگرام منتشر شده است.
سرورهای برنامه:
http[://]textme[.]network
api[.]numrent[.]shop
اسمهای برنامه:
com.example.confirmcode
com.example.confirmcodf
com.example.confirmcodg
منبع
———————————————————-
🔰#AmnBAN
#RatMilad #Android
Forwarded from امن بان فناوری شریف 🇮🇷
#موقت #آپدیت شده
📌راهکار موقت مایکروسافت برای دو آسیب پذیری مهم CVE-2022-41040 و CVE-2022-41082 که در پست قبلی معرفی شدند.
راهکار1️⃣1: برای کاربرانی که Exchange Server Emergency Mitigation Service (EMS) برای آنها فعال است مایکروسافت یک URL Rewrite mitigation برای Exchange Server 2016 و 2019 منتشر کرده که به صورت خودکار فعال می شود. اطلاعات بیشتر
راهکار2️⃣: استفاده از اسکریپت URL Rewrite که مایکروسافت آماده کرده است.
راهکار3️⃣: انجام مراحل زیر در IIS Manager:
1. Open IIS Manager.
2. Select Default Web Site.
3. In the Feature View, click URL Rewrite.
4. In the Actions pane on the right-hand side, click Add Rule(s)…
5. Select Request Blocking and click OK.
6. Add the string “(?=.*autodiscover\.json)(?=.*powershell)” (excluding quotes).
7. Select Regular Expression under Using.
8. Select Abort Request under How to block and then click OK.
9. Expand the rule and select the rule with the pattern: (?=.*autodiscover\.json)(?=.*powershell) and click Edit under Conditions.
10. Change the Condition input from {URL} to {UrlDecode:{REQUEST_URI}} and then click OK.
توجه: اگر نیاز به ویرایش Ruleای دارید بهتر است آن Rule حذف شود و دوباره ایجاد شود.
منبع
———————————————————-
🔰#Exchange #ProxyNotShell #CVE_2022_41040 #CVE_2022_41082
#AmnBAN
📌راهکار موقت مایکروسافت برای دو آسیب پذیری مهم CVE-2022-41040 و CVE-2022-41082 که در پست قبلی معرفی شدند.
راهکار1️⃣1: برای کاربرانی که Exchange Server Emergency Mitigation Service (EMS) برای آنها فعال است مایکروسافت یک URL Rewrite mitigation برای Exchange Server 2016 و 2019 منتشر کرده که به صورت خودکار فعال می شود. اطلاعات بیشتر
راهکار2️⃣: استفاده از اسکریپت URL Rewrite که مایکروسافت آماده کرده است.
راهکار3️⃣: انجام مراحل زیر در IIS Manager:
1. Open IIS Manager.
2. Select Default Web Site.
3. In the Feature View, click URL Rewrite.
4. In the Actions pane on the right-hand side, click Add Rule(s)…
5. Select Request Blocking and click OK.
6. Add the string “(?=.*autodiscover\.json)(?=.*powershell)” (excluding quotes).
7. Select Regular Expression under Using.
8. Select Abort Request under How to block and then click OK.
9. Expand the rule and select the rule with the pattern: (?=.*autodiscover\.json)(?=.*powershell) and click Edit under Conditions.
10. Change the Condition input from {URL} to {UrlDecode:{REQUEST_URI}} and then click OK.
توجه: اگر نیاز به ویرایش Ruleای دارید بهتر است آن Rule حذف شود و دوباره ایجاد شود.
منبع
———————————————————-
🔰#Exchange #ProxyNotShell #CVE_2022_41040 #CVE_2022_41082
#AmnBAN