الإنترنت المظلم "Dark web"
نرص في هذا المقال مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.
أهم الأخبار:
شركة سامسونج تتعرض لاختراق ضخم يتسبب في تسريب نحو 190 جيجا بايت عبر التليجرام.
مايكروسوفت تعثر على برنامج FoxBlade الضار الذي أصاب أوكرانيا قبل ساعات من الغزو الروسي.
هجوم DDOS الضخم يتسبب في تعطيل مواقع الحكومة الإسرائيلية.
تحذير لمستخدمي Android بوجود تطبيق على متجر google play مزودًا ببرامج ضارة لسرقة كلمة المرور وأضرً بأكثر من 100 ألف مستخدم.
قراصنة يسيئون استخدام أجهزة Mitel لتضخيم هجمات DDoS بمقدار 4 مليارات مرة.
مخاطر وثغرات:
اكتشاف 16 خطأً في الـ firmware المستخدم في أجهزةHP enterprise
شركة Apple تصدر تحديثات لعدد من الثغرات في منتجاتها iOS وmacOS و iPadOS
ثغرات جديدة في BIOS Dell تؤثر على الملايين من أنظمة Inspiron) وVostro وXPS وAlienware)
Microsoft يعالج 71 خطأً من بينها (3 Zero-Day)
يحذر الباحثون من ملف Linux Kernel Dirty Pipe""
معلومة أمنية:
الإنترنت المظلم "Dark Web"
اضغط هنا للتواصل معنا
مقتطفات من أهم الأحداث الخاصة بأمن المعلومات محليًا وعالميًا
شركة سامسونج تتعرض لاختراق ضخم يتسبب في تسريب نحو 190 جيجا بايت عبر التليجرام
8 مارس 2022
صرحت شركة Samsung أن مجموعة إجرامية نجحت بالفعل في اختراق نظام الأمان وسرقة الأكواد البرمجية المتعلقة بتشغيل أجهزة Galaxy الذكية. والخبر السار هو أنه لا يبدو أن بيانات العملاء قد تم اختراقها، مؤكدة أنها لا تتوقع أي تأثير على أعمالها أو عملائها.
المؤكد أن 190 جيجابايت من الأكواد البرمجية السرية قد سُرِقت وتم تسريبها بالفعل، وظهرت أخبار هذا الاختراق الضخم لأول مرة في 4 مارس بعد أن نشرت، مجموعة الابتزاز الإلكتروني المعروفة باسمLapsus$ ، دعابة بخصوص سرقة بيانات Samsung وأنها على وشك تسريبها. كشف موقع Bleeping Computer أن الأكواد التي قيل إنها مسروقة تبلغ 190 جيجابايت، تضمنت أكواد المصدر لتطبيقات موثوقة في بيئة TrustZone للهواتف الذكية.
جاء تأكيد الاختراق أخيرًا، عن طريق بيان صادر إلى Bloomberg، في 7 مارس 2022. وأكد البيان أنه وفقًا للتحليل الأولي، فإن الخرق يتضمن سرقة بعض التعليمات البرمجية من كود المصدر source code المتعلق بتشغيل أجهزة Galaxy، ولكنه لا يتضمن المعلومات الشخصية لعملائها أو موظفيها". وقال أيضًا إنه اعتبارًا من 7 مارس على الأقل، لم تتوقع Samsung"" أي تأثير على أعمالها أو عملائها، وخلصت إلى أن عملاق الهواتف الذكية قد اتخذ تدابير لمنع أي حوادث أخرى مثل هذه.
في الحقيقة، لا يُعرف الكثير عن مجموعةLapsus$ Group . على الرغم من ذلك، ما يمكن قوله هو أن Lapsus$ قد أصاب بعض الأسماء الكبيرة منذ أن تم التقاطه في عام 2020. حيث حدث خرق لوزارة الصحة في البرازيل نُسب إلى تلك المجموعة. وأن Lapsus$ اتبعت نموذج الابتزاز المستخدم بعد هجوم برامج الفدية للمطالبة بالمال لمنع نشر البيانات السرية المسروقة.
وقد قام بهجوم على NVIDIA مؤخرًا، وأكد ذلك في 23 فبراير 2022؛ أثر على موارد تكنولوجيا المعلومات وشمل سرقة بعض المعلومات الخاصة بشركة NVIDIA ومع ذلك، يبدو منذ ذلك الحين أن شهادات توقيع NVIDIA (NVIDIA code-signing certificates) المسروقة تُستخدم بنشاط لمساعدة البرامج الضارة على إصابة أجهزة . Windows
مايكروسوفت تعثر على برنامج FoxBlade الضار الذي أصاب أوكرانيا قبل ساعات من الغزو الروسي
1 مارس 2022
من الجدير بالذكر أن البرامج الضارة التي تتبعها Microsoft مثل FoxBlade هي نفسها التي تم تصنيفها باسم HermeticWiper (المعروف أيضًا باسم KillDisk).
كشفت شركة مايكروسوفت أنها رصدت جولة جديدة من الهجمات الإلكترونية المدمرة الموجهة ضد البنية التحتية الرقمية في أوكرانيا قبل ساعات من شن روسيا أولى ضرباتها الصاروخية.
تضمنت الاختراقات استخدام حزمة برامج ضارة لم يسبق لها مثيل أطلق عليها اسم FoxBlade، وفقًا لمركز معلومات التهديدات العملاق التكنولوجي (MSTIC)، مشيرًا إلى أنه أضاف signatures جديدة إلى خدمة Defender لمكافحة البرامج الضارة للكشف عن الهجوم في غضون ثلاث ساعات من الاكتشاف.
أعلن براد سميث، نائب رئيس شركة مايكروسوفت: "لقد تم استهداف هذه الهجمات الإلكترونية الأخيرة والمستمرة بدقة، ولم نر استخدام تقنية البرمجيات الخبيثة العشوائية التي انتشرت عبر الاقتصاد الأوكراني وخارج حدودها في هجوم NotPetya 2017"وهو برنامج ضار يقوم بتشفير الملفات.
التفاصيل الفنية الإضافية المتعلقة بـ FoxBlade، غير معروفة، لكن Microsoft في تقرير استشاري ذكرت أنه يمكنه استخدام جهاز الكمبيوتر الخاص بك لهجمات رفض الخدمة الموزعة (DDoS) دون علمك.
يأتي هذا الكشف في الوقت الذي استمرت فيه الهجمات الإلكترونية التي تتراوح من malicious data wipers إلى هجمات DDoS على المواقع الإلكترونية الحكومية والمصرفية الأوكرانية، حتى مع تحذير وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) من مثل هذه الهجمات التي يتم استخدامها خارج حدود البلاد.
وقالت CISA: "يمكن أن تشكل البرامج الضارة المدمرة تهديدًا مباشرًا للعمليات اليومية للمؤسسة، مما يؤثر على توافر الأصول والبيانات المهمة". "من المرجح أن تحدث المزيد من الهجمات الإلكترونية التخريبية ضد المنظمات في أوكرانيا وقد تمتد عن غير قصد إلى المنظمات في البلدان الأخرى".
هجوم DDOS الضخم يتسبب في تعطيل مواقع الحكومة الإسرائيلية
15 مارس 2022
تعرض عدد من المواقع الإلكترونية التابعة للحكومة الإسرائيلية إلى هجوم رفض الخدمة الموزع (DDoS)، مما جعل الوصول إلى البوابات الإلكترونية غير متاح لفترة قصيرة من الزمن.
وأفادت مديرية الإنترنت الوطنية الإسرائيلية (INCD) في تغريدة على تويتر: "تم تحديد هجوم DDoS ضد مزود خدمات الاتصالات". ونتيجة لذلك، تم منع الوصول إلى عدة مواقع، من بينها مواقع حكومية، لفترة وجيزة، ثم عادت جميع المواقع إلى نشاطها الطبيعي.
هجوم رفض الخدمة الموزع هو محاولة خبيثة لإعاقة حركة المرور العادية لخادم أو خدمة مستهدفة من خلال إغراق الضحية والبنية التحتية المحيطة بها بفيض من حركة مرور الإنترنت غير المرغوب فيه بواسطة الاستفادة من أجهزة الكمبيوتر وأجهزة إنترنت الأشياء المخترقة كمصادر لحركة مرور الهجوم.
يأتي هذا التطور بعد أن أبلغت شركة مراقبة الإنترنت NetBlocks عن اضطرابات كبيرة مسجلة على شبكات متعددة مقدمة من مزودي الاتصالات الإسرائيليين بيزك وسيلكوم.
لم تعلق مديرية الإنترنت الوطنية الإسرائيلية (INCD) الهجمات على جهة تهديد محددة، لكن الصحف ألمحت إلى احتمال أن يكون الحادث من عمل مجموعة قراصنة تابعة لإيران؛ انتقاما لمحاولة تخريب مزعومة لمحطة فوردو الإيرانية للتخصيب النووي.
ليست هذه هي المرة الأولى التي يتم فيها شن هجمات DDoS ضد البنية التحتية لتكنولوجيا المعلومات الحكومية، ما يمهد مع الحرب الروسية الأوكرانية المستمرة الطريق لسلسلة من حملات DDoS "" على كلا الجانبين.
تحذير لمستخدمي Android بوجود تطبيق على متجر google play مزود ببرامج ضارة لسرقة كلمة المرور وأضر بأكثر من 100 ألف مستخدم
22 مارس 2022
يأتي التطبيق الشهير "Craftsart Cartoon Photo Tools" على متجرGoogle Play، مزودًا ببرنامج ضار، يُعرف باسم. Facestealer
يسرق البرنامج الضار Facestealer بيانات اعتماد تسجيل الدخول، وتحديدًا كلمات المرور، لضحاياه بمجرد وصوله إلى أجهزة أهدافه.
التطبيق، الذي يتظاهر بأنه أداة لتحرير الصور، يسمح لمستخدميه بتحويل صورهم إلى لوحة أو صور كرتونية شبيهة بالرسوم المتحركة، وقد حصل بالفعل على 100,000 عملية تنزيل من متجر. google play
لقد نجح في جذب عدد كبير من المستخدمين لأنه يوفر لهم الكثير من فلاتر الرسوم المتحركة للاختيار من بينها، مما يسمح لهم بنشر نسخة كرتونية من صورهم على منصات وسائل التواصل الاجتماعي الخاصة بهم.
ولكن كما اتضح، فإن ما كان من المفترض أن يكون مجرد تطبيق لتحرير الصور غير ضار من متجر Play يأتي مع برامج ضارة تسرق كلمات المرور.
وفي الوقت نفسه، وفقًا لتحليل حديث لشركة الأمن السيبراني، ""Malwarebytes، فإن التطبيق الضار يطلب من مستخدميه تسجيل الدخول إلى حساباتهم على Facebook قبل أن يتمكنوا من البدء في تحرير صورهم في الرسوم المتحركة الكرتونية.
بعد أن يقوم مستخدم أداة تحرير الصور الضارة بتسجيل الدخول إلى حساب Facebook الخاص به، يقول Malwarebytes إن كود JavaScript يستمر في سرقة بيانات اعتماد تسجيل الدخول، والتي تتضمن كلمة المرور والبريد الإلكتروني.
بعد ذلك، تقود البرمجيات الخبيثة المتسللين إلى الوصول إلى حسابات ضحاياها، مما يسمح لهم بسرقة معلومات وبيانات شخصية مختلفة من حسابات فيسبوك لأهدافهم.
بعض المعلومات المضمنة التي يتم سرقتها هي عناوين IP، وعناوين البريد الإلكتروني، وأرقام الهواتف، وتحويلات الرسائل، وتفاصيل الدفع، من بين بيانات حساسة أخرى.
تجدر الإشارة إلى أن تطبيق تحرير الصور الكرتونية لا يمكن الوصول إليه الآن على متجر Google Play، ولكنه قد لا يزال متاحًا في مكان آخر.
قراصنة يسيئون استخدام أجهزة Mitel لتضخيم هجمات DDoS بمقدار 4 مليارات مرة
9 مارس 2022
لوحظ أن الجهات الفاعلة في مجال التهديد تسيئ استخدام طريقة تضخيم عالية التأثير لشن هجمات رفض الخدمة الموزعة المستمرة (DDoS) لمدة تصل إلى 14 ساعة مع معدل تضخيم قياسي يبلغ 4,294,967,296 : 1.
تم شن هجمات DDoS كبيرة تستهدف مزودي خدمة الإنترنت ذات النطاق العريض والمؤسسات المالية وشركات الخدمات اللوجستية وشركات الألعاب وغيرها من المنظمات، والذي يطلق عليه اسم TP240PhoneHome (CVE-2022-26143)
قال الباحث في Akamai تشاد سيمان في تقرير استشاري مشترك: "تم نشر نحو 2,600 من أنظمة التعاون Mitel MiCollab وMiVoice Business Express التي تعمل PBX-to-Internet gateways بشكل غير صحيح كان المهاجمون يستفيدون بنشاط من هذه الأنظمة لإطلاق هجمات DDoS للتضخيم بأكثر من 53 مليون حزمة في الثانية (packets per second-PPS)".
تتضمن تلك الهجمات DDoS reflection عادةً انتحال عنوان IP للضحية لإعادة توجيه الاستجابات من هدف مثل DNS أو NTP أو خادم CLDAP بطريقة تجعل الردود المرسلة إلى المرسل المخادع أكبر بكثير من الطلبات، مما يؤدي إلى عدم إمكانية الوصول الكامل إلى الخدمة.
يُقال إن أول إشارة للهجمات تم اكتشافها في 18 فبراير 2022 باستخدام أنظمة التعاون MiCollab وMiVoice Business Express من Mitel كـ DDoS reflection، وذلك بفضل التعرض غير المقصود لمرفق اختبار غير مصدق(unauthenticated) على الإنترنت.
"يختلف هذا الهجوم عن معظم منهجيات هجوم تضخيم UDP من حيث إنه يمكن إساءة الاستخدام لشن هجوم DDoS مستمر لمدة تصل إلى 14 ساعة عن طريق حزمة بدء هجوم مخادع واحدة، مما يؤدي إلى معدل تضخيم حزمة إعداد السجل البالغ 4,294,967,296:1".
وأوضح أكاماي أن الهجمات على وجه التحديد تعمل على تسليح برنامج تشغيل يسمى tp240dvr "برنامج تشغيل TP-240" والذي تم تصميمه للاستماع إلى الأوامر الموجودة على UDP port 10074 و "لا يُقصد به التعرض للإنترنت"، مضيفًا "هذا التعرض للإنترنت الذي يسمح في النهاية بإساءة استخدامه".
"يكشف فحص الملف tp240dvr أنه نظرًا لتصميمه، يمكن للمهاجم نظريًا أن يتسبب في قيام الخدمة بإصدار 2,147,483,647 رد على أمر ضار واحد. وكل استجابة تولد حزمتين، مما يؤدي إلى ما يقرب من 4,294,967,294 حزم هجوم مكبرة يتم توجيهها نحو ضحية الهجوم ".
رداً على هذا الاكتشاف، أصدرت Mitel تحديثات البرامج التي تعطل وصول الجمهور إلى تلك الخاصية، بينما وصفت المشكلة بأنها ثغرة في التحكم في الوصول يمكن استغلالها للحصول على معلومات حساسة.
وقالت الشركة: "إن التأثير الجانبي لهجمات تضخيم TP-240 من المحتمل أن يكون مهمًا للمؤسسات التي لديها أنظمة تعاون Mitel MiCollab وMiVoice Business Express المعرضة للإنترنت والتي يتم إساءة استخدامها كمضخمات لهجمات رفض الخدمة الموزعة DDoS".
قد يشمل ذلك قطعًا جزئيًا أو كليًا للاتصالات الصوتية من خلال هذه الأنظمة، بالإضافة إلى تعطيل الخدمة الإضافية بسبب استهلاك سعة النقل.
مخاطر و ثغرات أمنية تخص البرمجيات الأكثر استخدامًا وشيوعًا
اكتشاف 16 خطأً في الـ firmware المستخدم في أجهزة HP enterprise
9 مارس 2022
كشف باحثو الأمن عن أكثر من اثنتي عشرة ثغرة خطيرة تؤثر على UEFI firmware. يمكن للمتسللين استخدام تلك الثغرات لنشر البرامج الضارة وإبقائها غير مكتشفة.
أعلن الباحثون في شركة أمن البرامج الثابتة Binarly أنهم اكتشفوا 16 ثغرة أمنية جديدة شديدة الخطورة في تطبيقات مختلفة لبرامج UEFI firmware.
تؤثر الثغرات الأمنية على العديد من أجهزة HP enterprise مثل، أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية والأجهزة الطرفية.
كما تدعي Binarly أنها تعاونت مع فرق HP وCERT في الكشف، وقامت HP بتصحيح نقاط الضعف.
ومع ذلك، فإن الاكتشاف خطير بشكل خاص لأن العديد من الثغرات الأمنية المكتشفة تعمل ضمن وحدة إدارة النظام
System Management Module - SSM وبيئة التنفيذ Driver Execution Environment - DXM
يتم تنشيط SSM وDXM قبل أنظمة التشغيل، مما يعني أن أي ثغرات أمنية يتم استغلالها في هذه المكونات تتجاوز امتيازات نظام التشغيل ويمكنها تجاوز جميع أشكال الحماية تقريبًا.
من الناحية النظرية، يمكن لممثل التهديد اختراق النظام دون أن يتم اكتشافه تمامًا، ونشر البرامج الضارة باستمرار وحتى البقاء على قيد التشغيل في إعادة تثبيت نظام التشغيل، والـ Secure Boot والأمان القائم على الأنظمة الافتراضية Virtualization-Based Security isolation))
وفقًا لتقرير Binarly حول الثغرات الأمنية، لا يمكن حتى اكتشاف الاستغلال النشط لجميع الثغرات الأمنية المكتشفة بواسطة أنظمة مراقبة البرامج الثابتة.
أصدرت HP تقريرين لإبلاغ عملائها عن نقاط الضعف وكيفية إصلاحها، كما بدأت الشركة أيضًا في إصدار تحديثات البرامج الثابتة للتخفيف من المشكلة.
شركة Apple تصدر تحديثات لعدد من الثغرات في منتجاتها iOS وmacOS و iPadOS
14 مارس 2022
أصدرت شركة Apple تحديثات لما لا يقل عن 39 ثغرة أمنية في نظامها الأساسي iOS / iPadOS، محذرة من الثغرات الخطيرة التي قد تعرض المستخدمين لهجمات تنفيذ التعليمات البرمجية عن بُعد.
بالإضافة إلى تعديلات أمان نظم التشغيل المحمولة iOS / iPadOS))، أصدرت Apple تحديثات البرامج لمعالجة الثغرات الأمنية في macOS (بما في ذلك Catalina وBig Sur وMonterey) وtvOS وWatchOS وiTunes وXcode.
خمسة على الأقل من 39 ثغرة موثقة في iOS / iPad يمكن أن تؤدي إلى هجمات تنفيذ التعليمات البرمجية عن بعد إذا قام مستخدم iPhone بفتح ملف PDF ضار أو عرض محتوى ويب ضار.
وفقًا لاستشارة من Apple، يعالج أحدث إصدار من iOS وiPadOS مشكلات متعددة تتعلق بسلامة الذاكرة في العديد من مكونات نظام التشغيل.
أكثر سلاسل الثغرات الأمنية الموثقة:
Accelerate Framework "CVE-2022-22633"- مشكلة تلف الذاكرة ،قد تؤدي معالجة صورة ضارة إلى تلف الذاكرة.
-ImageIO "CVE-2022-22611" قد تؤدي معالجة صورة ضارة إلى تنفيذ تعليمات برمجية عشوائية.
-WebKit "CVE-2022-22610" مشكلة تلف الذاكرة، قد تؤدي معالجة محتوى الويب الضار إلى تنفيذ التعليمات البرمجية.
CVE-2022-22624" و "CVE-2022-22628 - قد تؤدي معالجة محتوى ويب متطفل إلى تنفيذ تعليمات برمجية عشوائية.
تعمل تحديثات iOS وiPadOS أيضًا على إصلاح عيوب تلف الذاكرة في multiple OS software components.
أصدرت الشركة أيضًا إصدارًا جديدًا من iTunes لنظام التشغيل Windows لتغطية نقاط الضعف الخطيرة في WebKit وImageIO.
ثغرات جديدة في BIOS Dell تؤثر على الملايين من أنظمة Inspiron) وVostro وXPS وAlienware)
22 مارس 2022
تم الكشف عن خمس نقاط ضعف أمنية جديدة في Dell BIOS، والتي إذا تم استغلالها بنجاح، يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية على أنظمة التشغيل Inspiron) وVostro وXPS وAlienware).
قالت شركة أمن البرامج الثابتة Binarly، التي اكتشفت تلك الثغرات: " أنه لا يمكن اكتشاف الاستغلال النشط لجميع الثغرات الأمنية المكتشفة بواسطة أنظمة مراقبة البرامج الثابتة نظرًا لقيود على وحدةTrusted Platform Module - TPM".
وأن جميع الثغرات الأمنية تتعلق بالتحقق من صحة الإدخال غير الصحيحة والتي تؤثر على وضع إدارة النظام (System Management Mode-SMM) للبرنامج firmware، مما يسمح بشكل فعال للمهاجم المصادق عليه بالتمكن من تنفيذ تعليمات برمجية عشوائية
تأثر عدد من منتجات Dell، بما في ذلك Alienware وInspiron وVostro وEdge Gateway 3000 Series، حيث أوصت الشركة المصنعة لأجهزة الكمبيوتر والتي مقرها تكساس العملاء بترقية BIOS الخاص بهم في "أقرب فرصة".
كما أكد باحثون Binarly: " أن الاكتشاف المستمر لهذه الثغرات يظهر ما نصفه بـ " الإخفاقات القابلة للتكرار "فيما يتعلق بنقص التأكد من صحة المدخلات أو، بشكل عام، تنفيذ التعليمات البرمجية غير الآمنة".
"هذه الإخفاقات هي نتيجة مباشرة للتعليمات البرمجية المعقدة أو أكواد دعم البرامج القديمة التي لم يتم تحديثها وتحظى باهتمام أمني أقل، ولكنها لا تزال منتشرة على نطاق واسع. وفي كثير من الحالات، يمكن إصلاح نفس الثغرة الأمنية على تكرارات متعددة، ومع ذلك، ما زالت هناك ثغرات مفتوحة للاستغلال الخبيث ".
Microsoft يعالج 71 خطأً من بينها (3 Zero-Day)
9 مارس 2022
عالجت Microsoft مجموعة من 71 نقطة ضعف مختلفة Vulnerabilities، بما في ذلك 3 عيوب (3 Zero-Day).
تم إصلاح أخطاء Zero-Day هذا الشهر، يتضمن three zero-days التي أصلحتها مايكروسوفت وتحتوي على ثغرة في تنفيذ التعليمات البرمجية عن بُعد في مستخدمي Windows Remote Desktop.
CVE-2022-21990، تلقت تصنيف خطورة مهمًا بدرجة CVSS 8.3. حيث يتطلب استغلال الخطأ فقط من المهاجم لخداع العميل المستهدف للاتصال بخادم RDP ضار.
CVE-2022-24459، وهو خطأ مهم الخطورة يحقق درجة CVSS 7.8، على خدمة الفاكس والمسح الضوئي لـ Windows. قد يؤدي استغلال الخطأ إلى تصعيد الامتيازات.
CVE-2022-24512، وهو خطأ بتنفيذ التعليمات البرمجية عن بُعد في NET و Visual Studio. حيث أدرجتها Microsoft على أنها ثغرة أمنية بالغة الخطورة حصلت على درجة في CVSS تبلغ 6.3.
تحديثات Microsoft Patch
من بين التحديثات المنتظمة في Patch March، قامت Microsoft بإصلاح ثلاث ثغرات خطيرة تؤدي إلى تنفيذ التعليمات البرمجية عن بُعد عند الاستغلال. أثرت هذه الثغرات الأمنية على Microsoft Exchange Server (CVE-2022-23277 وCVSS: 8.8) و VP9 Video Extensions (CVE-2022-24501 و CVSS: 7.8) و HEVC Video Extensions (CVE-2022-22006, CVSS: 7.8).
بالإضافة إلى ذلك، تشتمل جميع الثغرات الأمنية الأخرى على أخطاء بالغة الخطورة تؤدي إلى تصعيد الامتيازات وتنفيذ التعليمات البرمجية عن بُعد والانتحال وكشف المعلومات.
تتضمن بعض الأخطاء الجديرة بالملاحظة:
• CVE-2022-24508: خطأ في تنفيذ التعليمات البرمجية عن بُعد (CVSS 8.8) في Windows SMBv3 Client/Server
• CVE-2022-23266: تصعيد الامتياز (CVSS 7.8) في Microsoft Defender for IoT
• CVE-2022-23285: يؤثر تنفيذ التعليمات البرمجية عن بُعد (CVSS 8.8) علىRemote Desktop Client
• CVE-2022-24464: خطأ في رفض الخدمة denial of service bug (CVSS 7.5) يؤثر على.NET and Visual Studio.
بمجرد إصدار التحديثات، قد يستغرق الأمر بعض الوقت للوصول إلى جميع المستخدمين على مستوى العالم. ومع ذلك، يجب على جميع مستخدمي Windows تحديث أنظمتهم في أقرب وقت ممكن لتجنب أي مخاطر.
يحذر الباحثون من ملف "Linux Kernel Dirty Pipe"
9 مارس 2022
أصدر Linux distributions تصحيحات لمعالجة ثغرة أمنية تم الكشف عنها حديثًا في Kernel والتي قد تسمح للمهاجم بالكتابة فوق البيانات العشوائية في أي ملفات للقراءة فقط والسماح بالاستيلاء الكامل على الأنظمة المتأثرة.
أطلق عليه "Dirty Pipe" (CVE-2022-0847، درجة CVSS: 7.8) بواسطة مطور برامج IONOS" Max Kellermann”، ويؤدي الخلل إلى تصعيد الامتيازات لأن العمليات التي ليس لها صلاحيات يمكن أن تضخ كودًا في عمليات root."
قال Kellermann إن الخلل تم اكتشافه بعد البحث في مشكلة دعم أثارها أحد عملاء السحابة ومزود الاستضافة والتي تتعلق بحالة "فساد فريدة من نوعها" يؤثر على سجلات الوصول إلى خادم الويب.
يقال إن عيب Linux kernel موجود منذ الإصدار 5.8، مع وجود الثغرة الأمنية التي تشبه تلك الموجودة في Dirty Cow (CVE-2016-5195)، والتي ظهرت في أكتوبر 2016.
أوضحت شركة ريد هات في تقرير استشاري: "تم العثور على خلل في الطريقة التي كان بها 'Flags' في هيكل مخزن New Pipe حيث يفتقر إلى التهيئة المناسبة في وظائف copy_page_to_iter_pipe وpush_pipe في Linux kernel وبالتالي يمكن أن يحتوي على قيم قديمة ويمكن لمستخدم محلي local user لا يتمتع بامتيازات والصلاحيات استخدام هذا الخلل في الكتابة في ذاكرة التخزين المؤقت للصفحة المدعومة بالملفات الخاصة للقراءة فقط، وبالتالي تصعيد امتيازاته على النظام".
كلمة Pipe اختصارًا لـ Pipeline، وهي عبارة عن آلية اتصال أحادية الاتجاه بين العمليات يتم فيها ربط مجموعة من العمليات معًا بحيث تأخذ كل عملية مدخلات من العملية السابقة وتنتج مخرجات للعملية التالية.
يتطلب الاستغلال تنفيذ الخطوات التالية: إنشاء pipe، وملء pipe ببيانات عشوائية، وربط البيانات من ملف القراءة فقط المستهدف، وكتابة بيانات عشوائية في pipe، كما أوضح Kellermann في إثبات للمفهوم (proof-of-concept PoC).
ببساطة؛ تعتبر الثغرة الأمنية عالية الخطورة من حيث إنها تسمح للمهاجم بتنفيذ عدد من الإجراءات الضارة على النظام، بما في ذلك العبث بالملفات الحساسة مثل، /etc/passwd لإزالة كلمة مرور المستخدم (root) وإضافة مفاتيح SSH للوصول عن بُعد وحتى التنفيذ (arbitrary binaries) مع أعلى الامتيازات والصلاحيات.
يتضمن الإجراء الضار الآخر الذي تم تمكينه بواسطة Dirty Pipe القدرة على تعديل الملفات في صور الحاوية (container images)، بشرط أن يتمكن أحد المتسللين من الوصول إلى حاوية واحدة single container on the host.
لجعل هذه الثغرة أكثر إثارة للاهتمام، فهي لا تعمل فقط بدون صلاحيات الكتابة، بل تعمل أيضًا مع الملفات غير القابلة للتغيير، وread-only btrfs snapshots، وعلى حوامل القراءة فقط (بما في ذلك حوامل الأقراص المضغوطة) هذا لأن ذاكرة التخزين المؤقت للصفحة قابلة للكتابة دائمًا (بواسطة kernel)، والكتابة إلى pipe لا تتحقق أبدًا من أي صلاحيات.
تم إصلاح المشكلة في إصدارات Linux 5.16.11 و 5.15.25 و 5.10.102. كما قامت Google، بدمج الإصلاحات في Android Kernel.
نظرًا للسهولة التي يمكن بها استغلال الثغرة الأمنية، يوصى بأن يقوم المستخدمون بتحديث خوادم Linux على الفور وتطبيق التصحيحات للتوزيعات الأخرى بمجرد توافرها.
معلومات للتوعية بأمن المعلومات
الإنترنت المظلم "Dark Web"
ربما تكون قد سمعت مصطلح "الإنترنت المظلم" الذي استخدمه بعض الناس أو ربما سمعته في وسائل الإعلام وتساءلت "ما هو الإنترنت المظلم؟" أو "هل يجب أن أفعل أي شيء حيال ذلك؟". نشرح اليوم ما هي شبكة الويب المظلمة وماذا تعني لك.
ما هو الإنترنت المظلم؟
يتكون الإنترنت المظلم من أنظمة على الإنترنت مصممة للتواصل أو مشاركة المعلومات بشكل آمن ومجهول. لا توجد "شبكة ويب مظلمة" واحدة؛ إنه ليس شيئًا مثل Facebook حيث تديره مؤسسة واحدة. بل إنه عبارة عن مجموعات من الأنظمة والشبكات المختلفة التي يديرها أشخاص مختلفون ويستخدمون لأغراض متنوعة. لا تزال هذه الأنظمة متصلة بالإنترنت وتشكل جزءًا منها؛ ومع ذلك، لن تجدهم بشكل عام باستخدام محركات البحث العادية. غالبًا ما تحتاج أيضًا إلى برامج خاصة على جهاز الكمبيوتر الخاص بك للعثور عليها أو الوصول إليها. أحد الأمثلة على ذلك هو مشروع Tor. للوصول إلى شبكة الويب المظلمة هذه، عليك تنزيل متصفح Tor وتثبيته.
عند الاتصال بخوادم الويب باستخدام متصفح Tor، تنتقل حركة المرور المشفرة عبر أجهزة كمبيوتر أخرى باستخدام Tor أيضًا. أثناء التنقل عبر أجهزة الكمبيوتر هذه، يتغير عنوان IP المصدر - مما يعني أنه عندما تصل إلى موقع الويب، يكون نشاطك عبر الإنترنت مجهول الهوية. تتضمن الأمثلة الأخرى للشبكات المظلمة Zeronet وFreenet وI2P.
من يستخدمه؟
مجرمو الإنترنت هم من كبار مستخدمي شبكة الويب المظلمة. لديهم مواقع ويب ومنتديات في Dark Web لتمكين أنشطتهم الإجرامية مثل، شراء المخدرات أو بيع جيجابايت من البيانات المخترقة - كل ذلك بشكل مجهول وآمن. على سبيل المثال، عندما يخترق مجرم إلكتروني بنكًا أو متجرًا للتسوق عبر الإنترنت، فإنه يسرق أكبر قدر ممكن من المعلومات، ثم يبيع هذه المعلومات إلى مجرمي الإنترنت الآخرين على مواقع في الإنترنت المظلم.
هناك أيضًا استخدامات مشروعة لـ Dark Web. على سبيل المثال، يمكن للأشخاص في البلدان التي تنتشر فيها الرقابة استخدام شبكات الويب المظلمة لمشاركة المعلومات ومعرفة ما يحدث في العالم مع حماية خصوصيتهم وعدم الكشف عن هويتهم. يمكن للصحفيين والأشخاص المهتمين بالخصوصية استخدام الإنترنت المظلم لزيادة إخفاء هويتهم وتجاوز الرقابة. بالإضافة إلى ذلك، يمكن للأفراد مثل هؤلاء استخدام تقنيات مثل، متصفح Tor ليس فقط للوصول إلى شبكة الويب المظلمة، ولكن لتصفح الإنترنت بشكل مجهول.
ماذا علىَّ أن أفعل؟
ما لم يكن لديك سبب محدد للوصول إلى Dark Web، فإننا نحذرك من ذلك. تُستخدم بعض مواقع الويب المظلمة لأغراض غير قانونية؛ ستستخدم العديد من المواقع جهاز الكمبيوتر الخاص بك في تحقيق أهدافهم على سبيل المثال هجوم حجب الخدمة الموزعة ((DDOS، وفي بعض الحالات قد يتعرض جهاز الكمبيوتر الخاص بك للاستكشاف أو الهجوم. تقدم بعض الشركات خدمات المراقبة لإعلامك بما إذا كان اسمك أو معلومات أخرى قد سرقها مجرمو الإنترنت وعُثر عليها على شبكة الويب المظلمة. ولكن القيمة الفعلية لهذه الخدمات مشكوك فيها. أفضل طريقة لحماية نفسك هي افتراض أن بعض معلوماتك موجودة بالفعل في Dark Web التي يستخدمها مجرمو الإنترنت. نتيجة لذلك يمكنك القيام بالتالي:
كن متشككًا في أي مكالمات هاتفية أو رسائل بريد إلكتروني تتظاهر بأنها منظمة رسمية وتضغط عليك لاتخاذ إجراء، مثل دفع غرامة أو ضرائب على سبيل المثال. قد يستخدم المجرمون المعلومات التي وجدوها عنك لإنشاء هجوم شخصي.
مراقبة بطاقة الائتمان الخاصة بك وكشوف الحسابات المصرفية؛ ربما حتى إعداد تنبيهات يومية بشأن أي معاملات تحدث. بهذه الطريقة يمكنك اكتشاف ما إذا كان هناك أي احتيال مالي يحدث. إذا اكتشفت ذلك، فأبلغ شركة بطاقة الائتمان أو البنك الذي تتعامل معه على الفور.
ضع تجميدا على درجة الائتمان الخاصة بك. لا يؤثر ذلك على كيفية استخدامك لبطاقتك الائتمانية وهو أحد أكثر الخطوات فعالية التي يمكنك اتخاذها لحماية نفسك من سرقة الهوية.