تكريم منسقي محو الأمية بجامعة المنصورة وفرع الهيئة بالدقهلية تقديراً لجهودهم المتميزة

أمن المعلومات - التزييف العميق "Deepfakes"

 نرصد في هذا المقال مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

  أهم الأخبار:

البيت الأبيض يسعى للحصول على 10.9 مليارات دولار لتمويل الأمن السيبراني.

مايكروسوفت تكشف عن برامج ضارة صينية تهاجم أجهزة الكمبيوتر التي تعمل بنظام Windows.

الهجوم على Google Play بواسطة Sharkbot Info-Stealer AV Solution.

مجرمون يستخدمون رسائل صوتية خادعة عبر WhatsApp لسرقة بيانات الاعتماد الخاصة بك.

الولايات المتحدة تحذر من قراصنة APT الذين يستهدفون أنظمة ICS / SCADA ببرامج ضارة متخصصة.

مخاطر وثغرات:

ثغرة خطيرة في Windows RPC تُثير المخاوف ويجب التصحيح الآن.

VMware تصدر تصحيحات حرجة لثغرات أمنية جديدة تؤثر على منتجات متعددة.

تحديث Google Chrome مطلوب بشكل عاجل لمليارات المستخدمين بعد اكتشاف ثغرة أمنية حرجة.

العديد من نقاط الضعف تسمح بتعطيل منتجات Palo Alto Networks.

عيوب HP Teradici PCoIP الحرجة تؤثر على 15 مليون جهاز.

معلومة أمنية:

التزييف العميق Deepfakes

مقتطفات من أهم الأحداث الخاصة بأمن المعلومات محليًا وعالميًا

البيت الأبيض يسعى للحصول على 10.9 مليارات دولار لتمويل الأمن السيبراني

29 مارس 2022

طلبت خطة ميزانية الرئيس جو بايدن لعام 2023 مبلغ 10.9 مليارات دولار أمريكي لتمويل الأمن السيبراني المدني - بزيادة قدرها 11% عن اقتراح العام الماضي.

وتقترح الخطة تخصيص 682 مليون دولار لأوكرانيا لمساعدتها في التعامل مع العدوان الروسي. على وجه التحديد، وتلبية الاحتياجات الناشئة المتعلقة بالأمن، والطاقة، وقضايا الأمن السيبراني، والمعلومات المضللة، واستقرار الاقتصاد الكلي، ومرونة المجتمع المدني.

من المفترض أن يساعد التمويل في حماية البنية التحتية الفيدرالية ضد الهجمات الإلكترونية، وتحسين أمن الانتخابات، بالإضافة إلى "الحفاظ على قدرات الأمن السيبراني المهمة؛ توسيع حماية الشبكة في جميع أنحاء السلطة التنفيذية؛ وتعزيز قدرات الدعم، مثل تطبيقات الأعمال السحابية والتحليلات المحسّنة ومشاركة أصحاب المصالح ".

تشمل الميزانية أيضًا 215 مليون دولار مخصصة لحماية أنظمة الوكالات الحساسة، و10 ملايين دولار لتعزيز " القوى العاملة الوطنية للأمن السيبراني".

يأتي الطلب بعد إعلان إدارة بايدن أن الولايات المتحدة ستنظر في جميع الخيارات لحماية الدولة من مجرمي برامج الفدية. في غضون ذلك، يستمر صدى المخاوف المتزايدة بشأن الهجمات الإلكترونية المتزايدة.

وفيما يخص هذا الشأن قال "مايكل دانيال"، منسق الأمن السيبرانى في البيت الأبيض سابقا، لصحيفة واشنطن بوست "هذه صورة أعتقد أنها ترسل إشارة قوية جدًا إلى أن الأمن السيبراني لا يزال يمثل أولوية لهذه الإدارة، وهم يرغبون في دعم أوامرهم التنفيذية ووثائق سياستهم بزيادة التمويل في ميزانية الأمن السيبرانى"

كما ذكرت صحيفة بوليتيكو أن البيت الأبيض طلب 813 مليار دولار للدفاع الوطني، بزيادة قدرها 30 مليار دولار عن طلب العام الماضي.

مايكروسوفت تكشف عن برامج ضارة صينية تهاجم أجهزة الكمبيوتر التي تعمل بنظام Windows

13 أبريل 2022

برنامج ضار جديد يستخدم تقنية البقاء داخل بيئات Windows المخترقة بعد الوصول إليها. تم نسب هذا البرنامج الضار إلى مجموعة القرصنة الإلكترونية Hafnium المدعومة من الصين.

يقال إن تلك المجموعة استهدفت كيانات في قطاعات الاتصالات ومزودي خدمة الإنترنت وخدمات البيانات من أغسطس 2021 إلى فبراير 2022، التي لوحظ خلال هجماتها استغلال ثغرات Zero-Days في خوادم Microsoft Exchange في مارس 2021.

وصف مركز استخبارات التهديدات التابع لمايكروسوفت (MSTIC)، الذي أطلق على هذا البرنامج الخبيث اسم "Tarrask"، بأنه أداة تخلق مهامًا "مخفية" scheduled tasks على النظام. قال الباحثون إن "إساءة استخدام تلك المهام هي طريقة شائعة جدًا للتهرب من الحماية والبقاء داخل بيئة النظام المخترق.

على الرغم من أن مجموعة Hafnium هي الأكثر شهرة في هجمات Exchange Server، فقد استفادت منذ ذلك الحين من ثغرات Zero-Days غير المصححة لإسقاط البرامج الضارة الأخرى، بما في ذلك Tarrask.

قال الباحثون إنه "في هذا السيناريو، يقوم التهديد بإنشاء 'scheduled task' باسم 'WinUpdate' عبر HackTool: Win64 / Tarrask من أجل إعادة إنشاء أي اتصالات مقطوعة إلى البنية التحتية للقيادة والتحكم (command-and-control C&C) الخاصة بهم".

وأوضح الباحثون أن "تشير الهجمات إلى أن مجموعة Hafnium تُظهر فهمًا فريدًا لنظام Windows الفرعي ويستخدم هذه الخبرة لإخفاء الأنشطة على الأجهزة المستهدفة للحفاظ على البقاء داخل الأنظمة المتأثرة والاختباء من برامج الكشف".

في الآونة الأخيرة، قامت Malwarebytes بطريقة "بسيطة ولكنها فعالة" التي اعتمدها برنامج ضار يسمى Colibri والتي تضمنت اختيار scheduled tasks للنجاة من عمليات إعادة تمهيد الجهاز وتنفيذ الأكواد الضارة.

الهجوم على Google Play بواسطة Sharkbot Info-Stealer AV Solution

8 أبريل 2022

أزالت شركة Google ستة تطبيقات ضارة مختلفة خاصة بـنظام Android تستهدف بشكل أساسي المستخدمين في المملكة المتحدة وإيطاليا والتي تم تثبيتها نحو 15000 مرة.

وجد الباحثون أن برنامج Sharkbot الخبيث السارق للمعلومات على نظام Android يكمن في متجر Google Play تحت غطاء برامج مكافحة الفيروسات (AV).

أثناء تحليل التطبيقات المشبوهة في متجر التطبيقات Google Play، وجد فريق Check Point Research (CPR) ما يُزعم أنه برامج AV(Anti-Virus) أصلية تقوم بتنزيل البرامج الضارة وتثبيتها، والتي تسرق بيانات الاعتماد والمعلومات المصرفية من أجهزة Android ولكن لديها أيضًا مجموعة من الميزات الفريدة الأخرى.

كتب الباحثان في CPR أليكس شامسور ورامان لادوتسكا «يقوم Sharkbot بخداع الضحايا لإدخال بيانات اعتمادهم في نوافذ تحاكي نماذج مدخلات الاعتماد المعتادة». «عندما يدخل المستخدم بيانات الاعتماد في هذه النوافذ، يتم إرسال البيانات المخترقة إلى خادم ضار».

اكتشف الباحثون ستة تطبيقات مختلفة - بما في ذلك تطبيقات تسمى Atom Clean-Booster وAntivirus؛ Antivirus Super Cleaner؛ وCenter Security-Antivirus – عاملين بذلك على نشر Sharkbot الضار. جاءت التطبيقات من ثلاثة حسابات للمطورين - Zbynek Adamcik وAdelmio Pagnotta وBingo Like Inc. حيث ظهر Sharkbot لأول مرة في نوفمبر 2021.

كتب الباحثون: "تمت إزالة بعض التطبيقات المرتبطة بهذه الحسابات من Google Play، لكنها لا تزال موجودة في الأسواق غير الرسمية". حيث أفادوا بأن Google أزالت التطبيقات المخالفة، ولكن ليس قبل تنزيلها وتثبيتها نحو 15000 مرة.

قال باحثون إن باحثي CPR قاموا بتحليل Sharkbot واكتشفوا ليس فقط التكتيكات النموذجية لسرقة المعلومات، ولكن أيضًا بعض الخصائص التي تميزه عن البرامج الضارة لنظام Android. وقالوا إنه يتضمن ميزة تحديد المواقع الجغرافية التي تختار المستخدمين على أساس المناطق الجغرافية، وتجاهل المستخدمين من الصين والهند ورومانيا وروسيا وأوكرانيا أو بيلاروسيا.

كما لاحظ الباحثون أن Sharkbot يضم أيضًا بعض التقنيات الذكية: "إذا اكتشف البرنامج الضار أنه يعمل في sandbox، فإنه يوقف التنفيذ وينسحب".

قال الباحثون إن السمة المميزة الأخرى للبرامج الضارة هي أنها تستخدم خوارزمية Domain Generation Algorithm - DGA، وهو جانب نادرًا ما يستخدم في البرامج الضارة لمنصة Android.

بشكل عام، تنفذ Sharkbot 22    أمرًا يسمح بتنفيذ العديد من الإجراءات الضارة على جهاز Android الخاص بالمستخدم، بما في ذلك: طلب إذن لإرسال رسائل SMS؛ إلغاء تثبيت تطبيقات معينة؛ إرسال قائمة جهات اتصال الجهاز إلى الخادم؛ تعطيل تحسين البطارية بحيث يمكن تشغيل Sharkbot في الخلفية.

 مجرمون يستخدمون رسائل صوتية خادعة عبر WhatsApp لسرقة بيانات الاعتماد الخاصة بك

4 أبريل 2022

قام ممثلو التهديدات باستخدام رسائل صوتية خادعة على WhatsApp لاستهداف ما يقرب من 28 ألف بريد وسرقة بيانات اعتماد المستخدم.

لاحظ فريق البحث في Armorblox هجوم تصيد احتيالي انتحل إشعارات الرسائل الصوتية من WhatsApp على عملاء متعددين عبر Office 365 وGoogle Workspace.

كانت رسائل البريد الإلكتروني الضارة تحمل عنوان "رسالة صوتية واردة جديدة"، مما يشير إلى أن الضحية قد تلقى بريدًا صوتيًا خاصًا جديدًا من WhatsApp.

دعا البريد الإلكتروني الضحية إلى النقر فوق الزر "تشغيل" لعرض الرسالة التي تبدو آمنة. يشير بحث Armorblox إلى أن مجال البريد الإلكتروني (mailman.cbddmo.ru) كان مرتبطًا بمركز السلامة على الطرق (the Center for Road Safety) في موسكو، التابع لصفحة وزارة الشؤون الداخلية الروسية.

قال Armorblox: "من الممكن أن يكون المهاجمون قد استغلوا إصدارًا قديمًا أو مهملاً من النطاق الأصلي لهذه المؤسسة لإرسال رسائل بريد إلكتروني ضارة". تم إرسال البريد الإلكتروني من مجال صالح تجاوز أمان البريد الإلكتروني لـ Microsoft وGoogle.

عند النقر على "تشغيل"، تمت إعادة توجيه المستلمين إلى صفحة تحاول تثبيت حصان طروادة. بمجرد دخول الضحية على الصفحة، يُطلب منهم التأكيد على أنهم ليسوا روبوتات. إذا نقر الهدف على "سماح"، فسيتم تثبيت البرنامج الضار المصمم لسرقة المعلومات الحساسة.

أشار Armorblox إلى أن هجوم البريد الإلكتروني هذا استخدم سلسلة من التقنيات لتجاوز عوامل تصفية أمان البريد الإلكتروني التقليدية واجتياز اختبارات العين للضحايا من خلال انتحال تطبيق مراسلة معروف وآمن مثل WhatsApp، حاول ممثلو التهديد بناء شعور بالثقة. من خلال إرسال بريد صوتي خادع جعلوا ضحاياهم فضوليين.

كما قال Armorblox: "إن سياق هذا الهجوم يعزز أيضًا تأثير الفضول، وهو التحيز الذي يشير إلى رغبتنا الفطرية في إزالة حالة عدم اليقين ومعرفة المزيد عن شيء ما".

لا يرسل WhatsApp رسائل بريد إلكتروني للإشعارات، ولكن هجوم البريد الإلكتروني يكرر سير العمل الموجودة بالفعل في حياتنا العملية اليومية (الحصول على إشعارات البريد الإلكتروني للبريد الصوتي).

 الولايات المتحدة تحذر من قراصنة APT الذين يستهدفون أنظمة ICS / SCADA ببرامج ضارة متخصصة

13 أبريل 2022

حذرت الحكومة الأمريكية من قيام مجموعات القرصنة الإلكترونية بنشر برامج ضارة متخصصة للحفاظ على الوصول إلى أنظمة التحكم الصناعية (industrial control systems - ICS) وأجهزة التحكم الإشرافي وتجميع البيانات (supervisory control and data acquisition - SCADA).

وقالت عدة وكالات أمريكية في تنبيه: "طور ممثلو Advanced package tool - APT أدوات مخصصة لاستهداف أجهزة ICS / SCADA". "تمكنهم من البحث عن الأجهزة المتأثرة والتغلب عليها والتحكم فيها بمجرد أن ينشئوا نقطة وصول أولية إلى شبكة التكنولوجيا التشغيلية (operational technology - OT)."

تأتي الاستشارة الفيدرالية المشتركة مقدمة من وزارة الطاقة الأمريكية (DoE)، ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ووكالة الأمن القومي (NSA)، ومكتب التحقيقات الفيدرالي (FBI).

تم تصميم الأدوات المخصصة خصيصًا لتمييز وحدات التحكم المنطقية القابلة للبرمجة (PLC) من شركة Schneider Electric وخوادم OMRON Sysmac NEX PLCs وخوادم Open Platform Communications Unified Architecture (OPC UA).

علاوة على ذلك، يُقال إن الممثلين الذين لم يتم الكشف عن أسمائهم يمتلكون قدرات للتسلل إلى الحواسيب الهندسية المستندة إلى Windows عبر شبكات تكنولوجيا المعلومات وشبكات OT.

وقالت الوكالات إن القصد من ذلك هو الاستفادة من الوصول إلى أنظمة ICS لرفع الامتيازات، والتحرك بشكل جانبي داخل الشبكات، وتخريب الوظائف الحيوية الحرجة في الغاز الطبيعي المسال وبيئات الطاقة الكهربائية.

ووصفتها شركة Dragos للأمن السيبراني الصناعي، التي كانت تتعقب البرامج الضارة تحت اسم "PIPEDREAM" منذ أوائل عام 2022، بأنها "إطار عمل لهجوم ICS يمكن للمهاجم الاستفادة منه لإحداث اضطراب، وتدهور، وربما حتى تدمير للنظام وذلك اعتمادًا على الأهداف والبيئة المستهدفة."

كما تتميز PIPEDREAM بمجموعة من خمسة مكونات لتحقيق أهدافها، وتمكينها من إجراء الاستطلاع، والسيطرة على الأجهزة المستهدفة، والتلاعب في تنفيذ وحدات التحكم، وتعطيل PLCs، مما يؤدي بشكل فعال إلى "فقدان الأمان والإتاحة والتحكم في البيئة الصناعية. "

بالتزامن مع الكشف، هناك تقرير آخر من شركة استخبارات التهديدات Mandiant، والتي كشفت عما تسميه "مجموعة من أدوات الهجوم الموجهة لنظام التحكم الصناعي (ICS) الجديدة" التي تستهدف أجهزة التشغيل الآلي للآلات من شنايدر إلكتريك وأومرون.

ومع ذلك، فمن غير الواضح حتى الآن كيف عثرت الوكالات الحكومية وكذلك Dragos وMandiant على البرامج الضارة. تأتي هذه النتائج بعد يوم من قيام شركة الأمن السيبراني السلوفاكية ESET بتفصيل استخدام نسخة مطورة من البرنامج الضار Industroyer في هجوم إلكتروني فاشل موجه ضد مزود طاقة لم يذكر اسمه في أوكرانيا.

للتخفيف من التهديدات المحتملة وتأمين أجهزة ICS وSCADA، تثني الوكالات على المنظمات لفرض المصادقة متعددة العوامل للوصول عن بُعد، وتغيير كلمات المرور بشكل دوري، والبحث المستمر عن المؤشرات والسلوكيات الضارة.

مخاطر و ثغرات أمنية تخص البرمجيات الأكثر استخدامًا وشيوعًا

ثغرة خطيرة في Windows RPC تُثير المخاوف ويجب التصحيح الآن

14 أبريل 2022

قامت Microsoft بإصلاح ثغرة أمنية جديدة في نظام التشغيل Windows RPC والتي تثير مخاوف الباحثين الأمنيين نظرًا لاحتمال تعرضها لهجمات إلكترونية كبيرة وواسعة النطاق بمجرد تطوير أحد استغلال هذه الثغرة. لذلك، تحتاج جميع المؤسسات إلى تطبيق تحديثات أمان Windows في أسرع وقت ممكن.

قامت Microsoft بإصلاح هذه الثغرة الأمنية كجزء من تحديثات أبريل 2022 وصنفتها على أنها "حرجة"، لأنها تسمح بتنفيذ التعليمات البرمجية عن بُعد غير المصرح به من خلال خطأ في بروتوكول اتصال Microsoft Remote Procedure Call (RPC).

هذه الثغرة التي تم تتبعها على أنها RPC CVE-2022-26809. إذا تم استغلالها، فسيتم تنفيذ أي أوامر على نفس مستوى الامتياز الذي يتمتع به خادم RPC، والذي يمتلك في كثير من الحالات أذونات مرتفعة أو أذونات على مستوى النظام، مما يوفر وصولًا إداريًا كاملًا إلى الجهاز الذي تم استغلاله.

تم إطلاق برنامج فك التشفير المجاني لضحايا Yanluowang ransomware بروتوكول Microsoft Remote Procedure Call (RPC) هو بروتوكول اتصال يسمح للبرامج بالتواصل مع بعضها البعض، حتى إذا كانت هذه البرامج تعمل على جهاز آخر.

يسمح RPC للبرامج على الأجهزة المختلفة بالتواصل مع بعضها البعض، مع قيام مضيفي RPC بالاتصال عن بعد عبر منافذ TCP، والمنافذ 445 و135 الأكثر شيوعًا.

بدأ الباحثون بالفعل في تحليل ونشر التفاصيل الفنية حول الثغرة الأمنية، والتي سيستخدمها الباحثون الآخرون والجهات الفاعلة في مجال التهديد لتجميعها معًا في استغلال عملي.

يحذر ويل دورمان، محلل الثغرات الأمنية في CERT / CC، من أنه يجب على جميع المسؤولين حظر المنفذ 445 في محيط الشبكة حتى لا تتعرض الخوادم الضعيفة للإنترنت. من خلال حظر المنفذ 445، حتى لا تكون الأجهزة محمية فقط من جهات التهديد ولكن أيضًا من ديدان الشبكة المحتملة (network worms) التي قد تستغل هذا الاستغلال.

يقول دورمان إنه في هذا الوقت يوجد أكثر من 1.3 مليون جهاز يعرض المنفذ 445 للإنترنت، ويقدم مجموعة هائلة من الأهداف لاستغلالها. ومع ذلك، حتى لو قام المسؤولون بحظر المنفذين 445 و135 في المحيط، فهذا لا يكفي. ما لم يتم تثبيت تحديثات الأمان، ستظل أجهزة الشبكة عرضة للتهديد داخليًا.

نظرًا لأن هذه الثغرة الأمنية مثالية للانتشار سريعا في جوانب وأجزاء الشبكة المختلفة، فمن شبه المؤكد أننا سنرى استخدامها بواسطة عصابات برامج الفدية في المستقبل.

بينما لم يحن الوقت للذعر بشأن هذه الثغرة الأمنية، يحتاج المسؤولون إلى جعل تصحيح هذه الأجهزة أولوية، حيث يمكن إطلاق ثغرة في أي وقت. بمجرد إصدار إحدى الثغرات، عادة ما يستغرق الأمر فقط من جهات التهديد وقتًا قصيرًا لاستخدامه كسلاح في الهجمات.

VMware تصدر تصحيحات حرجة لثغرات أمنية جديدة تؤثر على منتجات متعددة

6 أبريل 2022

أصدرت شركة VMware تحديثات أمنية لتصحيح ثماني ثغرات تغطي بعض منتجاتها، والتي يمكن استغلال بعضها لشن هجمات تنفيذ التعليمات البرمجية عن بُعد. تم تتبعها من CVE-2022-22954 إلى CVE-2022-22961 (درجات CVSS: 5.3 - 9.8)، تؤثر المشكلات على VMware Workspace ONE Access وVMware Identity Manager وVMware vRealize Automation وVMware Cloud Foundation وvRealize Suite Lifecycle Manager.

 

تم تصنيف خمسة من الأخطاء الثمانية على أنها حرجة، واثنان تم تصنيفهما على أنهما مهمان، والآخر متوسط ​​الخطورة وهي كالتالي:

CVE-2022-22954 (درجة CVSS: 9.8) - ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد من جانب الخادم والتي تؤثر على VMware Workspace ONE Access and Identity Manager

CVE-2022-22955 & CVE-2022-22956 (درجات CVSS: 9.8) - ثغرات أمنية تسبب تتجاوز المصادقة في VMware Workspace ONE Access

 CVE-2022-22957 & CVE-2022-22958 (درجات CVSS: 9.1) - ثغرات أمنية لتنفيذ التعليمات البرمجية عن بُعد في VMware Workspace ONE Access و Identity Manager و vRealize Automation

 CVE-2022-22959 (درجة CVSS: 8.8) - ثغرة تزوير الطلب عبر المواقع (Cross-site request forgery - CSRF) في VMware Workspace ONE Access و Identity Manager و vRealize Automation

CVE-2022-22960 (درجة CVSS: 7.8) - ثغرة أمنية تسبب تصعيد الامتيازات المحلية في VMware Workspace ONE Access و Identity Manager و vRealize Automation

 CVE-2022-22961 (درجة CVSS: 5.3) - ثغرة أمنية تسبب الكشف عن المعلومات تؤثر على برنامج VMware Workspace ONE Access و Identity Manager و vRealize Automation

 يمكن أن يسمح الاستغلال الناجح لنقاط الضعف المذكورة أعلاه لمهاجم عن بعد بتصعيد الامتيازات إلى مسؤول النظام، والوصول إلى الأنظمة المستهدفة، وتنفيذ التعليمات البرمجية العشوائية عن بُعد، مما يسمح بإمكانية الاستيلاء الكامل على النظام.

وقالت VMware في تنبيه: "يجب تصحيح هذه الثغرة الخطيرة أو التخفيف من حدتها على الفور".

بينما لاحظ مزود خدمات المحاكاة الافتراضية أنه لم ير أي دليل على استغلال الثغرات الأمنية، يوصى بشدة بتطبيق التصحيحات لإزالة التهديدات المحتملة.

حذرت الشركة من أن "الحلول البديلة، على الرغم من كونها مريحة، فإنها لا تزيل الثغرات الأمنية، وقد تؤدي إلى تعقيدات إضافية لا يمكن أن يؤديها التصحيح".

تحديث Google Chrome مطلوب بشكل عاجل لمليارات المستخدمين بعد اكتشاف ثغرة أمنية حرجة

28 مارس 2022

حثت Google المليارات من مستخدمي متصفح Chrome على تحديث التطبيق بعد اكتشاف ثغرة أمنية كبيرة.

يحتوي متصفح الويب الأكثر شيوعًا في العالم على ثغرة "zero-day"، مما يعني أنه تم اكتشافه قبل أي إصلاح أمني لحماية الأشخاص.

وهذا يجعلها أخطر أشكال المخاطر السيبرانية، حيث يستطيع المتسللون الاستفادة منها أثناء انتظار المستخدمين لتطبيق التصحيح.

يؤثر خطأ Google Chrome على أي شخص يستخدم المتصفح على أنظمة تشغيل سطح مكتب Windows أو Mac أو Linux.

التحديث، يحتوي على 11 إصلاحًا أمنيًا للثغرات الأمنية، مع تسعة منها أعطيت مستوى تهديد "مرتفع" وواحد بمستوى تهديد "متوسط" والآخر "حرج".

لتحديث متصفح Chrome، يُنصح المستخدمون بالنقر فوق النقاط الثلاث في الزاوية اليمنى العليا من متصفح الويب واتباع التعليمات للتحديث.

وأفادت شركة Microsoft أن تلك الثغرة أثرت أيضًا على متصفح Edge الخاص بها، مما دفع عملاق البرمجيات إلى إصدار إصلاح أمني خاص به.

كما أصدرت Google معلومات محدودة فقط حول الثغرة الأمنية في محاولة لمنع المتسللين من استخدامها لتنفيذ هجمات إلكترونية.

وصرحت الشركة في منشور يوضح بالتفصيل المشكلة: "قد يتم تقييد الوصول إلى تفاصيل الأخطاء والروابط حتى يتم تحديث غالبية المستخدمين بإصلاح".

العديد من نقاط الضعف تسمح بتعطيل منتجات Palo Alto Networks

14 أبريل 2022

أبلغت شركة الأمن السيبراني Palo Alto Networks العملاء بالعديد من نقاط الضعف التي قد تسمح لمستخدم ضار بتعطيل منتجاته

قام باحث أمني يستخدم اللقب “mr.d0x” عبر الإنترنت بإبلاغ الشركة أنه يمكن تجاوز Cortex XDR Agent الخاص بها من قبل مهاجم بامتيازات مرتفعة.

اكتشف الباحث أنه يمكن تعطيل agent بواسطة مهاجم محلي بامتيازات administrator ببساطة عن طريق تعديل registry key، مما يترك endpoint عرضة للهجمات. حيث إن خاصية anti-tampering للمنتج غير قادرة على منع استخدام هذه الطريقة.

اكتشف Mr.d0x أيضًا أن هناك "كلمة مرور افتراضية لإلغاء التثبيت" إذا لم يتم تغييرها من قبل Admin -فيمكن استخدامها أيضًا لتعطيل agent XDR.

وأنه إذا تم تغيير كلمة المرور الافتراضية، فيمكن الحصول على (Password hash) الجديدة من ملف. يمكن للمهاجم بعد ذلك محاولة كسر كلمة المرور. قد يكون من الممكن أيضًا للمهاجم الذي ليس لديه امتيازات المسؤول (admin privilege) الحصول على هذه التجزئة (hash).

قال “mr.d0x” إنه اكتشف نقاط الضعف هذه في صيف عام 2021، لكنه نشر الآن فقط منشور مدونة يشرح بالتفصيل النتائج لإعطاء البائع (Vendor)الوقت الكافي لاتخاذ الإجراءات اللازمة. ومع ذلك، لا تزال Palo Alto Networks تعمل على التصحيحات والحماية لهذه المشكلات. كما أوضح أنه "من المهم للحلول الأمنية تنفيذ حماية مناسبة ضد العبث لتجنب استهداف المهاجمين". "علاوة على ذلك، لا ينبغي أن يكون الحصول على بيانات اعتماد أو امتيازات يمكنها تعطيل الحل الأمني أمرًا بسيطًا."

أبلغت شركة الأمن السيبراني العملاء أيضًا عن ثغرة أمنية في حجب الخدمة (denial-of-service  DoS) تؤثر على خاصيةProxy   DNS في برنامج PAN-OS الخاص بها. يمكن لمهاجم man-in-the-middle (MitM) استخدام حركة المرور المصممة خصيصًا لتعطيل جدران الحماية (Firewalls) المتأثرة. تتوفر التصحيحات لجميع الإصدارات المدعومة من PAN-OS.

يمكن لمهاجم MitM أيضًا شن هجوم DoS ضد PAN-OS، وتطبيق Global Protect، وCortex XDR agent من خلال استغلال ثغرة OpenSSL التي تم تصحيحها مؤخرًا والتي تم تتبعها على أنها

 CVE-2022-0778.

تقول Palo Alto Networks إنها ليست على علم بأي هجمات تستغل هذه الثغرات الأمنية. حيث إن كل العيوب لها تصنيف شدة "متوسط" أو "منخفض" أو "إعلامي".

قامت Palo Alto Networks بتحديث استشاريها بشأن المشكلة التي تتضمن تعديلات على registry Windows لتوضيح أن العبث سيؤدي أيضًا إلى عدم توافر خدمات النظام المهمة، مما يؤدي إلى تعطيل الاستخدام العادي. يتم تعطيل agent Cortex XDR وتصبح خدمات النظام هذه غير متوفرة بعد إعادة تشغيل الجهاز.

عيوب HP Teradici PCoIP الحرجة تؤثر على 15 مليون جهاز

12 أبريل 2022

تحذر HP من ثغرات أمنية خطيرة جديدة في Teradici PCoIP client and agent لأنظمة Windows وLinux وmacOS التي تؤثر على 15 مليون جهاز.

اكتشفت الشركة العملاقة لبيع الحواسيب والبرامج أن Teradici قد تأثر بخلل تحليل شهادة OpenSSL الذي تم الكشف عنه مؤخرًا والذي يتسبب في حجب الخدمة، بالإضافة الى ثغرات أمنية أخرى متعددة في Expat.

Teradici PCoIP (PC over IP) هو بروتوكول الوصول لسطح مكتب عن بعد remote desktop مملوك ومرخص للعديد من بائعي منتجات المحاكاة الافتراضية virtualization product، حصلت عليه HP في عام 2021، واستخدمت في منتجاتها الخاصة منذ ذلك الحين.

وفقًا للموقع الرسمي، يتم نشر منتجات Teradici PCoIP في 15 مليون جهاز، ودعم الوكالات الحكومية، والوحدات العسكرية، وشركات تطوير الألعاب، وشركات البث، والمؤسسات الإخبارية، وما إلى ذلك.

كشفت HP عن مجموعة نقاط ضعف في منتجاتها، ثلاثة منها تحمل خطورة حرجة (درجة CVSS v3: 9.8)، وثمانية مصنفة على أنها شديدة الخطورة، وواحد متوسط.

أحد أهم العيوب التي تم إصلاحها هذه المرة هو CVE-2022-0778، وهو خلل في رفض الخدمة في OpenSSL. سينتج عن الخلل حلقة تجعل البرنامج غير مستجيب، ولكن بالنظر إلى التطبيقات والمهام الحرجة للمنتج، فإن مثل هذا الهجوم سيكون مُعطلًا تمامًا لأن المستخدمين لن يكونوا قادرين على الوصول إلى الأجهزة عن بُعد.

لمعالجة جميع المشكلات، يتم حث المستخدمين على التحديث إلى الإصدار 22.01.3 أو أحدث، والذي يستخدم OpenSSL 1.1.1n وlibexpat 2.4.7.

أصدرت HP تحديثات الأمان في 4 و5 أبريل 2022، لذا فأنت آمن إذا قمت بالفعل بتحديث Teradici منذ ذلك الحين.

معلومات للتوعية بأمن المعلومات

التزييف العميق Deepfakes

ما هي تقنية التزييف العميق؟

كلمة "deepfake" هي مزيج من "التعلم العميق" و "المزيف Deepfakes ."هي صور أو مقاطع فيديو أو تسجيلات صوتية مزيفة. في بعض الأحيان يكون الأشخاص الموجودون فيها من صنع الكمبيوتر وهوياتهم مزيفة تبدو وكأنهم أشخاص حقيقيون. في بعض الأحيان يكون الأشخاص حقيقيين، ولكن يتم التلاعب بصورهم وأصواتهم لفعل وقول أشياء لم يفعلوها أو يقولوها. على سبيل المثال، يمكن استخدام فيديو التزييف العميق لإعادة إنشاء أحد المشاهير أو السياسيين وهو يقول شيئًا لم يقله مطلقًا. باستخدام هذه التزييفات النابضة بالحياة للغاية، يمكن للمهاجمين خلق واقع بديل حيث لا يمكنك دائمًا الوثوق بعينيك وأذنيك.

بعض استخدامات التزييف العميق لها أغراض مشروعة، مثل الأفلام التي تعيد الممثلين المتوفين إلى الحياة لإعادة شخصية مشهورة. لكن المهاجمين السيبرانيين بدأوا في الاستفادة من إمكانات التزييف العميق. إنهم ينشرونها لخداع حواسك، حتى يتمكنوا من سرقة أموالك، ومضايقة الناس، والتلاعب بالناخبين أو الآراء السياسية، أو إنشاء أخبار مزيفة. في بعض الحالات، قاموا بإنشاء شركات وهمية مكونة من موظفين مزيفين. يجب أن تكون أكثر حرصًا مما تعتقده عند قراءة الأخبار أو وسائل التواصل الاجتماعي في ضوء هذه الهجمات.

يحذر مكتب التحقيقات الفيدرالي (FBI) من أنه في المستقبل سيكون للتزييف العميق "تأثير أكثر حدة وانتشارًا بسبب مستوى تعقيد الوسائط الاصطناعية المستخدمة." في السطور التالية ستتعلم كيفية اكتشاف علامات التزييف العميق لحماية نفسك من هذه المحاكاة الموثوقة للغاية. في كل شكل من أشكال التزييف العميق - الصور الثابتة والفيديو والصوت – لكل منها مجموعة خاصة به من العيوب التي يمكن أن تكشفها.

الصور الثابتة

التزييف العميق الذي قد تشاهده في الغالب يكون صورة الملف الشخصي المزيفة على وسائل التواصل الاجتماعي. الصورة أدناه هي مثال على التزييف العميق يوجد أسفل الصورة خمسة أدلة مختلفة على أن هذا قد يكون مزيفًا عميقًا. ستلاحظ أن هذه القرائن ليس من السهل تحديدها:

الخلفية: غالبًا ما تكون ضبابية أو ملتوية، وقد تحتوي على إضاءة غير متناسقة مثل الظلال الواضحة التي تشير في اتجاهات مختلفة.

النظارات: انظر عن كثب إلى العلاقة بين الإطارات والذراعين بالقرب من الصدغ. غالبًا ما تحتوي عمليات التزييف العميق على اتصالات غير متطابقة ذات أحجام أو أشكال مختلفة قليلاً.

 العيون: يبدو أن صور Deepfake المستخدمة حاليًا في صور الملف الشخصي المزيفة تبدو وكأنها في نفس المكان في الإطار، مما أدى إلى ما يسميه البعض "التحديق العميق".

  المجوهرات: قد تكون الأقراط غير متبلورة أو ملتصقة بشكل غريب. قد تكون القلائد مغروسة في الجلد.

 الياقات والأكتاف: قد تكون الأكتاف مشوهة أو غير متطابقة. قد تكون الأطواق مختلفة من كل جانب.

الفيديو

طور الباحثون في معهد ماساتشوستس للتكنولوجيا، MIT، قائمة أسئلة لمساعدتك على معرفة ما إذا كان الفيديو حقيقيًا، مشيرين إلى أن تقنية التزييف العميق لا يمكنها غالبًا "تمثيل الفيزياء الطبيعية بشكل كامل" للمشهد أو الإضاءة.

الخدان والجبين: هل يبدو الجلد ناعمًا جدًا أو متجعدًا جدًا؟ هل عمر الجلد مشابه لعمر الشعر والعينين؟

  العيون والحواجب: هل تظهر الظلال في الأماكن التي تتوقعها؟

 النظارات: هل يوجد وهج؟ الكثير من الوهج؟ هل تتغير زاوية الوهج عندما يتحرك الشخص؟

  شعر الوجه: هل يبدو شعر الوجه حقيقيًا؟ قد تضيف تقنية التزييف العميق أو تزيل الشارب أو السوالف أو اللحية.

  شامات الوجه: هل تبدو الشامة حقيقية؟

  الوميض: هل يرمش الشخص بشكل كافٍ أم كثيرًا؟

  حجم الشفاه ولونها: هل يتناسب الحجم واللون مع باقي وجه الشخص؟

الصوت

يقول الباحثون إن تقنيات مثل مخططات الطيف يمكن أن تظهر عندما تكون التسجيلات الصوتية مزيفة. لكن معظمنا لا يمتلك رفاهية محلل الصوت عندما يتصل المهاجم. استمع إلى إيصال رتيب ونبرة أو عاطفة غريبة ونقص في ضوضاء الخلفية. قد يكون من الصعب اكتشاف الصوت المزيف. إذا تلقيت مكالمة فردية من منظمة شرعية، فيمكنك التحقق مما إذا كانت المكالمة حقيقية عن طريق إنهاء المكالمة أولًا ثم إعادة الاتصال بالمنظمة. تأكد من استخدام رقم هاتف موثوق به، مثل رقم الهاتف الموجود بالفعل في قائمة جهات الاتصال الخاصة بك، أو رقم الهاتف المطبوع على فاتورة أو بيان من المؤسسة، أو رقم الهاتف على الموقع الرسمي للمؤسسة.

خاتمة

وأخيرًا يجب التنبيه بأن المهاجمين يستخدمون التزييف العميق من خلال إنشاء حسابات مزيفة على وسائل التواصل الاجتماعي للتواصل أو إنشاء مقاطع فيديو مزيفة للتأثير على الرأي العام. حتى أن البعض يبيعون خدماتهم على شبكة الإنترنت المظلمة حتى يتمكن المهاجمون الآخرون من فعل الشيء نفسه. لا نتوقع منك أن تصبح خبيرًا في التزييف العميق، ولكن إذا قمت بتسليح نفسك بأساسيات التعرف على المنتجات المقلدة، فستكون أفضل بكثير في الدفاع عن نفسك. إذا كنت تشك في اكتشافك لتزييف عميق، فأبلغ موقع الويب أو المصدر الذي يستضيف المحتوى.