العدد الأسبوعي رقم 122 - الجمعة 13 أكتوبر 2023
موضوع العدد: كيفية تأمين حساباتك المالية
|
|
|
صباح الخير قراءنا الكرام،
مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.
يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.
|
|
أهم الأخبار
-
Facebook Messenger يتعرض إلى موجة من التصيد الاحتيالي تستهدف 100,000 حساب تجاري أسبوعيًّا.
-
فرض غرامة قدرها 368 مليون دولار أمريكي على TikTok بسبب انتهاكات خصوصية الأطفال.
-
Google تعمل على تمكين الحماية من التصيد الاحتيالي في Chrome للجميع.
-
SONY تحقق في هجوم إلكتروني وتصارع لمعرفة من المسؤول.
-
Amazon ترسل رسائل بريد إلكتروني لطلب بطاقات الهدايا من Mastercard وGoogle Play عن طريق الخطأ.
مخاطر وثغرات
-
تقوم Trend Micro بإصلاح ثغرة zero-day في endpoint protection والتي تم استخدامها في الهجمات.
-
Adobe تنصح بتحديث Acrobat و Reader لإصلاح الثغرة التي يتم استغلالها.
-
Apple تُصلح ثغرتين zero-days في تطبيق iMessage تستخدم لزرع برامج التجسس في iPhones.
-
Google تقوم بتصنيف ثغرة في libwebp بالحد الأقصى من الخطورة.
-
شركة Cisco تحذر من محاولة استغلال ثغرة Zero-day في برامج VPN.
معلومة أمنية
-
كيفية تأمين حساباتك المالية
|
|
مقتطفات لأهم الأحداث الخاصة بأمن المعلومات محليًا وعالميًا
|
|
|
Facebook Messenger يتعرض إلى موجة من التصيد الاحتيالي تستهدف 100,000 حساب تجاري أسبوعيًّا
11 سبتمبر 2023
المهاجمون يستخدمون شبكة ضخمة من حسابات Facebook المزيفة والمصابة لإرسال الملايين من الرسائل الاحتيالية عبر Messenger إلى حسابات الشركات على Facebook بهدف نشر برمجيات خاصة بسرقة كلمات المرور.
المهاجمون يخدعون الأهداف لتنزيل ملف مضغوط RAR/ZIP يحتوي على برنامج تنزيل لبرنامج مهاجم يعتمد على لغة Python ويقوم بسرقة ملفات تعريف الارتباط وكلمات المرور المخزنة في متصفح الضحية.
وفي تقرير جديد من Guardio Labs، يحذر الباحثون من أن واحدًا تقريبًا من كل سبعين حسابًا مستهدفًا قد تعرض للاختراق في نهاية المطاف، مما يترجم إلى خسائر مالية فادحة.
طريقه الاحتيال في Facebook Messenger
يبدأ المهاجمون بإرسال رسائل احتيالية عبر Facebook Messenger إلى حسابات الأعمال على فيسبوك، حيث يتنكرون بأنهم مسؤولون عن حقوق النشر أو طلب المزيد من المعلومات حول منتج ما.
"رسالة احتيالية على ماسنجر"
المرفقات تحتوي على batch file، إذا تم تنفيذه، يجلب برنامجًا ضارًا من مستودعات GitHub.
بالإضافة إلى حمولة (project.py)، يقوم البرنامج النصي أيضًا بجلب بيئة Python مستقلة مطلوبة بواسطة برامج الاختراق لسرقة المعلومات ويضيف استدامة عن طريق ضبط البرنامج الضار لتنفيذه عند بدء تشغيل النظام.
ملف project.py يتضمن خمس طبقات من التمويه؛ مما يجعل من الصعب على محركات مضادة للفيروسات AV engines اكتشاف التهديد.
البرمجية الضارة تقوم بجمع جميع ملفات تعريف الارتباط وبيانات تسجيل الدخول المخزنة في متصفح الضحية في ملف ضغط ZIP بالاسم 'Document.zip'. ثم يتم إرسال هذه المعلومات المسروقة إلى المهاجمين عبر Telegram أو واجهة برمجة التطبيق Discord bot API.
أخيرًا، يقوم برنامج الاختراق بمسح جميع ملفات تعريف الارتباط من جهاز الضحية لتسجيل الخروج من حساباتهم، مما يمنح الاحتياليين وقتًا كافيًا لاختراق الحساب الجديد الذي تم اختراقه بالفعل عن طريق تغيير كلمات المرور.
نظرًا لأنه قد يستغرق وقتًا لا بأس به لشركات وسائل التواصل الاجتماعي للرد على رسائل البريد الإلكتروني المتعلقة بالحسابات المخترقة، فإنه يمنح مهاجمي التهديد وقتًا كافيًا للقيام بأنشطة احتيالية باستخدام الحسابات المخترقة.
على الرغم من أن سلسلة الهجمات ليست جديدة، فإن مدى الحملة التي لاحظتها Guardio Labs مثير للقلق.
يُفيد الباحثون بأنهم يسجلون نحو 100,000 رسالة احتيالية في الأسبوع، تُرسل بشكل رئيس إلى مستخدمي Facebook في أمريكا الشمالية وأوروبا وأستراليا واليابان وجنوب شرق آسيا.
تقارير Guardio Labs تشير إلى أن مدى الحملة واسع لدرجة أن نحو 7% من جميع حسابات الأعمال على Facebook تم استهدافها، مع قيام 0.4% بتنزيل الملف الضار.
لكي تتم الإصابة بالبرمجية الضارة، لا يزال يجب على المستخدمين تنفيذ ملف الدُفعة batch file، لذلك عدد الحسابات التي تم اختراقها غير معروف، لكنه يمكن أن يكون كبيرًا.
تُعزى هذه الحملة إلى المخترقين الفيتناميين بناءً على سلاسل في برمجية الاختراق واستخدام متصفح الويب 'Coc Coc'، الذي يعده الباحثون شائعًا في فيتنام.
هذا البرنامج الضار المعتمد على لغة Python يكشف عن أصل هؤلاء المهاجمين.
الرسالة "Thu Spam lần thứ" التي يتم إرسالها إلى الروبوت على Telegram مع إضافة عداد زمن التنفيذ تترجم من الفيتنامية إلى "اجمع الرسائل المزعجة للوقت X.
المجموعات الفيتنامية المهددة قد استهدفت Facebook بحملات ذات مدى واسع هذا العام، حيث تستفيد من الحسابات المسروقة بشكل رئيس من خلال إعادة بيعها عبر Telegram أو الأسواق على الويب المظلم dark web.
في مايو 2023، أعلنت Facebook أنها قامت بإحباط حملة نشأت في فيتنام استخدمت برمجية جديدة لسرقة المعلومات تُدعى 'NodeStealer' التي تسرق ملفات تعريف الارتباط للمتصفح.
في أبريل 2023، أبلغت Guardio Labs مرة أخرى عن مهاجم فيتنامي استغل خدمة إعلانات Facebook للإصابة بنحو نصف مليون مستخدم ببرمجية سارقة للمعلومات.
|
|
فرض غرامة قدرها 368 مليون دولار أمريكي على TikTok بسبب انتهاكات خصوصية الأطفال
15 سبتمبر 2023
تم تغريم TikTok بمبلغ 345 مليون يورو (368 مليون دولار أمريكي) من قبل الهيئة الأيرلندية لحماية البيانات (Data Protection Commission DPC) بسبب انتهاك خصوصية الأطفال الذين تتراوح أعمارهم بين 13 و17 عامًا أثناء معالجة بياناتهم.
بدأت التحقيقات فيما يتعلق بممارسات معالجة البيانات للشركة في سبتمبر 2021، وركزت على كيفية تعامل TikTok مع بيانات الأطفال من 31 يوليو إلى 31 ديسمبر 2020.
وجدت هيئة حماية البيانات الأيرلندية أن TikTok انتهكت المواد 5(1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1), 13(1)(e), 5(1)(a) من لائحة الاتحاد الأوروبي لحماية البيانات العامة (GDPR).
من بين أكثر الاكتشافات المثيرة للقلق كانت أن إعدادات ملف تعريف TikTok لحسابات الأطفال كانت تفترض رؤية العامة افتراضيًّا، مما يجعل جميع المحتوى المنشور مرئيًّا لأي شخص، داخل المنصة وخارجها.
كما وجد أن ميزة 'Family Pairing' في TikTok، التي تمت مراجعتها أيضًا، كانت بها عيوب، حيث سمحت للمستخدمين غير الأطفال الذين لم يتمكنوا من التحقق من وضعهم كأولياء أمور بربط حساباتهم بحسابات القاصرين الذين تبلغ أعمارهم 16 عامًا وأكثر.
هذا أثار مخاوف جدية بشأن المخاطر المحتملة التي يمكن أن يتعرض لها الأطفال، حيث حصل المستخدم غير القاصر على القدرة على تمكين الرسائل المباشرة.
كما اكتشفت الهيئة الأيرلندية لحماية البيانات أن TikTok لم تقدم معلومات واضحة وكافية لمستخدميها عن الاطفال، مما عرقل قدرتهم على فهم تمامًا ممارسات معالجة البيانات على المنصة.
بالإضافة إلى ذلك، وجدت DPC أن TikTok استخدمت "أنماطًا مظلمة dark patterns" أثناء عملية التسجيل وأثناء نشر الفيديوهات، مما دفع المستخدمين نحو تحديد الخيارات التي تعرض خصوصيتهم للخطر.
وتم تغريم TikTok 345 مليون يورو ومطلوب منه معالجة قضايا الخصوصية.
استجابةً لهذه الاكتشافات المثيرة للقلق، فرضت هيئة حماية البيانات الأيرلندية غرامة إدارية قدرها 345 مليون يورو على TikTok، مشيرة إلى انتهاكات الخصوصية التي تم التعرف عليها خلال التحقيق.
كما أصدرت توبيخًا رسميًا وأوجبت عليها ممارسات معالجة البيانات الخاصة بها مع معايير التنظيم خلال فترة زمنية صارمة تمتد لثلاثة أشهر.
أفادت Anu Talus، رئيسة المجلس الأوروبي لحماية البيانات: "تتحمل شركات وسائل التواصل الاجتماعي مسؤولية تجنب تقديم الخيارات للمستخدمين، وخاصة الأطفال، بطريقة غير عادلة - خاصة إذا كان هذا العرض يمكن أن يدفع الناس إلى اتخاذ قرارات تنتهك مصالح خصوصيتهم. ويجب توفير الخيارات المتعلقة بالخصوصية بطريقة موضوعية ومحايدة، مع تجنب أي نوع من الخداع، أو التلاعب باللغة، أو التصميم." بهذا القرار، يوضح EDPB مرة أخرى أن اللاعبين الرقميين يجب أن يكونوا أكثر حذرًا وأن يتخذوا جميع التدابير اللازمة لحماية حقوق حماية بيانات الأطفال.
في يناير، تم تغريم TikTok بمبلغ 5 ملايين يورو (5.4 ملايين دولار أمريكي) من قبل هيئة حماية البيانات الفرنسية (CNIL) لعدم إعلام المستخدمين بشكل كافٍ حول كيفية استخدام ملفات تعريف الارتباط وجعل من الصعب إلغاء الاشتراك.
|
|
Google تعمل على تمكين الحماية من التصيد الاحتيالي في Chrome للجميع
07 سبتمبر 2023
أعلنت Google أنها ستقدم مزيدًا من الأمان إلى ميزة Safe Browsing في متصفح Google Chrome من خلال تمكين الحماية من التصيُّد الاحتيالي لجميع المستخدمين.
منذ عام 2007، استخدم متصفح Google Chrome ميزة الأمان Safe Browsing لحماية المستخدمين من المواقع المشبوهة التي تنشر برامج ضارة أو تعرض صفحات لصيد المعلومات.
عند تصفح الويب، سيقوم Chrome بفحص ما إذا كانت الصفحة التي تقوم بزيارتها ضمن قائمة من عناوين الويب المشبوهة، وإذا كانت كذلك، سيتم حظر الموقع وعرض تحذير. نظرًا لأن قائمة عناوين الويب الضارة تتم استضافتها في قائمة خاصة بـ Google، فإنها لا يمكن أن تحميك من المواقع الجديدة التي تم اكتشافها منذ آخر تحديث للقائمة.
لتوفير أمان أفضل، قامت Google بإطلاق ميزة Enhanced Safe Browsing في عام 2020 تقدم حماية في الوقت الفعلي من المواقع المشبوهة التي تقوم بزيارتها. تقوم هذه الميزة بذلك من خلال التحقق في الوقت الفعلي من قاعدة بيانات Google السحابية لمعرفة ما إذا كان موقعًا معينًا مشبوهًا ويجب حظره.
هذه الميزة، وعلى الرغم من ذلك، تأتي مع تضحية فيما يتعلق بالخصوصية، حيث سيقوم Google Chrome الآن بإرسال عناوين الويب التي تفتحها (بما في ذلك التنزيلات) إلى خوادم Google للتحقق مما إذا كانت خبيثة. ستقوم الميزة أيضًا بإرسال عينة صغيرة من الصفحات إلى Google لاكتشاف التهديدات الجديدة.
يتم ربط البيانات المنقولة مؤقتًا بحساب Google الخاص بك لاكتشاف ما إذا كان هناك هجوم يستهدف متصفحك أو حسابك.
في حين أن ميزة Enhanced Safe Browsing تظل كما هي وتقدم أفضل حماية في Chrome، إلا أن Google الآن تضيف حماية في الوقت الحقيقي إلى ميزة Safe Browsing لزيادة الأمان.
أفادت شركة تطوير المتصفح أنها تقوم بذلك لأن قائمة Safe Browsing التي تتم استضافتها في القائمة تُحدث فقط كل 30 إلى 60 دقيقة، ولكن 60% من جميع نطاقات الاحتيال تبقى نشطة لمدة 10 دقائق فقط. وهذا يخلق فجوة زمنية كبيرة تترك الأشخاص غير محميين من عناوين URL المشبوهة الجديدة.
أعلنت Google: لمنع هذه المواقع الخطيرة في اللحظة التي يتم فيها إطلاقها، نقوم بترقية Safe Browsing بحيث ستقوم الآن بعمل فحص ضد المواقع الضارة المعروفة لدى Google في الوقت الفعلي من خلال تقليل الوقت بين التعرف على التهديدات ومنعها، نتوقع أن نرى تحسينًا بنسبة 25% في الحماية من التهديدات الضارة ومواقع التصيد الاحتيالي.
إن ميزة التصفح الآمن المحسنة والتي يمكن اختيارها تتواصل مباشرة مع بروتوكول التصفح الآمن وترسل بيانات إضافية. بالرغم من أن الخصوصية سوف تصبح أقل، فإنها تقدم أفضل حماية، حيث يمكنها اكتشاف عناوين URL الضارة قبل أن تراها Google ولأن ميزة التصفح الآمن القياسية هي الخيار الافتراضي.
أفاد مدير منتج Google Chrome، Jasika Bawa، أنهم يقومون بإدخال الحماية في الوقت الفعلي بطريقة أكثر احترامًا للخصوصية عبر أجهزة إعادة التوجيه لبروتوكول HTTP من خلال Fastly Oblivious HTTP Relays.
ينقل البروتوكول عناوين URL المجزأة للمستخدمين إلى محرك التصفح الآمن من Google دون الكشف عن المعلومات الخاصة للمستخدمين، مثل عناوين IP وغيرها.
ميزة التصفح الآمن في الوقت الفعلي والتي تحافظ على الخصوصية لها عيب. نظرًا لأنه لا يرسل الكثير من البيانات الوصفية إلى المحرك، فلن يكون قادرًا على تحديد ما إذا كان عنوان URL ضارًا دون أن يتم الإبلاغ عنه أولاً بواسطة Google.
إذا كنت على استعداد لمقايضة بعض الخصوصية بحماية أفضل، فقد تكون الحماية المعززة هي الخيار الأفضل.
كما أضافت Google أيضًا أن البيانات المرسلة إلى Google لن يتم استخدامها في ميزات أخرى، بما في ذلك تقديم الإعلانات.
|
|
SONY تحقق في هجوم إلكتروني وتصارع لمعرفة من المسؤول
26 سبتمبر 2023
أفادت شركة Sony أنها تحقق في مزاعم وقوع هجوم إلكتروني، حيث أعلن قراصنة مختلفون مسؤوليتهم عن الاختراق.
في حين أن ادعاءات مهاجمة أنظمة Sony تم تقديمها في البداية من قبل مجموعة ابتزاز تدعى RansomedVC، فقد روج مهاجمون لأنفسهم على أنهم المخترقون.
وتم إلقاء ما يزيد على 3.14 جيجابايت من البيانات غير المضغوطة، التي يُزعم أنها مملوكة لشركة Sony، في منتديات القراصنة.
ادعت مجموعه باسم RansomedVC أنه اخترق موقع SONY.com وعرض "بياناته وإمكانية الوصول" للبيع.
"لقد نجحنا في [اختراق] جميع أنظمة Sony،" هذا ما ورد في مذكرة منشورة على موقع تسريب التابع لشركة RansomedVC. "سنبيع البيانات. بسبب عدم رغبة Sony في الدفع."
هناك عينة من البيانات التي نشرتها RansomedVC كانت صغيرة جدًا، نحو 2 ميجابايت، وتتضمن عرضًا تقديميًّا لـ PowerPoint وبعض ملفات كود مصدر Java ولقطات شاشة Eclipse IDE وأصولًا أخرى.
ادعت RansomedVC أنها اخترقت شبكات Sony وسرقت 260 جيجابايت من البيانات أثناء الهجوم الذي تحاول بيعه مقابل 2.5 مليون دولار أمريكي.
إن RansomedVC هي مجموعة ابتزاز، كما أخبرونا أنهم ما زالوا يطورون برنامج تشفير.
أعلن متحدث باسم شركة Sony Group Corporation: "نحن نحقق حاليًّا في الموقف، وليس لدينا أي تعليق آخر في هذا الوقت".
ومع ذلك، أصبحت الأمور غامضة، حيث أعلنت جهة تهديد أخرى، "MajorNelson"، أيضًا مسؤوليتها عن الهجوم، ودحضت ادعاءات RansomedVC.
"RansomedVCs هم محتالون يحاولون فقط خداعك ومطاردة صلاحياتك."
وخلافًا لنشر عينة صغيرة، قامت شركة MajorNelson "بتسريب أرشيف مضغوط مجانًا" بحجم 2.4 جيجابايت، والذي يحتوي على 3.14 جيجابايت من البيانات غير المضغوطة التي تدعي أنها مملوكة لشركة Sony.
ينص ممثل التهديد على أن التفريغ يحتوي على:
"الكثير من بيانات الاعتماد للأنظمة الداخلية،" والملفات المتعلقة بـ:
-
SonarQube
-
Creators Cloud
-
Sony's certificates
-
A device emulator for generating licenses
-
qasop security
-
Incident response policies
وجد أيضًا أن الأرشيف الذي نشره MajorNelson يحتوي على جميع الملفات التي كانت موجودة في عينة RansomedVC الصغيرة، لكن الإسناد النهائي لا يزال يمثل تحديًا.
في حين يبدو أن البيانات التي شاركها المهاجمون تنتمي إلى شركة Sony. إلا أن BleepingComputer لم تتمكن من التحقق بشكل مستقل من صحة ادعاءات أي من الجهات الفاعلة.
حدثت أبرز مواجهة لشركة Sony مع هجوم إلكتروني في عام 2014 عندما اخترق قراصنة كوريون شماليون شركة Sony Pictures في محاولة لفرض رقابة على عرض فيلم The Interview.
|
|
Amazon ترسل رسائل بريد إلكتروني لطلب بطاقات الهدايا من Mastercard وGoogle Play عن طريق الخطأ
01 أكتوبر 2023
أرسلت Amazon بالخطأ رسائل بريد إلكتروني تأكيد لعمليات شراء بطاقات هدايا لـ Hotels.com وGoogle Play و Mastercard إلى عملائها، مما جعل العديد منهم يشعرون بالقلق من تعرض حساباتهم للاختراق.
تم إرسال هذه الرسائل الإلكترونية، حيث قام العملاء بالإبلاغ عن استلامهم لثلاث رسائل منفصلة من Amazon Prime لكل عملية شراء مزعومة لبطاقة هدية. ومع ذلك، لم يتم العثور على أي عمليات شراء في حساباتهم في Amazon Prime.
"لقد تلقيت فجأة 3 رسائل إلكترونية لبطاقات هدايا متتالية (في غضون دقيقة واحدة) من أمازون ([store-news@amazon.com](mailto:store-news@amazon.com)) وأنا محتار حقًا بخصوص ذلك"، هذا ما جاء في منشور على Reddit حيث قام العديد من عملاء Amazon بالإبلاغ عن استلام هذه الرسائل الإلكترونية.
تم تداول أخبار هذه الرسائل بشكل كبير أيضًا على وسائل التواصل الاجتماعي، حيث قام الباحث في مجال أمان المعلومات Mike Grover (_MG_) بمشاركة لقطات للرسائل التي تلقاها على منصة X.
الرسائل استخدمت سطر موضوع مشابه لـ "معلومات مهمة حول طلب بطاقة هدايا
Hotels.com" واحتوت على عنوان البريد الإلكتروني store-news@amazon.com
هذا ما جاء في البريد الإلكتروني الذي تم إرساله إلى عملاء Amazon.
"شكرًا لك على شراء بطاقات هدايا Hotels.com من Amazon.com"
"نود أن يكون عملاؤنا على علم ببعض المعلومات المهمة المتعلقة بشراء بطاقات هدايا "Hotels.com.
"هناك مجموعة متنوعة من عمليات الاحتيال التي يحاول فيها المحتالون خداع الآخرين للدفع باستخدام بطاقات هدايا من علامات تجارية معروفة. لمعرفة المزيد حول بعض محاولات الاحتيال الشائعة التي قد تشمل طلب الدفع باستخدام بطاقات هدايا، يُرجى النقر على الزر أدناه، أو يُمكنكم التواصل معنا الآن. "
Mistaken gift card order confirmation email from Amazon
(استلام رسالة تأكيد طلب بطاقة هدية خاطئة من أمازون)
زر رؤية المزيد من المعلومات "See more information" يقوم بتوجيه المستخدمين إلى صفحة ويب على Amazon.com تشرح كيفية طلب بطاقات الهدايا بشكل شائع كوسيلة دفع في عمليات الاحتيال عبر الإنترنت.
رؤوس البريد الإلكتروني تُظهر أنه تم إرسال الرسائل باستخدام خدمة البريد الإلكتروني البسيطة من Amazon (Amazon Simple Email Service - SES) وتم اجتياز رؤوس التوثيق DKIM وSPF، مما يشير إلى أن الرسائل تم التحقق منها كأنها قادمة من Amazon.
أكدت Amazon أن الرسائل الإلكترونية تم إرسالها بالخطأ وسيتم الاتصال بجميع العملاء المتأثرين.
قال المتحدث باسم Amazon: خطأ في نظام البريد الإلكتروني لدينا أدى إلى إرسال رسالة تأكيد طلب إلى العملاء الذين لم يشتروا بطاقة هدية، لقد قمنا بإصلاح هذا الخطأ بحيث لن يحدث مرة أخرى، ونقوم بإرسال رسائل إلكترونية إلى هؤلاء العملاء لإبلاغهم بالخطأ وتقديم اعتذارنا عن الإزعاج.
|
|
مخاطر وثغرات أمنية تخص البرمجيات الأكثر استخدامًا وشيوعًا
|
|
|
تقوم Trend Micro بإصلاح ثغرة zero-day في endpoint protection والتي تم استخدامها في الهجمات
19 سبتمبر 2023
أصلحت Trend Micro ثغرة zero-day في تنفيذ الشفرة عن بُعد وذلك لحماية Trend Micro's Apex One Endpoint التي تم استغلالها بنشاط في هجمات.
Apex One هو حل لأمان Endpoint يُقدم خدماته للشركات بجميع الأحجام، ومجموعة "Worry-Free Business Security" مصممة للشركات الصغيرة والمتوسطة الحجم.
تُتبع الثغرة في تنفيذ التعليمات البرمجية باسم CVE-2023-41179 وحصلت على تصنيف خطورته تبلغ 9.1 وفقًا لمعيار CVSS v3، مصنفة بأنها "حرجة".
الثغرة موجودة في وحدة إلغاء التثبيت من طرف ثالث تُزود مع البرمجيات الأمنية.
جاء في النشرة الأمنية: "لقد لاحظت Trend Micro محاولة واحدة على الأقل لهجمات محتملة ضد هذه الثغرة".
"نُشجع العملاء بشدة على تحديث إلى أحدث الإصدارات في أقرب وقت ممكن".
الثغرة تؤثر على المنتجات التالية:
-
Trend Micro Apex One 2019
-
Trend Micro Apex One SaaS 2019
-
Worry-Free Business Security (WFBS) 10.0 SP1 (المباع باسم Virus Buster Business Security (Biz) في اليابان)
-
Worry-Free Business Security Services (WFBSS) 10.0 SP1 (المباع باسم Virus Buster Business Security Services (VBBSS) في اليابان)
تم توفير التصحيحات في الإصدارات التالية:
-
Apex One 2019 Service Pack 1 - Patch 1 (Build 12380)
-
Apex One SaaS 14.0.12637
-
WFBS Patch 2495
-
WFBSS July 31 update
لاستغلال CVE-2023-41179، يجب على المهاجم أن يكون قد سرق مسبقًا أوراق اعتماد واجهة تحكم المنتج واستخدمها لتسجيل الدخول.
"استغلال هذا النوع من الثغرات عادة يتطلب أن يكون للمهاجم وصول (مادي أو عن بُعد) إلى جهاز معرض للثغرة"، كما يشرح Trend Micro.
أصدر فريق CERT الياباني أيضًا تنبيهًا حول استغلال الثغرة بشكل نشط، حث فيه مستخدمي البرامج المتأثرة على الترقية إلى الإصدارات الآمنة في أقرب وقت ممكن.
"إذا تم استغلال الثغرة، يمكن للمهاجم الذي يمكنه تسجيل الدخول إلى واجهة تحكم الإدارة للمنتج تنفيذ شفرة تعسفية بامتيازات النظام على الكمبيوتر الذي يتم تثبيت وكيل الأمان عليه"، وفقًا لتوضيحات JPCERT.
يتمثل الحل البديل الفعال في تقييد الوصول إلى وحدة التحكم الإدارية للمنتج على الشبكات الموثوقة، مما يمنع الجهات الخبيثة التي تحاول الوصول إلى الجهاز من مواقع خارجية وعشوائية.
ومع ذلك، في النهاية، يجب على المسؤولين تثبيت التحديثات الأمنية لمنع المهاجمين الذين اخترقوا بالفعل الشبكة من استغلال الثغرة للانتشار أفقيًا إلى أجهزة أخرى.
|
|
Adobe تنصح بتحديث Acrobat و Reader لإصلاح الثغرة التي يتم استغلالها
13 سبتمبر 2023
تتضمن تحديثات Adobe لشهر سبتمبر 2023 تحديثًا لإصلاح ثغرة أمان حرجة تم استغلالها بنشاط في Acrobat وReader والتي يمكن أن تسمح للمهاجم بتنفيذ كود ضار على الأنظمة القابلة للاختراق.
الثغرة، المُتتبَعة برقم CVE-2023-26369، تصنف بنقطة 7.8 من حيث الخطورة على نظام تصنيف CVSS وتؤثر على إصدارات Windows و macOSمن Acrobat DC، Acrobat Reader DC، Acrobat 2020، و. Acrobat Reader 2020
ويمكن أن يؤدي استغلال الثغرة بنجاح إلى تنفيذ التعليمات البرمجية عن طريق فتح مستند PDF مصمم بشكل خاص. لم تكشف Adobe عن أي تفاصيل إضافية حول المشكلة أو الأهداف المعنية.
أكدت الشركة في تنويه " أدركت Adobe أن CVE-2023-26369 تم استغلالها في هجمات محدودة استهدفت Adobe Acrobat وReader.
تؤثر CVE-2023-26369 على الإصدارات التالية:
-
Acrobat DC (23.003.20284 and earlier versions) - Fixed in 23.006.20320
-
Acrobat Reader DC (23.003.20284 and earlier versions) - Fixed in 23.006.20320
-
Acrobat 2020 (20.005.30514 for Windows and earlier versions, 20.005.30516 for macOS and earlier versions) - Fixed in 20.005.30524
-
Acrobat Reader 2020 (20.005.30514 for Windows and earlier versions, 20.005.30516 for macOS and earlier versions) - Fixed in 20.005.30524
كما قامت الشركة المُصنعة للبرامج بإصلاح ثغرتين في البرمجيات فيما يتعلق بالنص العابر للمواقع في Adobe Connect (CVE-2023-29305 و CVE-2023-29306) و Adobe Experience Manager (CVE-2023-38214 و CVE-2023-38215) والتي يمكن أن تؤدي إلى تنفيذ التعليمات البرمجية الضارة.
|
|
Apple تُصلح ثغرتين zero-days في تطبيق iMessage تستخدم لزرع برامج التجسس في iPhones
07 سبتمبر 2023
أفاد معهد Citizen Lab أن ثغرتين zero-days تم إصلاحهما من قبل Apple في تحديثات أمان طارئة تُعرف باسم BLASTPASS لنشر برمجيات التجسس التجارية Pegasus من NSO Group على iPhones مُحدّثة بالكامل.
الخللان، المتتبعان بأرقام CVE-2023-41064 وCVE-2023-41061، سمحا للمهاجمين بالاختراق في iPhone مُحدّثة بالكامل تعمل بنظام iOS 16.6 وتابعة لمنظمة مجتمعية مقرها واشنطن العاصمة عبر مرفقات PassKit التي تحتوي على صور ضارة.
سلسلة الاستغلال المعروفة باسم BLASTPASS. بإمكانها اختراق iPhones التي تعمل بأحدث إصدار من iOS (16.6) دون أي تفاعل من الضحية.
استغلال الثغرة تضمن مرفقات PassKit تحتوي على صور ضارة أُرسلت من حساب iMessage من المهاجم إلى الضحية.
حث معهد Citizen Lab أيضًا عملاء Apple على تحديث أجهزتهم على الفور وشجعوا أولئك الذين يتعرضون للخطر من هجمات مستهدفة بسبب هويتهم أو مهنتهم على تفعيل وضع القفل. lockdown Mode
اكتشف باحثو الأمان في Apple ومعهد Citizen Lab الثغرتين في إطاري Image I/O وWallet.
CVE-2023-41064 عبارة عن تجاوز سعة المخزن المؤقت الذي يتم تشغيله عند معالجة الصور الضارة، في حين أن CVE-2023-41061 عبارة عن مشكلة تحقق يمكن استغلالها عبر المرفقات الضارة.
كلاهما يسمح للمهاجمين بتنفيذ تعليمات برمجية ضارة على الأجهزة غير المصححة من iPhone و. iPad
قامت Apple بمعالجة هذه العيوب في macOS Ventura 13.5.2، iOS 16.6.1، iPadOS 16.6.1، وwatchOS 9.6.2 مع تحسين منطق ومعالجة الذاكرة.
قائمة الأجهزة المتأثرة تشمل:
-
iPhone 8 and later
-
iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, and iPad mini 5th generation and later
-
Macs running macOS Ventura
-
Apple Watch Series 4 and later
منذ بداية هذا العام، قامت Apple بإصلاح مجموعة مكونة من 13 ثغرة zero-days تم استغلالها لاستهداف الأجهزة التي تعمل بنظام iOS وmacOS وiPadOS وwatchOS، بما في ذلك:
-
two zero-days (CVE-2023-37450 and CVE-2023-38606) in July
-
three zero-days (CVE-2023-32434, CVE-2023-32435, and CVE-2023-32439) in June
-
three more zero-days (CVE-2023-32409, CVE-2023-28204, and CVE-2023-32373) in May
-
two zero-days (CVE-2023-28206 and CVE-2023-28205) in April
-
and another WebKit zero-day (CVE-2023-23529) in February
|
|
Google تقوم بتصنيف ثغرة في libwebp بالحد الأقصى من الخطورة
26 سبتمبر 2023
أسندت Google مُعرف CVE الجديد (CVE-2023-5129) إلى ثغرة أمان في مكتبة
libwebp تم استغلالها كـ zero-day في هجمات وتمت معالجتها.
في البداية، كشفت الشركة عن الثغرة كنقطة ضعف في Chrome، تُتبع تحت رمز CVE-2023-4863، بدلاً من تخصيصها لمكتبة libwebp مفتوحة المصدر المستخدمة لترميز وفك ترميز الصور بتنسيق WebP.
تم الإبلاغ المشترك عن هذه الثغرة الـ zero-day من قبل Apple Security Engineering and Architecture (SEAR) وCitizen Lab في مدرسة جامعة Toronto's Munk يوم الأربعاء 6 سبتمبر، وتمت معالجته من قبل Google في أقل من أسبوع.
باحثو الأمان في Citizen Lab لديهم سجل مُثبت في اكتشاف وكشف الثغرات الأمنية الـ zero-day التي تم استغلالها في حملات تجسس مستهدفة غالبًا تكون مرتبطة بجهات تهديد مدعومة من الدول تستهدف في المقام الأول أفرادًا عُرضة للمخاطر مثل الصحفيين والسياسيين المعارضين.
قرار وصف الثغرة على أنها خلل في Chrome أثار الارتباك داخل مجتمع أمان المعلومات، مما أثار تساؤلات حول اختيار Google لتصنيفها كمشكلة في Google Chrome بدلاً من تحديدها كثغرة في. libwebp
أيضًا، ربط مؤسس شركة استشارات أمان السيبرانية Ben Hawkes (الذي قاد سابقًا فريق Google Project Zero) CVE-2023-4863 بالثغرة CVE-2023-41064 التي تم التعامل معها من قبل Apple في 7 سبتمبر وتم استغلالها كجزء من سلسلة استغلال iMessage بدون نقر (المسماة BLASTPASS) للإصابة ببرامج التجسس التجارية لشركة NSO Group المعروفة باسم Pegasus على iPhones المُحدثة بالكامل.
تم تخصيص مُعرف CVE الجديد CVE-2023-5129 الذي يحمل تصنيف أقصى درجة للخطورة، وهو 10/10، ووصفه كمشكلة حرجة في مكتبة libwebp. هذا التغيير يحمل تداعيات كبيرة على مشاريع أخرى تستخدم مكتبة libwebp مفتوحة المصدر.
الآن يتم التعرف رسميًا على هذه الثغرة كخلل في libwebp، ويتعلق بتجاوز كبير في الذاكرة (heap buffer overflow) في تنسيق WebP، ويؤثر على إصدارات Google Chrome التي تسبق الإصدار 116.0.5845.187.
هذه الثغرة تتواجد داخل خوارزمية تشفير Huffman المستخدمة بواسطة libwebp للضغط بدون فقدان وتمكن الهجمات من تنفيذ كتابات في الذاكرة خارج الحدود باستخدام صفحات HTML مُصممة بشكل ضار.
هذا النوع من استغلال الثغرات يمكن أن يكون له عواقب خطيرة، بدءًا من تعطل التطبيقات وصولاً إلى تنفيذ الشفرة الضار والوصول غير المصرح به إلى المعلومات الحساسة.
إعادة تصنيف CVE-2023-5129 كثغرة في libwebp تحمل أهمية خاصة نظرًا لأنها في البداية لم يتم اكتشافها كتهديد أمان محتمل للعديد من المشاريع التي تستخدم libwebp، بما في ذلك 1Password، Signal، Safari، Mozilla Firefox، Microsoft Edge، Opera، ومتصفحات الويب الأصلية في نظام Android.
يؤكد التصنيف الحرج المعاد تقييمه أهمية معالجة الثغرة الأمنية بشكل سريع) التي يتم تتبعها الآن بمعرفات CVE متعددة بتصنيفات أمان مختلفة) عبر هذه المنصات لضمان أمان بيانات المستخدمين.
|
|
شركة Cisco تحذر من محاولة استغلال ثغرة Zero-day في برامج VPN
02 أكتوبر 2023
اكتشفت شركة Cisco أن المهاجمين يحاولون استغلال ثغرة أمنية تؤثر على أحد منتجات VPN الخاصة بها.
نشرت الشركة العديد من النصائح حول الثغرات، لكن الخبراء ركزوا على واحدة تؤثر على ميزة Cisco Group Encrypted Transport VPN (GET VPN) لبرنامج Cisco IOS وبرنامج Cisco IOS XE.
يمكن أن تسمح الثغرة الأمنية، التي تحمل علامة CVE-2023-20109، للمهاجم باتخاذ إجراءات على جهاز متأثر أو تتسبب في تعطل الجهاز. يحمل درجة خطورة CVSS تبلغ 6.6 من 10 وتم الإعلان عنه في 27 سبتمبر.
أفادت الشركة: "يمكن أن يسمح الاستغلال الناجح للمهاجم بتنفيذ تعليمات برمجية عشوائية والسيطرة الكاملة على النظام المتأثر أو التسبب في إعادة تحميل النظام المتأثر، مما يؤدي إلى حالة رفض الخدمة “(DoS) مضيفة أن الثغرة الأمنية لا يمكن استغلالها إلا بإحدى طريقتين" و"وكلتا الطريقتين تتطلبان اختراقًا سابقًا".
وأضافت الشركة Hنه لا توجد حلول بديلة للثغرة الأمنية بخلاف التصحيحات المقدمة.
أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) تحذيرها الخاص الذي يحث الشركات على تثبيت التصحيحات.
قال العديد من خبراء الأمن السيبراني إنه على الرغم من خطورة الثغرة الأمنية، فإن المهاجم يحتاج بالفعل إلى التعمق في أنظمة المؤسسة لاستغلالها - مما يجعل من المحتمل استخدام الثغرة لأولئك الذين يتطلعون إلى تصعيد امتيازات الوصول الخاصة بهم في نظام مخترق بالفعل.
أفاد Tim Silverline، نائب رئيس شركة أنظمة الشبكات Gluware، أن الخطر "ليس كبيرًا" لأنه إذا كان لدى المهاجم حق الوصول الكامل إلى البيئة المستهدفة، فإن المنظمة معرضة للخطر بالفعل وهذه مجرد طريقة واحدة يمكن للمهاجمين التحرك بها.
قارنتها Callie Guenther من Critical Start بشخص لديه مفاتيح منزل، حيث يمكن للشخص إما نهب المكان أو قفل الأبواب ومنع أي شخص من الدخول.
تكمن المشكلة هنا في وجود ثغرة في كيفية التحقق من صحة سمات معينة لميزة VPN، المخصصة لتأمين الاتصالات. وأفاد Guenther إذا تمكن أحد المهاجمين من استغلال الثغرة، عن طريق خداع النظام أو التحكم في خادم معين، فمن المحتمل أن يتمكن من السيطرة الكاملة على الجهاز أو إغلاقه، مما يتسبب في حدوث اضطرابات.
وفي حين أنه من الصعب استغلال الثغرة، أشار John Gallagher من Viakoo إلى أنه إذا تم القيام به بشكل صحيح، فإن المهاجمين سيحصلون على السيطرة الكاملة على جهاز التوجيه. حذر مسؤولو الأمن السيبراني في الولايات المتحدة واليابان من أن قراصنة الحكومة الصينية كانوا يستهدفون أجهزة التوجيه التي تصنعها شركة Cisco وغيرها في هجمات تجسس.
أفاد Gallagher: تعاني العديد من المنظمات من ضعف السيطرة على الأمن المادي (فكر في الحوادث اللاحقة) حيث يمكن لممثل التهديد الوصول فعليًا إلى البيئة المستهدفة". "مما لا شك فيه أن هذه الثغرة الأمنية خطيرة ويجب اتخاذ الإجراءين لتأمين البيئة المستهدفة فعليًا ومعالجة الثغرة الأمنية."
|
|
معلومات للتوعية بأمن المعلومات
|
|
|
كيفية تأمين حساباتك المالية
نظرة عامة
حساباتك المالية هي هدف رئيس للجرائم السيبرانية. لديك أموال، وسيقومون بفعل أي شيء لسرقتها. بواسطة الحسابات المالية، نعني ليس فقط حساباتك الجارية أو حسابات التوفير، ولكن أيضًا الاستثمارات وحسابات التقاعد، وحسابات الدفع عبر الإنترنت مثل PayPal. لحسن الحظ، يمكنك حماية نفسك ببعض الخطوات البسيطة والأساسية.
كيفية الهجوم؟
تستثمر البنوك مبالغ ضخمة من المال في تأمين أنظمتها، مما يجعل من الصعب للغاية على المجرمين الإلكترونيين اختراقها. هذا هو السبب في استهدافهم لك ولحساباتك بدلاً من ذلك. إنهم يعلمون أنك ليس لديك فريق أمان خاص بك لحمايتك، لذلك من الأسهل بكثير اختراقك بدلاً من البنك. إليك الطريقتان الأكثر شيوعًا اللتان سيستهدفونك بهما وسيحاولون سرقة أموالك:
-
كلمات المرور:
كل حساب من حساباتك المالية محمي بكلمة مرور. إذا استطاع أحد المجرمين الإلكترونيين تخمين أو اختراق أي من تلك كلمات المرور، فإنهم يمكنهم تسجيل الدخول، ومن ثم تحويل أموالك إلى حسابات مصرفية يتحكمون فيها. هناك العديد من الطرق التي سيحاولون بها الحصول على كلمة المرور الخاصة بك. أحد الأساليب الشائعة هي إصابة جهاز الكمبيوتر الخاص بك بالبرمجيات الخبيثة. بمجرد أن يتعرض جهاز الكمبيوتر الخاص بك للإصابة، يمكنهم التقاط اسم المستخدم وكلمة المرور الخاصة بك عندما تصل إلى موقع البنك. طريقة أخرى شائعة هي إرسال رسائل البريد الإلكتروني التصيدية التي تتظاهر بأنها مرسلة من البنك الخاص بك. عندما تنقر على الرابط في البريد الإلكتروني، تعتقد أنك تقوم بتسجيل الدخول إلى موقع البنك الخاص بك، ولكن في الواقع، أنت تقوم بتسجيل الدخول إلى موقع ويب مزيف يتحكم فيه المجرمون.
-
الاستفسار:
يمكن لمجرمي الإنترنت أن يطلبوا منك ببساطة كلمة المرور الخاصة بك أو أن يطلبوا منك تحويل الأموال إليهم. غالبًا ما تبدأ هجمات الهندسة الاجتماعية هذه بالاتصال بك عبر الهاتف. يعرف مجرمو الإنترنت أنه بمجرد أن يتحدثوا معك، من الأسهل بالنسبة لهم استخدام العواطف لإجبارك على ارتكاب خطأ. هذا هو السبب في أنك تبدأ في رؤية المزيد من رسائل البريد الإلكتروني التصيدية، ورسائل الصوت، ونوافذ متصفح الويب التي تخلق إحساسًا بالإلحاح عن طريق إخبارك بأنه يجب عليك الاتصال برقم هاتف لحل مشكلة أو للاستفادة من فرصة رائعة قبل انتهائها. بمجرد أن تتصل برقم الهاتف، يقوم المجرمون بخلق ضغط هائل إما منحهم الوصول إلى حساباتك أو نقل أموالك إلى حسابات مختلفة لهم. على سبيل المثال، قد يخبرونك أنهم من الدعم الفني أو الحكومة، مدعين أن جهاز الكمبيوتر الخاص بك مصاب بالفيروسات وأنه إذا لم تتحرك الآن، فستفقد كل أموالك.
حماية نفسك
لحسن الحظ، تأمين حساباتك المصرفية أسهل مما قد تتخيل. إليك ثلاث خطوات بسيطة لحماية نفسك:
-
كن متشككا:
أولاً وقبل كل شيء، أنت أفضل دفاع لنفسك. إذا تلقيت بريدًا إلكترونيًا، أو رسالة نصية، أو رسالة صوتية، أو نافذة منبثقة في المتصفح تبدو غريبة أو مشبوهة، فقد يكون ذلك هجومًا. كلما زاد الشعور بالإلحاح وزاد الضغط عليك للتحرك الآن، كلما زادت احتمالية أن يكون هجومًا.
-
استخدم كلمات مرور قوية / المصادقة متعددة العوامل (MFA):
قم بحماية كل حسابات البريد الإلكتروني الشخصية والمالية الخاصة بك بكلمة مرور طويلة وفريدة. إذا كنت لا تستطيع تذكر كلمات المرور الفريدة الخاصة بك، فكر في استخدام مدير كلمات المرور password manager لتذكيرها وتخزينها بشكل آمن. أفضل طريقة لحماية حساباتك المالية هي تمكين ميزة تسمى المصادقة متعددة العوامل (MFA) على كل حساب.
-
قم بمراقبة جميع حساباتك المالية.
يمكنك إعداد تنبيهات آلية سترسل لك رسالة بريد إلكتروني أو رسالة نصية في كل مرة يتم فيها نقل الأموال إلى حساباتك أو منها. بهذه الطريقة، يمكنك اكتشاف أي عملية غير مصرح بها أو مشبوهة بسرعة. كلما اكتشفت شيئًا خاطئًا وأبلغت البنك الذي تتعامل معه مبكرًا، كلما زادت احتمالية استعادة أموالك.
|
|
|
|
|
