اضغط هنا لتصفح النشرة من الموقع

صباح الخير قراءنا الكرام،

مرحبًا بكم في العدد الجديد من نشرة أمن المعلومات والتي تتناول شهريًا أهم الأحداث الخاصة بأمن المعلومات، إضافةً إلى التوعية بمخاطر الفضاء الإلكتروني.

يرصد هذا العدد مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.

أهم الأخبار

• سرقة رموز Instagram الاحتياطية لتجاوز المصادقة الثنائية من خلال عمليات التصيد الاحتيالي.

• هاكرز يخترقون وكالات حكومية أمريكية باستخدام ثغرة في Adobe ColdFusion.

• أطلقت Meta التشفير End to End بشكل افتراضي للمحادثات والمكالمات على Messenger.

• تويوتا تحذر العملاء بشأن اختراق للبيانات تسبب في الكشف عن معلومات شخصية ومالية.

• تسبب برنامج مكافحة الفيروسات Avira في تجميد أجهزة الكمبيوتر التي تعمل بنظام Windows بعد التشغيل.

مخاطر وثغرات

• أعلنت Sophos عن إصلاح تنفيذ التعليمات البرمجية عن بعد (RCE) لمواجهة الهجمات على جدران الحماية التي توقف عنها الدعم.

• قامت Google بإصلاح ثغرة حرجة لتنفيذ كود برمجي عن بُعد (RCE) بدون حاجة لنقرة في Android. 

• تطلق Apple تصحيحات لنظام iOS وmacOS ومتصفح Safari لثغرتين Zero-Day يستغلان حاليًّا.

• التصحيح النهائي لعام 2023 من Microsoft تم إصلاح 33 ثغرة بما في ذلك 4 ثغرات خطيرة.

   

معلومة أمنية

• سبعة اتجاهات للأمن السيبراني في عام 2024
             

سرقة رموز Instagram الاحتياطية لتجاوز المصادقة الثنائية من خلال عمليات التصيد الاحتيالي
 

20 ديسمبر 2023

حملة تصيد احتيالية جديدة تتنكر في رسائل البريد الإلكتروني باسم 'انتهاك حقوق الطبع والنشر' في محاولة لسرقة الرموز الاحتياطية لمستخدمي Instagram، مما يسمح للقراصنة بتجاوز المصادقة الثنائية للحساب.

المصادقة الثنائية هي ميزة أمان تتطلب من المستخدمين إدخال نوع إضافي من التحقق عند تسجيل الدخول إلى الحساب. هذا التحقق عادةً يكون عبارة عن رموز مرة واحدة يتم إرسالها عبر رسالة نصية SMS، أو رموز من تطبيق المصادقة، أو من خلال مفاتيح الأمان الخاصة.

استخدام المصادقة الثنائية (2FA) يساعد في حماية حساباتك في حالة سرقة أو شراء بيانات اعتمادك من سوق الجرائم الإلكترونية، حيث يحتاج القراصنة إلى الوصول إلى جهازك المحمول أو بريدك الإلكتروني لتسجيل الدخول إلى حسابك المحمي. 

عند تكوين المصادقة الثنائية على Instagram، سيوفر الموقع أيضًا رموزًا احتياطية مكونة من ثمانية أرقام يمكن استخدامها لاستعادة الوصول إلى الحسابات إذا لم تكن قادرًا على التحقق من حسابك باستخدام المصادقة الثنائية. يمكن أن يحدث ذلك لأسباب عدة، مثل تغيير رقم هاتفك المحمول، أو فقدان هاتفك، أو فقدان الوصول إلى حساب بريدك الإلكتروني.

ومع ذلك، تأتي الرموز الاحتياطية مع بعض المخاطر، حيث إنه إذا نجح فاعل التهديد في سرقة تلك الرموز، يمكنه اختراق حسابات Instagram باستخدام أجهزة غير معروفة عن طريق معرفة بيانات الاعتماد الخاصة بالهدف، والتي يمكن سرقتها من خلال التصيد الاحتيالي أو العثور عليها في اختراقات بيانات غير مرتبطة.

رسائل التصيد الاحتيالي بشأن انتهاك حقوق الطبع والنشر تدعي أن المستلم قد قام بنشر شيء ينتهك قوانين حماية الملكية الفكرية، وبالتالي، تم تقييد حسابه.

يُطلب من المستلمين لهذه الرسائل النقر على زر للاستئناف، الأمر الذي يوجههم إلى صفحات التصيد الاحتيالي، حيث يقومون بإدخال بيانات اعتماد حسابهم وتفاصيل أخرى.

تم استخدام نفس الموضوع عدة مرات، بما في ذلك ضد مستخدمي فيسبوك، وقد سهل سلاسل العدوى لبرامج الفدية مثل LockBit ransomware وبرامج البرمجيات الخبيثة مثل BazaLoader، وغيرهما.

تم اكتشاف النسخة الأحدث من هذه الهجمات من قبل محللي Trustwave، الذين يقولون إن معدل اعتماد ميزة التحقق المزدوج يدفع الجهات المسؤولة عن التصيد الاحتيالي لتوسيع نطاق استهدافهم.

تنتحل أحدث رسائل البريد الإلكتروني التصيدي شخصية شركة Meta، الشركة الأم لـ Instagram، حيث تم تلقي شكاوى بشأن انتهاك حقوق الطبع والنشر. ويطلب البريد الإلكتروني من المستخدم ملء نموذج استئناف لحل المشكلة.

عند النقر على الزر، يتم توجيه الهدف إلى موقع تصيد احتيالي يتظاهر بكونه بوابة انتهاكات Meta الفعلية، حيث ينقر الضحية على زر ثانٍ معلَّق بعبارة "الانتقال إلى نموذج التأكيد (تأكيد حسابي)".

يُعاد توجيه الزر الثاني إلى صفحة تصيد احتيالية أخرى مصممة لتظهر كـ "مركز الاستئناف" لـ Meta ، حيث يُطلب من الضحايا إدخال اسم المستخدم وكلمة المرور (مرتين).

بعد احتجاز هذه التفاصيل، يطلب الموقع الاحتيالي من الهدف التحقق مما إذا كان حسابه محميًا بالمصادقة الثنائية، وبعد التأكيد، يُطلب الحصول على رمز النسخ الاحتياطي المكون من ثمانية أرقام.

على الرغم من أن الحملة مميزة بعدة علامات على الاحتيال، مثل عنوان المُرسِل وصفحة إعادة التوجيه وعناوين صفحات التصيد الاحتيالية، فإن التصميم المقنع وشعور الطوارئ قد يخدع نسبة كبيرة من الأهداف إلى إفشاء بيانات حسابهم والرموز الاحتياطية.

تُعتبر الرموز الاحتياطية خاصة ويجب حفظها بأمان. يجب على حائزي الحسابات التعامل معها بنفس مستوى السرية المطلوب لكلمات المرور والامتناع عن إدخالها في أي مكان ما لم يكن ذلك ضروريًّا للوصول إلى حساباتهم.

إذا كنت لا تزال تمتلك رموز/مفاتيح المصادقة الثنائية (2FA)، فلا يوجد أي سبب لإدخال الرموز الاحتياطية في أي مكان آخر سوى داخل موقع أو تطبيق Instagram.
 

هاكرز يخترقون وكالات حكومية أمريكية باستخدام ثغرة في Adobe ColdFusion
 

5 ديسمبر 2023

حذرت وكالة الأمن السيبراني والبنية التحتية في الولايات المتحدة (Cybersecurity and Infrastructure Security Agency CISA) من هجمات قراصنة يقومون حاليًا بالاستفادة من ثغرة حرجة في Adobe ColdFusion المعروفة باسم CVE-2023-26360 للحصول على وصول أولي إلى الخوادم الحكومية.

المشكلة الأمنية تسمح بتنفيذ كود برمجي على الخوادم التي تعمل بنظام Adobe ColdFusion 2018 Update 15 والإصدارات الأقدم، وكذلك الإصدار 2021 Update 5 والإصدارات السابقة. تم استغلالها كـ "zero day" قبل أن يقوم Adobe بإصلاحها في منتصف مارس عبر إصدار ColdFusion 2018 Update 16 و 2021 Update 6.

في ذلك الوقت، نشرت CISA إشعارًا حول العوامل المهددة التي استغلت الثغرة وحثت المؤسسات الفيدرالية والخدمات الحكومية على تطبيق التحديثات الأمنية المتاحة.

في تنبيه صادر 5 ديسمبر 2023، حذرت وكالة الدفاع السيبراني الأمريكية من استمرار استغلال ثغرة CVE-2023-26360 في الهجمات، حيث تظهر الحوادث التي وقعت في يونيو 2023 وأثرت على نظامين تابعين للوكالة الفيدرالية.

في كلا الحادثين، قام Microsoft Defender for Endpoint (MDE) بتنبيه بشأن استغلال محتمل لثغرة في Adobe ColdFusion على خوادم الويب المتواجدة علنًا في بيئة الإنتاج الأولية للوكالة.

تشير الوكالة إلى أن "الخوادم كانت تعمل بإصدارات قديمة من البرمجيات المعرضة لمختلف أنواع التهديدات الخطيرة."

تقول CISA إن العوامل المهددة استغلت الثغرة لإسقاط برامج ضارة باستخدام أوامر HTTP POSTإ إلى مسار الدليل المرتبط بـ ColdFusion.

سُجلت الحادثة الأولى واعتمدت على الثغرة الحرجة لاختراق خادم يعمل بنظام Adobe ColdFusion v2016.0.0.3.

قام القراصنة بعملية تعداد للعمليات إلى جانب فحوصات الشبكة وقاموا بتثبيت web shell (config.jsp)  الذي أتاح لهم إدراج التعليمات البرمجية في ملف تكوين ColdFusion واستخراج بيانات الاعتماد.

شملت أنشطتهم حذف الملفات المستخدمة في الهجوم لإخفاء وجودهم وإنشاء ملفات في دليل C:\IBM لتيسير العمليات الضارة دون اكتشافها.
 

"أدوات استخدمها المهاجم في الهجوم الأول (CISA)"

حدثت الحادثة الثانية عندما استغل القراصنة ثغرة CVE-2023-26360 على خادم يعمل بنظام Adobe ColdFusion v2021.0.0.2.

أطلقت Meta التشفير End to End بشكل افتراضي للمحادثات والمكالمات على Messenger

7 ديسمبر 2023 

بدأت Meta رسميًا بدعم التشفير end-to-end encryption - E2EE في Messenger للمكالمات الشخصية والرسائل الشخصية بين طرفين بشكل افتراضي، ووصفت هذه الخطوة بأنها "أهم إنجاز حتى الآن".

أفاد Loredana Crisan، نائبة رئيس Messenger في Meta، في منشور على X (تويتر سابقا): "هذا ليس تحديثًا أمنيًا عاديًا: إننا أعدنا بناء التطبيق من الألف إلى الياء، بالتشاور الوثيق مع خبراء الخصوصية والأمان".

أعلن الرئيس التنفيذي Mark Zuckerberg، الذي أعلن "رؤية تركز على الخصوصية لشبكات التواصل الاجتماعي" في عام 2019، أن التحديث يأتي "بعد سنوات من العمل" على إعادة تصميم المنصة. جدير بالذكر أن التشفير بين الطرقين للرسائل الجماعية في Messenger لا يزال في مرحلة الاختبار.

تم تقديم المحادثات المشفرة لأول مرة في Messenger كميزة اختيارية تسمى "محادثات سرية" في عام 2016. كما تدعم Instagram التابعة لـ Meta أيضًا التشفير بين الطرقين للرسائل والمكالمات، لكنه "متاح فقط في بعض المناطق" وليس مفعّلاً افتراضيًا.

أفاد Crisan: "الطبقة الإضافية من الأمان المُقدمة من خلال التشفير بين الطرقين تعني أن محتوى رسائلك ومكالماتك مع الأصدقاء والعائلة محمية منذ ترك جهازك وحتى تصل إلى جهاز المستقبل".

في أغسطس 2023، أفادت الشركة أنها كانت على الطريق الصحيح لتمكين هذه الميزة على نطاق واسع بحلول نهاية العام، ولكنها أكدت أنها كانت تحتاج إلى إعادة هيكلةMessenger  لضمان عدم قدرة خوادمها على معالجة أو التحقق من الرسائل التي تمر عبرها.

لتحقيق ذلك، أجرت ترقيةً لأكثر من 100 ميزة لدمج التشفير، وطوّرت أيضًا طُرُقًا جديدة للمستخدمين لإدارة تاريخ رسائلهم بين الأجهزة، مثل إعداد رمزPIN، من خلال بناء نظام تخزين مشفر جديد يُدعى Labyrinth.

يُستخدم الرمز السري (PIN) كوسيلة للاستعادة بعد ترقية المحادثة في Messenger لمساعدة المستخدمين في استعادة رسائلهم في حال فقدان الجهاز أو تغييره أو إضافته إلى حسابهم.

وفقًا للشركة في تقريرها: "يهدف Labyrinth - وهو بروتوكول تخزين رسائل مشفر جديد - إلى معالجة العديد من هذه التحديات من خلال تمكين المستخدمين من تخزين رسائلهم على الخادم، مع الحفاظ على الخصوصية القوية."

"تم تصميمه لحماية الرسائل ضد الأجهزة والكيانات غير المشتركة التي ليست جزءًا من صندوق البريد الخاص بالمستخدم فيLabyrinth ، بما في ذلك منع إمكانية فك تشفير الرسائل الجديدة على الأجهزة التي تم إلغاء ترخيصها والتي ربما كانت قد أُذِن لها سابقًا بالوصول إلى الرسائل السابقة. كما يُحقق النظام كفاءة تشغيلية عالية وموثوقية شديدة."

من المرجح أن يؤدي إعلان التشفير الأخير لشركة Meta إلى إعادة إشعال الجدل الدائر حول الخصوصية وقدرة تطبيق القانون على إجراء التحقيقات والمساعدة في الحصول على أدلة على النشاط الإجرامي. زعمت حملة أطلقتها حكومة المملكة المتحدة في سبتمبر 2023 أن خطط Meta لتشفير منصاتها ستسمح للمعتدين على الأطفال "بالاختباء في الظلام".

تويوتا تحذر العملاء بشأن اختراق للبيانات تسبب في الكشف عن معلومات شخصية ومالية
 

11 ديسمبر 2023

حذرت شركة تويوتا للخدمات المالية  (Toyota Financial Services TFS)العملاء بسبب اختراق للبيانات، حيث أكدت أن بيانات شخصية ومالية حساسة تعرضت للهجوم.

تعتبر شركة تويوتا للخدمات المالية، التابعة لشركة تويوتا موتور كوربوريشن، كيانًا عالميًا له حضور في 90% من الأسواق التي تبيع فيها تويوتا سياراتها، وتقدم تمويلًا لعملائها.

في الشهر الماضي، أكدت الشركة أنها اكتشفت وصولًا غير مصرح به إلى بعض أنظمتها في أوروبا وإفريقيا، عقب ادعاء من فدية البرمجيات الخبيثة " Medusa" بنجاح واختراق فرع صناعة السيارات اليابانية.

طالب المهاجمون بدفع مبلغ 8 ملايين دولار لحذف البيانات المسروقة ومنحوا تويوتا مهلة 10 أيام للرد على ابتزازهم.

في ذلك الوقت، أوضح متحدث باسم تويوتا أن الشركة اكتشفت وصولاً غير مصرح به إلى بعض أنظمتها في أوروبا وإفريقيا. قامت الشركة بإيقاف بعض الأنظمة لاحتواء الاختراق، الذي أثر على خدمات العملاء.

يفترض أن تويوتا لم تتفاوض بشأن دفع فدية للمهاجمين، وتم تسريب جميع البيانات على بوابة الابتزاز التابعة لـ " Medusa " على Dark Web.

البيانات المسروقة متاحة للتحميل عبر بوابة الابتزاز التابعة لـ "Medusa" 

تم تحديد تويوتا Kreditbank في ألمانيا كأحد الأقسام المتأثرة، واعترفت بأن المهاجمين حصلوا على وصول إلى بيانات العملاء.

تلقى موقع أخبار ألماني يُدعى Heise عينة من الإشعارات التي أرسلتها تويوتا إلى العملاء الألمان، حيث تم إبلاغهم بتسريب البيانات التالية:

• الاسم الكامل

• عنوان الإقامة

• معلومات العقد

• تفاصيل الإيجار والشراء

• رقم الحساب البنكي الدولي International Bank Account Number "IBAN"

   

الإخطار يؤكد تسريب البيانات المذكورة استنادًا إلى التحقيق الجاري. ومع ذلك، لم يكتمل التحقيق الداخلي بعد، وهناك احتمالية لاستمرار وصول القراصنة إلى معلومات إضافية.

تعهدت تويوتا بتحديث العملاء المتأثرين بشكل سريع إذا كشف التحقيق الداخلي عن مزيد من تعرض البيانات للانتهاكات.

تسبب برنامج مكافحة الفيروسات Avira في تجميد أجهزة الكمبيوتر التي تعمل بنظام Windows بعد التشغيل
 

12 ديسمبر 2023

أبلغ مستخدمو نظام التشغيل Windows عن مشكلات تتعلق بتجميد النظام بعد وقت قصير من التشغيل، وهو مشكلة مرتبطة بتحديث خاطئ لبرنامج الأمان التابع لـAvira ..

شهد عدد كبير من عملاء Windows 11 وWindows 10 هذه التجميدات في النظام، حيث ربط معظمهم هذه المشاكل بـ Avira .

وفقًا للعديد من التقارير على Reddit ومنتديات العملاء الخاصة بـ Avira، عادةً ما تبدأ أجهزة الكمبيوتر المتأثرة بشكل طبيعي، ولكن بعضها لا يتمكن من تحميل سطح المكتب في Windows، كما أبلغ عنه Günter Born أول مرة.

تقريبًا بعد 20 ثانية من تشغيل Avira، يصبح نظام التشغيل بأكمله غير قابل للاستجابة، مع زر إعادة التشغيل الفعلي physical restart button كوسيلة وحيدة لإعادة تشغيل الكمبيوتر.

قال أحد المستخدمين المتأثرين: "بدأ جهاز الكمبيوتر الخاص بي فجأة في التجميد عند التشغيل. حاولت تعطيل جميع التطبيقات الخلفية حتى لم يتبقى إلا "Avira.

صرح مستخدم آخر: "لذلك كان جهاز الكمبيوتر الخاص بي (Win 10) يعمل بشكل جيد تمامًا قبل يومين، عادة ما أتركه يعمل. (لم أقم بإجراء أي تغييرات على أي شيء) ذهبت لاستخدامه وظهرت مشكلة في تجميد البداية تمامًا ولن يتم تحميل أي شيء".

المستخدمون المتأثرون اكتشفوا أن الحل الوحيد هو إلغاء تثبيت برنامج Avira أثناء التشغيل في وضع الأمان safe mode. على الرغم من حل مشكلة التجميد بالنسبة لبعض المستخدمين، واجه بعض المتأثرين صعوبات في إزالة Avira بشكل كامل.

أضاف أحد المستخدمين: "تمكنت من حل المشكلة بطريقة ما... كانت آخر إجراءاتي إلغاء تثبيت Avira، يمكنني القيام به خلال 20 ثانية قبل حدوث المشكلة عادةً (فقط بعد تسجيل الدخول)"، ليس مؤكدًا بنسبة %100 أن إلغاء التثبيت هو الذي حل المشكلة، لقد جربت العديد من الأشياء قبل ذلك (chkdsk sfc، ...) كان هناك شيء يمنع بوضوح تنفيذ عمليات جديدة، أعتقد أن برنامج مكافحة الفيروسات يمكن أن يفعل ذلك... ربما تحديث سيئ من Avira؟".

بعد إلغاء تثبيت Avira، يجب أن يقوم Windows تلقائيًا بإعادة تمكين برنامج مكافحة الفيروسات المجاني Defender الخاص بـ Microsoft..

أكدت Avira أنهم على علم بالمشكلة ويقومون حاليًا بالتحقيق فيها والبحث عن حل.

أفادت :Avira تؤدي تحديثات حديثة من Avira إلى عدم بدء عمليات Windows 10 و Windows 11  وسبب المشكلة في جدار حماية Avira الداخلي Avira internal Firewall under a rare condition.

تم الإبلاغ عن المشكلة لأول مرة يوم الجمعة 9 ديسمبر 2023، ومن المفترض أن يتم حلها تلقائيًا من خلال تحديث تم نشره يوم الإثنين 11 ديسمبر 2023. في حالة الاحتمالية الضئيلة من عدم تلقي الكمبيوتر التحديثات، يمكن للمستخدمين الاتصال بفريق دعم Avira الذي يقوم بالمساعدة.
 

أعلنت Sophos عن إصلاح تنفيذ التعليمات البرمجية عن بعد (RCE) لمواجهة الهجمات على جدران الحماية التي توقف عنها الدعم
 

12 ديسمبر 2023

قررت شركة Sophos إعادة توفير تحديث أمان لـ CVE-2022-3236 لإصدارات برمجيات الجدار الناري التي وصلت إلى نهاية حياتها (end-of-life EOL) بعد اكتشاف القراصنة استغلال الثغرات بنشاط في هجماتهم.

الثغرة تتمثل في مشكلة حقن الكود البرمجي في صفحة المستخدم وواجهة الويب لجدار الحماية من Sophos، مما يسمح بتنفيذ التعليمات البرمجية عن بُعد.

قامت Sophos بإصلاح هذه الثغرة الأمنية في سبتمبر 2022 عندما حذرت من استغلال نشط للثغرة، وكان يؤثر على الإصدارات 19.0.1 والأقدم.

بالرغم من أنه تم تطبيق التحديث السريع تلقائيًا على الأجهزة المُعدة لقبول تحديثات الأمان بشكل تلقائي من البائع، بحلول يناير 2023، ظل أكثر من 4000 جهاز معرض للإنترنت عُرضة للهجمات.

كان العديد من هذه الأجهزة عبارة عن أجهزة قديمة تعمل ببرامج ثابتة وصلت إلى نهاية حياتها التي يجب عليها تطبيق تخفيفات أو تطبيق التحديث السريع يدويًا، واستفاد القراصنة من هذه الفجوة.

أفاد البيان الأمني المحدث في ديسمبر 2023، "قمنا بتقديم إصلاح محدث بعد تحديد محاولات استغلال جديدة ضد نفس الثغرة في الإصدارات القديمة وغير المدعومة من جدار الحماية من Sophos".

"طورنا على الفور تصحيحًا لبعض إصدارات البرنامج الثابت التي وصلت إلى نهاية حياتها، وتم تطبيقه تلقائيًا على 99% من المنظمات المتأثرة والتي قامت بتفعيل خاصية 'قبول التحديث السريع".

"غالبًا ما يبحث القراصنة عن الأجهزة والبرامج الثابتة التي وصلت إلى نهاية حياتها من أي بائع تكنولوجيا، لذا نوصي بشدة بترقية الأجهزة والبرامج الثابتة التي وصلت إلى نهاية حياتها إلى أحدث الإصدارات".

إذا كانت خاصية التحديث التلقائي للتحديثات السريعة معطلة، يُوصى بتمكينها ثم اتباع الدليل للتحقق من تطبيق التحديث السريع.

بدلًا عن ذلك، يُوصى بالتحديث يدويًا إلى أحد الإصدارات التالية من جدار الحماية من Sophos التي تعالج CVE-2022-3236:

• v19.0 GA، MR1، و MR1-1

• v18.5 GA، MR1، MR1-1، MR2، MR3، و MR4

• v18.0 MR3، MR4، MR5، و MR6

• v17.5 MR12، MR13، MR14، MR15، MR16، و MR17

• v17.0 MR10

إذا كنت تستخدم إصدارًا أقدم من جدار الحماية من Sophos، يُوصى بالترقية إلى أحد الإصدارات المذكورة أعلاه.

في الحالات التي يكون فيها التحديث غير ممكن، الحل البديل المُوصى به هو تقييد الوصول إلى WAN إلى بوابة المستخدم وواجهة الويب باتباع هذه التعليمات واستخدام VPN أو Sophos Central بدلاً منها للوصول والتحكم عن بعد.

قامت Google بإصلاح ثغرة حرجة لتنفيذ كود برمجي عن بُعد (RCE) بدون حاجة لنقرة في Android
 

5 ديسمبر 2023
 
 

"أصلحت Google ثغرة حرجة لتنفيذ رمز عن بُعد (RCE) بدون حاجة لنقرة (CVE-2023-40088) مع إصدار تحديثات أمان Android لشهر ديسمبر 2023. تناولت التحديثات ما مجموعه 85 ثغرة، بما في ذلك ثغرة حرجة لتنفيذ رمز عن بُعد (RCE) بدون حاجة لنقرة مُعرفة باسم CVE-2023-40088.

الثغرة موجودة في مكون النظام في Android، ولا تحتاج إلى امتيازات إضافية للتفعيل. يمكن للمهاجم استغلال الثغرة لتنفيذ رمز تعسفي على الأجهزة المعرضة للخطر دون تفاعل المستخدم."

أفاد التنويه الأمني: "أخطر الثغرات في هذا القسم قد يؤدي إلى تنفيذ رمز عن بُعد (القريب/المجاور) بدون الحاجة إلى امتيازات تنفيذ إضافية. لا يلزم تفاعل المستخدم للاستغلال."

وقد قامت الشركة بمعالجة الثغرات الحرجة التالية في كل من
•    مكون الإطار (Framework).

•    مكون النظام:

•    مكونات Qualcomm ذات المصدر المغلق

تطلق Apple تصحيحات لنظام iOS وmacOS ومتصفح Safari لثغرتين Zero-Day يستغلان حاليًا
 

1 ديسمبر 2023

أصدرت شركة Apple تحديثات للبرمجيات لنظامي iOS وiPadOS وmacOS  ومتصفح الويب Safari لمعالجة ثغرتين أمنيتين تحت استغلال نشط في البرامج القديمة.

الثغرتان اللتان تقعان في محرك تصفح الويب WebKit، وصفهما كالتالي:

• CVE-2023-42916: مشكلة في القراءة خارج الحدود يمكن استغلالها لتسريب معلومات حساسة أثناء معالجة محتوى الويب.

• CVE-2023-42917: ثغرة في تلف الذاكرة يمكن أن يؤدي إلى تنفيذ تعليمات برمجية عشوائية أثناء معالجة محتوى الويب.

صرحت Apple أنها على علم بتقارير تستغل هذه الثغرات "في الإصدارات القديمة من iOS قبلiOS 16.7.1"، الذي أُطلق في 10 أكتوبر 2023. تم نسب اكتشاف الثغرتين والإبلاغ عنهما إلى Clément Lecigne من مجموعة تحليل التهديدات في Google (TAG).

لم تقدم الشركة المصنعة لهواتف iPhone معلومات إضافية بشأن استغلال هذه الثغرات حاليًا، ولكن ثغرات Zero-Day سابقة في نظام iOS تم استخدامها لتقديم برمجيات تجسس تستهدف الأفراد المعرضين للخطر الشديد، مثل النشطاء والمعارضين والصحفيين والسياسيين.

جدير بالذكر أن كل متصفح ويب تابع لجهة خارجية متاح لنظامي iOS وiPadOS، بما في ذلك Google Chrome وMozilla Firefox وMicrosoft Edge وغيرهما، يعتمد على محرك تقديم الويب WebKit نتيجة القيود المفروضة من قبل شركة Apple، مما يجعله هجومًا واسع النطاق. 

تحديثات متوافرة للأجهزة وأنظمة التشغيل التالية -

• iOS 17.1.2 and iPadOS 17.1.2 - iPhone XS and later, iPad Pro 12.9-inch 2nd generation and later, iPad Pro 10.5-inch, iPad Pro 11-inch 1st generation and later, iPad Air 3rd generation and later, iPad 6th generation and later, and iPad mini 5th generation and later

• macOS Sonoma 14.1.2 - Macs running macOS Sonoma

• Safari 17.1.2 - Macs running macOS Monterey and macOS Ventura

 
مع تحديثات الأمان الأخيرة، قامت Apple بتصحيح ما يصل إلى 19 ثغرة Zero-Day كانت تحت استغلال نشط منذ بداية عام 2023. وتأتي هذه التحديثات بعد أيام من إصدار Google لتصحيحات لثغرة عالية الخطورة في Chrome (CVE-2023-6345) التي تعرضت أيضًا لهجمات حقيقية، مما يجعلها الثغرة Zero-Day السابعة التي تم إصلاحها من قبل الشركة هذا العام.
 

التصحيح النهائي لعام 2023 من Microsoft تم إصلاح 33 ثغرة بما في ذلك 4 ثغرات خطيرة
 

13 ديسمبر 2023



  

أطلقت Microsoft مجموعتها النهائية من تحديثات شهر ديسمبر 2023، وأصلحت 33 ثغرة في برمجياتها، مما يجعلها واحدة من أخف الإصدارات في السنوات الأخيرة.

من بين 33 عيبًا، يُصنَّف أربعة على أنها حرجة و29 ثغرة بأنها مهمة من حيث الخطورة. هذه التصحيحات تأتي بالإضافة إلى 18 ثغرة قامت Microsoft بمعالجتها في متصفح Edge القائم على Chromium منذ إصدار تحديثات شهر نوفمبر 2023.

وفقًا لبيانات من مبادرة Zero Day، قامت الشركة بتصحيح أكثر من 900 ثغرة هذا العام، مما يجعلها واحدة من أكثر السنوات نشاطًا فيما يتعلق بتصحيحات Microsoft.  للمقارنة، قامت شركة Redmond بحل 917 CVEs في عام 2022.

بينما لا يُدرج أيٌ من الثغرات على أنها معروفة علنيًا أو تحت هجوم نشط في وقت الإصدار، إليك بعض الثغرات البارزة:

• CVE-2023-35628 (CVSS score: 8.1) - Windows MSHTML Platform Remote Code Execution Vulnerability

• CVE-2023-35630 (CVSS score: 8.8) - Internet Connection Sharing (ICS) Remote Code Execution Vulnerability

• CVE-2023-35636 (CVSS score: 6.5) - Microsoft Outlook Information Disclosure Vulnerability

• CVE-2023-35639 (CVSS score: 8.8) - Microsoft ODBC Driver Remote Code Execution Vulnerability

• CVE-2023-35641 (CVSS score: 8.8) - Internet Connection Sharing (ICS) Remote Code Execution Vulnerability

• CVE-2023-35642 (CVSS score: 6.5) - Internet Connection Sharing (ICS) Denial-of-Service Vulnerability

• CVE-2023-36019 (CVSS score: 9.6) - Microsoft Power Platform Connector Spoofing Vulnerability

ثغرة CVE-2023-36019 تعتبر أيضًا مهمة لأنها تسمح للمهاجم بإرسال رابط URL مصمم بشكل خاص إلى الهدف، مما يؤدي إلى تنفيذ البرامج النصية الضارة في متصفح الضحية على جهازهم.

وفقًا لتحذير من Microsoft: "يمكن للمهاجم أن يتلاعب بالرابط أو التطبيق أو الملف الخبيث لتمويهه كرابط أو ملف شرعي لخداع الضحية". 

الإصلاحات أغلقت أيضًا ثلاث ثغرات في خدمة خادم بروتوكول تكوين المضيف الديناميكي (Dynamic Host Configurat    ion Protocol "DHCP") يمكن أن تؤدي إلى حدوث حالة من رفض الخدمة أو الكشف عن المعلومات.

• CVE-2023-35638 (CVSS score: 7.5) - DHCP Server Service Denial-of-Service Vulnerability

• CVE-2023-35643 (CVSS score: 7.5) - DHCP Server Service Information Disclosure Vulnerability

• CVE-2023-36012 (CVSS score: 5.3) - DHCP Server Service Information Disclosure Vulnerability

هذه الهجمات يمكن أن تسمح للمهاجمين بتزييف سجلات DNS الحساسة، مما يؤدي إلى عواقب متفاوتة تتراوح من سرقة بيانات الاعتماد إلى اختراق كامل لنطاق Active Directory، أفاد Ori David "الهجمات لا تتطلب أي بيانات اعتماد، وتعمل مع تكوين Microsoft DHCP server الافتراضي.

لاحظت شركة البنية التحتية والأمن للويب أن تأثير العيوب يمكن أن يكون كبيرًا حيث يمكن استغلالها لتزييف سجلات DNS على خوادم DNS الخاصة بـMicrosoft ، بما في ذلك الكتابة الدورية لسجل DNS تحديد بدون مصادقة، مما يتيح للمهاجم الحصول على وضع جهاز يتنصت في منتصف الاتصال على الأجهزة في النطاق والوصول إلى بيانات حساسة.

ردًا على الاكتشافات، قالت Microsoft إن "المشكلات إما بتصميمها أو أنها ليست خطيرة بما فيه الكفاية لتلقي تحديث،" مما يتطلب من المستخدمين تعطيل تحديثات DHCP DNS الديناميكية إذا لم تكن مطلوبة والامتناع عن استخدام DNSUpdateProxy.
 

سبعة اتجاهات للأمن السيبراني في عام 2024
  

يتطلب ظهور التقنيات الجديدة طرقًا جديدة للحفاظ على البيانات آمنة والتعرف على التطورات التي تحدث في مجال الأمن السيبراني.

يشارك الأشخاص الآن المزيد من المعلومات رقميًا أكثر من أي وقت مضى - وبطرق مستمرة في التطور. مع ظهور التقنيات الجديدة تأتي أنواع جديدة من الهجمات. في الواقع، تتوقع McKinsey أن الجرائم السيبرانية ستكلف الشركات مجموعًا سنويًّا قدره 10.5 تريليونات دولار بحلول عام 2025. وهذا يجعل من الأهمية بشكل خاص أن يظل المتخصصون في مجال الأمن السيبراني على اطلاع دائم بالاتجاهات الرئيسة.

فيما يلي، سبعة اتجاهات للأمن السيبراني ستكون مهمة

1. حماية إضافية للبيانات للعمل عن بعد.
   لا تزال ترتيبات العمل عن بعد والمختلط من الخيارات الشائعة في الولايات المتحدة. وفقًا لإحصائيات مكتب العمل الأمريكي، توفر 11.1 % من الشركات بيئة عمل كاملة عن بُعد، بينما توفر 27.5 % من الشركات بيئة عمل مختلطة.
   نظرًا لأن العديد من الموظفين يعملون الآن من المنزل (أو من موقع آخر خارج الجهة) في بعض الأحيان، تزداد فرصة اختراق البيانات. يجب أن يعمل متخصصو الأمن السيبراني على ضمان بقاء بيانات شركاتهم آمنة باستخدام تدابير إضافية، مثل الشبكات الافتراضية الخاصة VPNs وبرامج مكافحة الفيروسات anti-virus software. ويجب عليهم أيضًا البقاء على اطلاع بالتهديدات الفريدة، بما في ذلك محاولات التصيد phishing وبرامج الفدية ransomware. 

    

2. الذكاء الاصطناعي AI والتعلم الآلي machine learning سينشئ هجمات أكثر تعقيدًا
   تأتي التقنيات الناشئة مثل الذكاء الاصطناعي AI والتعلم الآلي machine learning مصحوبة أيضًا بتهديدات ناشئة. ويستخدم المهاجمون الآن هذه التطورات لتطوير وتنفيذ هجمات متطورة بمعدل أسرع بكثير. على سبيل المثال، كما افترض معهد Massachusetts للتكنولوجيا، يمكن للمهاجمين استخدام ChatGPT لتخليق مواد تسويقية لشركة ثم إنشاء رسائل بريد إلكتروني تصيدية phishing  أكثر إقناعًا بصوت الشركة.
   ويقول الخبراء إن هذه المشكلة بدأت للتو. وشهدت شركة الأمن التكنولوجي Zscaler زيادة بنسبة 47 % في محاولات التصيد الاحتيالي phishing  في عام 2022 وأرجعت جزءًا من هذا الارتفاع إلى الذكاء الاصطناعي AI. ستحتاج الشركات إلى متخصصين في مجال الأمن يفهمون الذكاء الاصطناعي وقدراته ومخاطره الكامنة.

   
    

3. الهجمات على السحابة cloud والهواتف المحمولة mobile وإنترنت الأشياء IoT ستزال مرتفعة
   أصبحت التكنولوجيا جزءًا لا يتجزأ من حياة الناس. وبحلول عام 2025، من المتوقع أن يصل الطلب على الأجهزة الذكية smart devices إلى 1.8مليار منتج. لكن نمو الصناعة هذا يجعل الناس أكثر عرضة للخطر من أي وقت مضى.
   مع زيادة اعتماد الأشخاص على تطبيقات الهاتف المحمول mobile apps والسحابة cloud والمنازل الذكية smart homes والمركبات الذكية smart vehicles، سيتزايد عدد الفرص المتاحة للمهاجمين لاختراق خصوصيتهم. لا تزال الهجمات - مرتفعة على نقاط ضعف السحابة cloud والتطبيقات apps وإنترنت الأشياء IoT، وكذلك معرفة كيفية مكافحة مثل هذه الهجمات.

   
    

4. التعليمات البرمجية مفتوحة المصدر Open-source code تحتوي على مخاطر محتملة.
   توفر مكتبات التطبيقات مفتوحة المصدر Open-source application libraries قواعد تعليمات برمجية يمكن استخدامها وتعديلها مجانًا دون الحصول على إذن رسمي، ويعتمد عليها المطورون بشكل كبير. يقدر الخبراء أن مكتبات التطبيقات مفتوحة المصدر تُستخدم فيما يتراوح بين 70 إلى 90 % من الحلول البرمجية.
   المشكلة هي أن غالبية البرامج مفتوحة المصدر تحتوي على مخاطر أمنية حقيقية. في تقرير صدر عام 2023، وجدت Synopsis أن 87 % من 1702 قاعدة تعليمات برمجية codebases تم فحصها كانت بها مخاطر أمنية. ستحتاج إلى خبراء يمكنهم مراجعة واختبار التعليمات البرمجية مفتوحة المصدر لتحديد أي ثغرات وتصحيحها.

   
    

5. المصادقة متعددة العوامل (MFA) تحتاج إلى الابتكار
   تعد المصادقة متعددة العوامل (MFA) بمثابة طبقة إضافية من الأمان تساعد في حماية الحسابات عبر الإنترنت. على الرغم من أن أسلوب MFA يميل إلى الانقسام بين الرسائل النصية القصيرة (المطالبات النصية والمكالمات الهاتفية) والتطبيقات، فإن المزيد من الشركات تعتمد على الرسائل النصية القصيرة لأنه من الأسهل على الشركات تطويرها وتنفيذها.
   كما أنها أكثر عرضة للخطر. أصبح المهاجمون أكثر ذكاءً في التعامل مع عمليات المصادقة المستندة إلى الرسائل النصية القصيرة نظرًا لأن النصوص غير مشفرة وتظل معرضة لهجمات نظام الإشارة 7 (SS7). تميل تطبيقات MFA إلى أن تكون أكثر أمانًا، مما يعني أن الشركات التي تعتمد على الرسائل النصية القصيرة لمصادقة مستخدميها من المحتمل أن تضطر إلى التحول إلى تطبيقات MFA في المستقبل.

   
    

6. زيادة الاحتياج إلى خدمات التخفيف mitigation services للهجمات الموزعة لحجب الخدمة DDoS
   تطغى هجمات حجب الخدمة الموزعة (DDoS) على حركة مرور الخادم، وغالبًا ما تؤدي إلى إبطاء تجربة المستخدمين أو تعطيلها تمامًا. بين مارس 2022 ومارس 2023، زادت هجمات DDoS بنسبة 109 %. وقد أدت هذه الزيادة إلى زيادة الحاجة إلى مكافحة هجمات DDoS بحلول أكثر تطورًا واستدامة.
   ومن المتوقع أن تنمو خدمات التخفيف mitigation services من هجمات DDoS استجابةً للطلب. ستحتاج الشركات أيضًا إلى متخصصين ذوي خبرة في مجال الأمن السيبراني يمكنهم تحديد وتنفيذ أفضل مقدمي خدمات التخفيف لتلبية احتياجاتهم.

   
    

7. سيكون من المهم حماية المعلومات الجديرة بالثقة
   عندما يتعلق الأمر بالحفاظ على أمان البيانات، تساعد مبادرات الأمن السيبراني في بناء ثقة المستخدم والحفاظ عليها. وأي خرق لهذه الثقة يمكن أن يكون له عواقب وخيمة.
   ومع ذلك، يشير المنتدى الاقتصادي العالمي إلى أن الثقة ستتغير مع ظهور الذكاء الاصطناعي AI. نظرًا لأنه أصبح من الصعب تحديد ما إذا كان هناك شيء مكتوب بواسطة إنسان أو خوارزمية، فسوف يبحث المستخدمون عن مصادر توفر معلومات موثوقة وجديرة بالثقة. وهذا يعني أن متخصصي الأمن السيبراني قد يتحولون من التركيز بشكل مكثف على خصوصية البيانات إلى ضمان وحماية المعلومات المشروعة.