أمن المعلومات.. لماذا أنت مستهدف؟
نقدم لكم مجموعة من أبرز الأحداث في مجال أمن المعلومات، فضلًا عن الثغرات والهجمات الإلكترونية التي تهم المستخدمين.
أهم الأخبار:
أطلقت Microsoft خدمات الأمن السيبراني لمساعدة العملاء على محاربة برامج الفدية والهجمات الأخرى.
أعلن مكتب التحقيقات الفيدرالي FBI أن خسائر عمليات الاحتيال عبر البريد الإلكتروني بلغت 43 مليار دولار.
أعلنت الولايات المتحدة عن مكافأة مقدارها 15 مليون دولار مقابل معلومات عن عصابة Conti ransomware.
"قراصنة Space Pirates " الصينيون يخترقون شركات الطيران الروسية.
استخدام مقاطع فيديو مزورة لـ Elon Musk للترويج لعملية احتيال جديدة في العملة المشفرة.
مخاطر وثغرات:
اختراق Windows 11 ثلاث مرات في اليوم الأخير من مسابقة Pwn2Own.
أصدرت شركة Google تحديث Android لتصحيح الثغرة الأمنية المستغلة بشكل نشط.
أصدرت VMware تصحيحات لثغرات أمنية جديدة تؤثر على عدد من منتجاتها.
برنامج مكافحة الفيروسات Trend Micro قام بتعديل سجل Windows عن طريق الخطأ.
قراصنة يستغلون ثغرة في F5 BIG-IP بشكل نشط.
معلومة أمنية:
لماذا أنت مستهدف؟!
مقتطفات من أهم الأحداث الخاصة بأمن المعلومات محليًا وعالميًا
أطلقت Microsoft خدمات الأمن السيبراني لمساعدة العملاء على محاربة برامج الفدية والهجمات الأخرى
9 مايو 2022
ينمو تطوير أمن المعلومات في Microsoft بشكل أسرع من أي من منتجاتها الرئيسة، والآن تضيف الشركة ثلاث خدمات جديدة مصممة لمساعدة المؤسسات على اكتشاف حوادث الأمن السيبراني والاستجابة لها.
تعد Microsoft من بين الشركات الرائدة في البرامج السحابية والبنية التحتية، مما يعني أن تقنيتها هي بالفعل العمود الفقري للعديد من الشركات من جميع الأحجام. يضع ذلك الشركة في وضع يسمح لها ليس فقط بتوفير برامج الأمان لقاعدة عملائها، ولكن أيضًا تقديم خدمات استشارية في السوق.
يأتي هذا الاستثمار في الوقت الذي تكثف فيه المؤسسات إنفاقها على الأمان لإدارة التهديدات المتزايدة لهجمات برامج الفدية واختراق الشبكة. في العام الماضي، تعهدت Microsoft وشركات تقنية أخرى بالمساعدة في ملء نحو 500,000 وظيفة في مجال الأمن السيبراني في الولايات المتحدة، وأفاد الرئيس التنفيذي لشركة Microsoft ساتيا ناديلا، أن الإنفاق السنوي على البحث والتطوير في مجال الأمن السيبراني سيرتفع من 1 مليار دولار إلى 4 مليارات دولار.
يمثل الأمن السيبرانى بالفعل نشاطًا تجاريًا سنويًا بقيمة 15 مليار دولار لشركة Microsoft، وفي عام 2021 زاد بشكل أسرع من أي منتج أو خدمة مهمة أخرى تبيعها الشركة.
أفاد فاسو جاكال، نائب رئيس شركة Microsoft لأمن المعلومات، أن جزءًا كبيرًا من إنفاق Microsoft الإضافي ينصب على العامل البشرى والأشخاص التقنيين في أمن المعلومات.
من بين المنتجات الجديدة التي تم إطلاقها Microsoft Defender Experts for Hunting. سيتضمن عمل مهندسي Microsoft الإبلاغ عن المشكلات التي يجدونها في أجهزة العملاء، وعمليات تثبيت برامج إنتاجية Office 365، والتطبيقات السحابية وبرامج الهوية، مقابل 3 دولارات أمريكية لكل شخص شهريًا. هذه الخدمات ستضع Microsoft في منافسة مباشرة أكثر مع شركات برامج الأمن السيبرانى مثل، CrowdStrike.
هناك أيضًا Microsoft Defender Experts for XDR، إنها خدمة كثيفة العمالة والتي تكلف 14 دولارًا للشخص الواحد في الشهر، حيث تكلف موظفي Microsoft بمساعدة الشركات في اتخاذ إجراءات بشأن التهديدات. يتم تنفيذ هذا النوع من العمل من قبل مجموعة متنوعة من الشركات.
المنتج الثالث الجديد هو Microsoft Security Services for Enterprise، والذي يتضمن مجموعة أوسع من الخدمات التي تعتمد بشكل كبير على العامل البشرى.
قال كريج روبنسون، المحلل المتخصص في الأمن بمؤسسة البيانات الدولية IDC، إن مايكروسوفت تستعد لاكتساب حصة في السوق في خدمات الأمن المدارة ومع خدماتها الجديدة، يتعين على Microsoft الآن التوسع لتلبية الطلب. وأضاف "أنا متأكد من وجود 1000 فرصة عمل في Microsoft في الوقت الحالي، على الأقل في مجال الأمن السيبرانى.
تتطلع Google، أحد أكبر منافسي Microsoft السحابية، إلى النمو في السوق. في مارس 2022، أعلنت Google عن نيتها الاستحواذ على Mandiant مقابل 5.4 مليارات دولار. وقد ذكرت بلومبرج في فبراير 2022 أن مايكروسوفت تجري محادثات لشراء مانديانت، التي ساعدت منذ سنوات الوكالات الحكومية والشركات في الانتهاكات.
أعلن مكتب التحقيقات الفيدرالي أن خسائر عمليات الاحتيال عبر البريد الإلكتروني بلغت 43 مليار دولار
4 مايو 2022
أعلن مكتب التحقيقات الفيدرالي (FBI) أن مقدار الأموال المفقودة في عمليات الاحتيال عبر البريد الإلكتروني الخاص بالشركات والأعمال business email compromise (BEC) يستمر في النمو كل عام، مع زيادة بنسبة 65 ٪ في الخسائر العالمية المحددة بين يوليو 2019 وديسمبر 2021.
وخلال يونيو 2016 حتى يوليو 2019، تلقى مركز شكاوى جرائم الإنترنت ((IC3 شكاوى الضحايا بخصوص 241حادثة محلية، و206 دولية، مع إجمالي خسارة بالدولار بلغت 43,321749,946 دولارًا.
وقال مكتب التحقيقات الفيدرالي: "بناءً على البيانات المالية التي تم الإبلاغ عنها لمركز شكاوى جرائم الإنترنت IC3 لعام 2021، كانت البنوك الموجودة في تايلاند وهونج كونج هي الوجهات الدولية الرئيسة للأموال الاحتيالية".
تم الكشف عن ذلك في إعلان خدمة جديد نُشر على موقع مركز شكاوى جرائم الإنترنت (IC3) كتحديث لإصدار سابق من سبتمبر 2019، عندما قال مكتب التحقيقات الفيدرالي إن الخسائر في هجمات BEC - business email compromise التي أبلغ عنها الضحايا بين يونيو 2016 ويوليو 2019 وصلت إلى أكثر من 26 مليار دولار.
وفقًا لتقرير مركز شكاوى جرائم الإنترنت IC3 2021 الخاص بجرائم الإنترنت، كانت عمليات الاحتيال في BEC - business email compromise هي نوع الجرائم الإلكترونية التي سجلت أعلى خسارة في إجمالي الخسائر المبلغ عنها في العام الماضي.
أبلغ الضحايا عن خسائر بلغت 2.4 مليار دولار تقريبًا في عام 2021، بناءً على 19,954 شكوى مسجلة مرتبطة بهجمات BEC - business email compromise التي تستهدف الأفراد والشركات.
يستخدم محتالو BEC - business email compromise أساليب مختلفة - بما في ذلك الهندسة الاجتماعية، والتصيد الاحتيالي، والقرصنة - لاختراق حسابات البريد الإلكتروني الخاصة بالأعمال والشركات والتي ستُستخدم لإعادة توجيه المدفوعات إلى الحسابات المصرفية التي يتحكم فيها المهاجمون.
في هذا النوع من الاحتيال سيستهدف المحتالون عادةً الشركات الصغيرة والمتوسطة والكبيرة. ومع ذلك، فهم يهاجمون الأفراد أيضًا إذا كان المبلغ يستحق ذلك. فمعدل نجاحهم مرتفع أيضًا، نظرًا لأنهم ينتحلون بشكل عام شخصية شخص لديه ثقة بالهدف، مثل، شركاء العمل أو المديرون التنفيذيون للشركة. ومع ذلك، "لا ترتبط عملية الاحتيال دائمًا بطلب تحويل الأموال". و "يتضمن أحد الأشكال التنازل عن حسابات البريد الإلكتروني التجارية المشروعة وطلب معلومات التعريف الشخصية للموظفين أو نماذج بيان الأجور والضرائب أو حتى محافظ العملات المشفرة."
قدم مكتب التحقيقات الفيدرالي أيضًا إرشادات حول كيفية الدفاع ضد محاولات احتيال BEC - business email compromise:
استخدم آليات للتحقق من طلبات التغييرات في معلومات الحساب مثل، المصادقة ذات العاملين two-factor authentication.
تأكد من أن عنوان URL في رسائل البريد الإلكتروني مرتبط بالعمل / الفرد الذي يدعي أنه قادم منه.
انتبه إلى الارتباطات التشعبية hyperlinks التي قد تحتوي على أخطاء إملائية للاسم الفعلي actual domain name.
الامتناع عن تقديم بيانات اعتماد تسجيل الدخول أو معلومات تحديد الهوية الشخصية من أي نوع عبر البريد الإلكتروني. حيث إن العديد من رسائل البريد الإلكتروني التي تطلب معلوماتك الشخصية قد تبدو شرعية.
تحقق من عنوان البريد الإلكتروني المستخدم لإرسال رسائل البريد الإلكتروني، خاصةً عند استخدام جهاز محمول (حاسب نقالي – موبيل ... الخ)، من خلال التأكد من أن عنوان المرسل يبدو متطابقًا مع الشخص الذي يأتي منه.
تأكد من تمكين الإعدادات في أجهزة كمبيوتر الموظفين للسماح بعرض ملحقات البريد الإلكتروني الكاملة.
راقب حساباتك المالية الشخصية بشكل منتظم بحثًا عن المخالفات، مثل فقدان الودائع.
تنصح وكالة إنفاذ القانون الفيدرالية أولئك الذين يقعون ضحية احتيال BEC - business email compromise بالتواصل على الفور مع مصرفهم لطلب سحب الأموال. وتقديم شكوى إلى مكتب التحقيقات الفيدرالي، بغض النظر عن المبلغ المفقود، وفي أسرع وقت ممكن.
أعلنت الولايات المتحدة عن مكافأة مقدارها 15 مليون دولار مقابل معلومات عن عصابة Conti ransomware
7 مايو 2022
أعلنت وزارة الخارجية الأمريكية عن دفع مبلغ يصل إلى 15 مليون دولار، وذلك مقابل حصولها على معلومات تساعدها في تحديد عصابة Conti ransomware.
يتم تقديم ما يصل إلى 10 ملايين دولار من هذه المكافأة للحصول على معلومات حول هوية قادة Conti وموقعهم، و5 ملايين دولار إضافية لتؤدي إلى اعتقال و / أو إدانة الأفراد الذين تآمروا أو حاولوا المشاركة في هجمات Conti ransomware.
وفقًا لبيان صادر عن المتحدث باسم وزارة الخارجية الأمريكية نيد برايس، فقد أصاب Conti أكثر من 1000 ضحية دفعوا أكثر من 150 مليون دولار كفدية حتى يناير 2022.
قال برايس: "كانت مجموعة Conti ransomware مسؤولة عن مئات من حوادث برامج الفدية خلال العامين الماضيين".
"يقدر مكتب التحقيقات الفيدرالي FBI أنه اعتبارًا من يناير 2022، كان هناك أكثر من 1000 ضحية للهجمات المرتبطة ببرامج الفدية Conti مع مدفوعات الضحايا التي تتجاوز 150,000,000دولار، مما يجعل Conti Ransomware هو الأكثر تكلفة من بين برامج الفدية التي تم توثيقها على الإطلاق".
يتم تقديم المكافآت كجزء من برنامج مكافآت الجريمة المنظمة عبر الوطنية التابع لوزارة الخارجية (TOCRP - Transnational Organized Crime Rewards Program). منذ عام 1986، دفعت الإدارة أكثر من 135 مليون دولار من المكافآت في إطار هذا البرنامج.
يمكن لأولئك الذين يمكنهم تقديم هذه المعلومات تقديم نصائح إلى مكتب التحقيقات الفيدرالي على https://tips.fbi.gov أو باستخدام نموذج الإرشاد الإلكتروني لمكتب التحقيقات الفيدرالي.
Conti ransomware
عملية Ransomware-as-a-Service (RaaS) مرتبطة بمجموعة جرائم الإنترنت Wizard Spider الناطقة باللغة الروسية (المعروفة أيضًا بالبرامج الضارة الأخرى سيئة السمعة، بما في ذلك Ryuk و TrickBot و BazarLoader).
من بين ضحايا مجموعة Conti ransomware، المدير التنفيذي للخدمات الصحية في أيرلندا (HSE) ووزارة الصحة (DoH)، حيث طلبوا دفع فدية قدرها 20 مليون دولار.
حذر مكتب التحقيقات الفدرالي أيضًا في مايو 2021 من أن مشغلي Conti حاولوا خرق أكثر من اثنتي عشرة منظمة للرعاية الصحية في الولايات المتحدة.
وفقًا للمحللين من العديد من شركات الأمن السيبراني، تدير Conti الآن العديد من الأعمال الجانبية التي تهدف إلى الحفاظ على عمليات برامج الفدية أو الدفع مقابل الوصول الأولى إلى الشبكة عند الحاجة.
وكانت إحدى هذه العمليات الجانبية هي مجموعة ابتزاز البيانات Karakurt التي ظهرت مؤخرًا، وهي نشطة منذ يونيو 2021 على الأقل ومرتبطة مؤخرًا بـ Conti من قبل باحثين من Advanced Intelligence وInfinitum وArctic Wolf وNorthwave وChainalysis.
قراصنة "Space Pirates" الصينيون يخترقون شركات الطيران الروسية
18 مايو 2022
تستهدف مجموعة القرصنة الصينية غير المعروفة من قبل وتُعرف باسم "Space Pirates" الشركات في صناعة الطيران الروسية برسائل بريد إلكتروني تصيدية لتثبيت برامج ضارة جديدة على أنظمتها.
يُعتقد أن مجموعة التهديد بدأت العمل عام 2017، وعلى الرغم من ارتباطها بمجموعات معروفة مثل، APT41 (Winnti) وMustang Panda وAPT27، يُعتقد أنها مجموعة جديدة من الأنشطة الضارة.
أطلق محللو التهديدات الروسية في شركة Positive Technologies على المجموعة اسم "Space Pirates"، بسبب عمليات التجسس التي يقومون بها والتي تركز على سرقة المعلومات السرية من الشركات العاملة في مجال الطيران.
شوهدت مجموعة Space Pirates APT تستهدف الوكالات الحكومية والشركات العاملة في خدمات تكنولوجيا المعلومات والفضاء وصناعات الطاقة الكهربائية الموجودة في روسيا وجورجيا ومنغوليا.
اكتشف محللو التهديدات لأول مرة علامات نشاط Space Pirates أثناء الاستجابة للحوادث وأكدوا بسرعة أن الجهات المتسببة في التهديد استخدمت نفس البرامج الضارة والبنية التحتية ضد أربعة كيانات محلية أخرى على الأقل منذ عام 2019.
تتعلق حالتان من هذه الحالات بشركات روسية بمشاركة الدولة، والتي نجح المتسللون في اختراقها.
في الحالة الأولى، حافظ ممثلو التهديد على وصولهم إلى 20 خادمًا لمدة عشرة أشهر، وسرقوا أكثر من 1500 مستند وتفاصيل عن الموظفين وبيانات حساسة أخرى.
وفي الحالة الثانية، بقي المتسللون الصينيون في شبكة الشركة المخترقة لأكثر من عام، حيث قاموا بسحب المعلومات السرية وتثبيت البرامج الضارة الخاصة بهم على 12 نقطة بشبكة الشركة في ثلاث مناطق متميزة.
تتكون ترسانة Space Pirates من loaders مخصصة مختبئة في مستندات خادعة، وأبواب خلفية معدلة قليلاً كانت موجودة منذ سنوات، والبرنامج الخبيث للعلامة التجارية الصينية PlugX، والملفات المصممة خصيصًا للباب الخلفي PcShare.
تستخدم APT المكتشفة حديثًا ثلاث أدوات برمجية ضارة معيارية غير موثقة سابقًا، وهي Deed RAT وBH_A006 وMyKLoadClient.
ويعرف MyKLoadClient بأنه أداة تحميل تستخدم أرشيفات SFX جنبًا إلى جنب مع التحميل الجانبي لـ DLL من خلال مكتبة إضافية موقعة من شركة McAfee Inc.
BH_A006 هو نسخة معدلة بشكل كبير من Gh0st backdoor ، والتي تتميز بطبقات عديدة من التعتيم لتجاوز الحماية الأمنية وإحباط التحليل. تشمل ميزاته إنشاء خدمة الشبكة، وتجاوز التحكم في حساب المستخدم UAC، وتفريغ shellcode وتشغيله في الذاكرة.
أما Deed RAT، فهو أداة تتميز بطريقة غير عادية وذكية لنقل التحكم إلى shellcode.
يؤدي استخدام الأدوات المشتركة إلى حجب آثار مجموعات التهديد المتميزة ويجعل عمل المحللين أكثر صعوبة، مما يجعل لدى APTs الصينية أسبابًا متعددة لاتباع هذه الممارسة.
كما شوهدت شركة Space Pirates وهي تنشر برامجها الضارة المخصصة على بعض الشركات الصينية لتحقيق مكاسب مالية، لذلك قد يكون لمجموعة التهديد وظيفة مزدوجة.
وأكدت النتائج الأخيرة للمحللين في Secureworks وGoogle أن المتسللون الصينيون عدوانيين للغاية ضد الأهداف الروسية مؤخرًا.
وان التجسس هو عملية قياسية للتهديد المستمر الصيني Advanced persistent threat - APTs، وروسيا تُعَد هدف جيد يتفوق في الفضاء والأسلحة والهندسة الكهربائية وبناء السفن والتكنولوجيا النووية.
استخدام مقاطع فيديو مزورة لـ Elon Musk للترويج لعملية احتيال جديدة في العملة المشفرة BitVex
20 مايو 2022
قامت مجموعة من محتالي العملات المشفرة باستخدام التزييف لعمل مقاطع فيديو مزيفة لـ " Elon Musk " وغيره من مروجي العملات المشفرة البارزين للترويج للاحتيال على منصة تداول BitVex بغرض سرقة الأموال المودعة.
تدعي منصة تداول العملات المشفرة BitVex المزيفة أنها مملوكة من قبل Elon Musk، الذي أنشأ الموقع للسماح لأي شخص باسترداد ما يصل إلى 30 ٪ من ودائعه المشفرة.
بدأت الحملة الاحتيالية في هذا الشهر من خلال إنشاء جهات تهديد أو اختراق حسابات YouTube الحالية لاستضافة مقاطع فيديو مزيفة لكل من "Elon Musk" و"Cathie Wood" و"Brad Garlinghouse" و"Michael Saylor" و" Charles Hoskinson".
تعد مقاطع الفيديو هذه مقابلات حقيقية تم تعديلها باستخدام تقنية التزييف لاستخدام صوت الشخص في نص تم توفيره من قبل الجهات المهددة. فمثلا، تجد Elon يروج لموقع الاحتيال ويقول إنه استثمر به 50 مليون دولار. على الرغم من أن المقابلات قد تم تغييرها لمحاكاة صوت Elon Musk للترويج لمنصة تداول BitVex، فإن العديد من الأدلة الأخرى تظهر أن هذه عملية احتيال.
تم اختراق العديد من قنوات YouTube التي تروج لمنصة التداول هذه لعرض مقاطع فيديو YouTube أو YouTube Shorts لتروّج لموقع تداول BitVex فجأة. على سبيل المثال، بدأت إحدى قنوات YouTube التي تعرض مقاطع فيديو ألعاب باللغة العربية فجأة في عرض سلسلة من YouTube Short التي روجت لعملية احتيال BitVex. بالإضافة إلى ذلك، تم العثور على عشرات القنوات الأخرى على YouTube تم اختطافها بالمثل للترويج لهذا الاحتيال.
على سبيل المثال، يزعم الموقع أن Elon Musk هو الرئيس التنفيذي لمنصة التداول ويحتوي على موافقات من Cathie Wood من Ark Invest والرئيس التنفيذي لشركة Binance Changpeng Zhao.
لاستخدام منصة BitVex، يجب على المستخدمين تسجيل حساب في bitvex [.] org أو bitvex [.] net للوصول إلى منصة الاستثمار. فبمجرد تسجيل الدخول، سيعرض الموقع لوحة معلومات، حيث يمكنك إيداع العديد من العملات المشفرة أو تحديد خطة استثمار أو سحب أرباحك. مثل، جميع عمليات الاحتيال المتعلقة بالعملات المشفرة تقريبًا، ستعرض لوحة المعلومات عمليات السحب الأخيرة للعديد من العملات المشفرة لجعل الموقع يبدو شرعيًا.
يتم إنشاء عمليات السحب هذه من خلال JavaScript، واختيار عشوائي لواحدة من خمس عملات مشفرة مختلفة (Cardano، أو Ethereum، أو Bitcoin، أو Ripple، أو Binance Coin) وتوليد مبالغ السحب بشكل عشوائي. يتم تغيير عمليات السحب المزيفة هذه بشكل عشوائي عند تحديث كل صفحة.
في حين أنه من الصعب تصديق أن الناس سيقعون في هذه الحيل، فمن المعروف أن التبرعات بالعملة المشفرة وخطط الاستثمار المزيفة تولد ملايين الدولارات للجهات الفاعلة المهددة. ففي (يناير) 2021، كسبت عملية احتيال مزيفة على شكل تبرعات من Elon Musk مبلغ 580 ألف دولار في أسبوع واحد فقط. وفي الآونة الأخيرة، سرقت عملية احتيال تحت عنوان Ark Invest، تم الترويج لها على YouTube، 1.3 مليون دولار من خلال إعادة بث نسخة معدلة من حلقة نقاشية قديمة حول العملة المشفرة مع Elon Musk وJack Dorsey وCathie Wood من Ark Invest.
أصبحت عمليات الاحتيال هذه منتشرة للغاية ومربحة للغاية لدرجة أن لجنة التجارة الفيدرالية FTC أصدرت تقريرًا منذ أكتوبر2020 يحذر من فقد 80 مليون دولار في عمليات الاحتيال الاستثمارية بالعملة المشفرة.
لذلك، من الضروري إدراك أن كل موقع من مواقع التبرعات المشفرة تقريبًا عبارة عن عملية احتيال، خاصة تلك التي يُزعم أنها من Elon Musk وTesla وSpaceX وArk Invest وGemini والذين يحققون عوائد ضخمة.
إذا رأيت رسائل بريد إلكتروني أو تغريدات أو مقاطع فيديو أو رسائل أخرى على وسائل التواصل الاجتماعي تروج لهذه الأنواع من الهدايا، فتذكر أن أي عملة مشفرة ترسلها لن ينتج عنها أي شيء في المقابل.
مخاطر و ثغرات أمنية تخص البرمجيات الأكثر استخدامًا وشيوعًا
اختراق Windows 11 ثلاث مرات في اليوم الأخير من مسابقة Pwn2Own
21 مايو2022
في اليوم الثالث والأخير من مسابقة القرصنة Pwn2Own Vancouver لعام 2022، نجح باحثو الأمن السيبرانى في اختراق نظام التشغيل Microsoft Windows 11 ثلاث مرات باستخدام ثغرات يوم الصفر zero-day exploits.
فشلت المحاولة الأولى في اليوم الأول التي تستهدف Microsoft Teams بعد أن لم يتمكن Team DoubleDragon من إظهار استغلالهم في الوقت المحدد.
اخترق جميع المتسابقين الآخرين أهدافهم، وكسبوا 160 ألف دولار بعد إسقاط Windows 11 ثلاث مرات، وUbuntu Desktop مرة واحدة.
في اليوم الثالث من Pwn2Own كان nghiadt12 من Viettel Cyber Security أول من نجح في تصعيد الامتيازات escalation of privilege على نظام التشغيل Windows 11 باستخدام يوم الصفر zero-day (عبر Integer Overflow).
قام Bruno Pujos من REverse Tactics وvinhthp1712 أيضًا بتصعيد الامتيازات على نظام التشغيل Windows 11 باستخدام ثغرات أمنية للتحكم في الوصول بعد الاستخدام Use-After-Free وImproper Access Control، على التوالي.
أخيرًا وليس آخرًا، اخترق Billy Jheng Bing-Jhong من STAR Labs نظامًا يقوم بتشغيل Ubuntu Desktop باستخدام ثغرة Use-After-Free.
انتهى Pwn2Own 2022 بفوز 17 منافسًا ربحوا جميعا مبلغ 1,155,000 دولار والتي تمت على مدار ثلاثة أيام من 18 إلى 20 مايو بعد 21 محاولة.
في اليوم الأول، حصل على 800,000 دولار بعد النجاح في استغلال 16 ثغرة من zero-day bugs لاختراق منتجات متعددة، بما في ذلك نظام التشغيل Microsoft Windows 11 ومنصة اتصالات Teams وUbuntu Desktop وApple Safari وOracle Virtual box وMozilla Firefox.
في اليوم الثاني، حصل على 195 ألف دولار بعد عرض عيوب في نظام المعلومات والترفيه Telsa Model 3 وUbuntu Desktop وMicrosoft Windows 11.
أظهر باحثو الأمن ست ثغرات لنظام التشغيل Windows 11 أثناء المسابقة، واخترقوا Ubuntu Desktop أربع مرات، كما أبلغوا عن العديد من العيوب في Apple Safari وOracle Virtualbox وMozilla Firefox.
بعد استغلال الثغرات الأمنية والإبلاغ عنها خلال Pwn2Own، يكون أمام الشركة 90 يومًا لإصدار الإصلاحات الأمنية حتى تكشف مبادرة Zero Day Initiative Trend Micro عنها علنًا.
أصدرت شركة Google تحديث Android لتصحيح الثغرة الأمنية المستغلة بشكل نشط
5 مايو 2022
أصدرت Google تصحيحات أمان شهرية لنظام Android مع إصلاحات لـ 37 عيبًا عبر مكونات مختلفة، أحدها إصلاح لثغرة Linux kernel التي تم استغلالها بشكل نشط والتي ظهرت في وقت سابق من هذا العام.
تم تتبع الثغرة الأمنية باعتبارها CVE-2021-22600 (درجة CVSS: 7.8)، وتم تصنيفها على أنها "عالية" من حيث الخطورة ويمكن استغلالها من قبل مستخدم محلي لتصعيد الامتيازات أو حجب الخدمة.
تتعلق المشكلة بالثغرة المزدوجة الموجودة في تنفيذ بروتوكول شبكة Packet network protocol في Linux Kernal والتي قد تتسبب في تلف الذاكرة، مما قد يؤدي إلى رفض الخدمة أو تنفيذ تعليمات برمجية عشوائية.
تم إصدار التصحيحات بواسطة توزيعات different Linux distributions، بما في ذلك Debian وRed Hat وSUSE وUbuntu في ديسمبر 2021، ويناير 2022.
أشارت Google في نشرة أمان Android لشهر مايو 2022 إلى أن "هناك مؤشرات على أن CVE-2021-22600 قد يكون خاضعًا لاستغلال موجه"، ولا تزال التفاصيل حول طبيعة الهجمات غير معروفة حتى الآن.
وتجدر الإشارة إلى أن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية CISA - Cybersecurity and Infrastructure Security Agency قد أضافت الثغرة الأمنية إلى كتالوج الثغرات الأمنية المعروفة المستغلة اعتبارًا من الشهر الماضي دليل على الاستغلال النشط.
تم أيضًا إصلاح ثلاثة أخطاء أخرى في kernel كجزء من تصحيحات هذا الشهر، بالإضافة إلى 18 ثغرة شديد الخطورة، وواحد شديد الخطورة في MediaTek و Qualcomm.
أصدرت VMware تصحيحات لثغرات أمنية جديدة تؤثر على عدد من منتجاتها
18 مايو2022
أصدرت VMware تصحيحات لمعالجة ثغرتين أمنيتين تؤثران على Workspace ONE Access وIdentity Manager وvRealize Automation التي يمكن استغلالهما في شبكات المؤسسات الخلفية.
الثغرة الأولى، تم تتبعها على أنها CVE-2022-22972 بدرجة 9.8، تتعلق بتجاوز المصادقة الذي يمكن أن يُمكِّن أحد المهاجمين من الوصول إلى الشبكة إلى واجهة المستخدم للحصول على وصول إداري دون مصادقة مسبقة.
الثغرة الثانية، CVE-2022-22973 بدرجة 7.8، وتتعلق بحالة تصعيد الامتيازات التي يمكن أن تسمح لمهاجم لديه الوصول المحلي لرفع الامتيازات إلى المستخدم " root" على الأجهزة الافتراضية الضعيفة.
صرحت شركة VMware: "من المهم للغاية أن تتخذ خطوات بسرعة لتصحيح هذه المشكلات أو تخفيفها في عمليات النشر المحلية".
يأتي الكشف بعد تحذير من وكالة الأمن السيبراني والبنية التحتية الأمريكية (U.S. Cybersecurity and Infrastructure Agency - CISA) من أن مجموعات التهديدات المستمرة المتقدمة (advanced persistent threat - APT) تستغل CVE-2022-22954 وCVE-2022-22960 - وثغرتان أخريان في برنامج VMware تم إصلاحهما في أوائل شهر أبريل - بشكل منفصل.
وجاء في البيان "أن مهاجمًا غير مصرح له بالوصول للشبكة وصل إلى واجهة الويب بالاستفادة من ثغرة CVE-2022-22954 لتنفيذ shell command كمستخدم VMware". ثم استغل بعد ذلك ثغرة CVE-2022-22960 لتصعيد امتيازات المستخدم إلى root. وباستخدام root، يمكن للمهاجم مسح السجلات، وتصعيد الامتيازات، والانتقال إلى أنظمة أخرى."
علاوة على ذلك، لاحظت هيئة الأمن السيبراني cybersecurity authority أن جهات التهديد قد نشرت أدوات ما بعد الاستغلال مثل، Dingo J-spy web shell في ثلاث مؤسسات مختلفة على الأقل.
يُقال إن أكثر من ثلاثة أرباع عناوين IP الخاصة بالمهاجمين، نحو 76٪، نشأت من الولايات المتحدة، تليها المملكة المتحدة، وروسيا بنسبة 6٪، ثم أستراليا بنسبة 5٪، تليها الهند بنسبة 2٪، ثم الدنمارك، وفرنسا بنسبة 1٪.
دفعت المشكلات أيضًا CISA إلى إصدار توجيه طارئ يحث وكالات الفرع التنفيذي المدني الفيدرالي (federal civilian executive branch - FCEB) على تطبيق التحديثات أو فصل الأجهزة عن شبكاتها في 23 مايو.
وقالت الوكالة: "تتوقع CISA من الجهات الفاعلة في التهديد أن تتطور قدرتها على استغلال هذه الثغرات الأمنية التي تم إصدارها حديثًا بمنتجات VMware المتأثرة بشكل سريع".
تصل التصحيحات بعد أكثر من شهر بقليل من طرح الشركة تحديثًا لحل ثغرة أمنية خطيرة في منتج Cloud Director وهي (CVE-2022-22966) الذي يمكن استخدامه كسلاح لشن هجمات تنفيذ التعليمات البرمجية عن بُعد.
برنامج مكافحة الفيروسات Trend Micro قام بتعديل سجل Windows عن طريق الخطأ
7 مايو 2022
قام صانع برامج مكافحة الفيروسات Trend Micro بإصلاح الخطأ الذي تسبَّب في وضع علامة على تحديثات Microsoft Edge على أنها برامج ضارة وتعديل سجل Windows بشكل غير صحيح.
وفقًا لمئات تقارير العملاء على منتدى الشركة وعلى الشبكات الاجتماعية، فإن حزم التحديث المتأثرة مخزنة في مجلد تثبيت Microsoft Edge.
كما كشف المستخدمون، فقد قام Trend Micro Apex One بوضع علامة على تحديثات المتصفح على أنها
""Virus/Malware: TROJ_FRS.VSNTE222 and Virus/Malware: TSC_GENCLEAN.
وقد عالج صانع برامج الأمن السيبراني المشكلة ونشر تقريرًا استشاريًا يحث العملاء على تحديث منتجاتهم والتأكد من تحديث نمط عامل المسح الذكي ونمط المسح الذكي إلى أحدث إصدار.
وأفادت الشركة: أنها على علم بالمشكلة فيما يتعلق بكل من Microsoft Edge وTrend Micro Smart Scan وقد تم تحديث النمط لإزالة الاكتشاف المعني وتجري تحقيقًا في السبب الجذري للمشكلة. ويمكن تقديم مزيد من المعلومات بعد اكتمال التحقيق.
وطالبت بالتأكد من أن كلا من Smart Scan Agent Pattern هو 17,541,00 أو أحدث Smart Scan Pattern هو 21474.139.09 أو أحدث مما يحل المشكلة.
شارك Trend Micro أيضًا حلًا مؤقتًا إذا لم يؤد تحديث النمط إلى حل المشكلة التي تتطلب إضافة مجلدات Microsoft Edge متعددة إلى قائمة استبعاد Apex One.
استعادة تغييرات التسجيل
بينما يمكن بسهولة تطبيق الإصلاح الذي قدمته Trend Micro عن طريق تحديث Apex One، أبلغ بعض العملاء أيضًا أن هذه المشكلة أدت أيضًا إلى تغيير إدخالات تسجيل Windows بعد تنفيذ أداة تنظيف الضرر الخاصة بالوكيل.
وأضافت Trend Micro: "تم الإبلاغ عن أن بعض العملاء لاحظوا بعض التغييرات في السجل كنتيجة للاكتشاف اعتمادًا على إعدادات تكوين تنظيف النظام الخاص بهم".
كما يتطلب هذا من المستخدمين المتأثرين استعادة النسخ الاحتياطية التي تم إجراؤها بواسطة وكيل Apex One من خلال إجراء يساعد في التراجع عن التغييرات التي تم إجراؤها بواسطة Damage Cleanup.
وشاركت الشركة أيضًا برنامجًا نصيًا من شأنه أن يساعد مسؤولي النظام على أتمتة إجراءات استعادة السجل بمساعدة سياسات المجموعة أو أدوات البرمجة النصية الأخرى الخاصة بالمؤسسة.
قراصنة يستغلون ثغرة في F5 BIG-IP بشكل نشط
10 مايو 2022
تبدأت مجموعات من القراصنة في استغلال خطأ فادح في BIG-IP لمزود خدمة التطبيقات F5 بعد إتاحة الاستغلال للثغرة الأمنية. حيث كان تصنيفها بمعدل 9.8 .
تسمح الثغرة الخطيرة، التي تم تتبعها كـ CVE-2020-1388، للمهاجمين غير المعتمدين بتنفيذ "أوامر نظام عشوائية أو إنشاء ملفات أو حذفها أو تعطيل الخدمات" على أنظمة BIG-IP الخاصة بها.
أصدرت F5 تحذيرا بخصوص هذا، فالتصحيحات وطرق التخفيف، الصادرة عن F5، تخفف من حدة BIG-IP iControl المعرض للخطر. ولكن إذا تركت دون تصحيح، يمكن للمتسلل الاستغلال لتنفيذ أوامر بامتيازات مدير Hو مسؤول النظام.
قال آرون بورتنوي، مدير البحث والتطوير، راندوري. "تسمح هذه الثغرة للمهاجمين الذين لديهم إمكانية الوصول بالتظاهر بأنهم مديرو أو مسؤولو النظام بسبب عيب في كيفية تنفيذ المصادقة، فبمجرد أن تصبح مديرًا أو مسؤول النظام، يمكنك التفاعل مع جميع endpoints التي يوفرها التطبيق، بما في ذلك أكواد التنفيذ".
وأعلن باحثون أمنيون أنهم ابتكروا استغلالًا للثغرة الأمنية، فالثغرة متاحة، وأوضحوا كيف يمكن للقراصنة استخدام الثغرة من خلال إرسال أمرين فقط لاستهداف والوصول إلى F5 application endpoint عبر الإنترنت. لتوفير صلاحية مدير أو مسؤول النظام.
كما لاحظ كيفن بومونت، "إذا قمت بتهيئة وتشغيلF5 كـ Load balancer وجدار ناري عبر IP الذاتي، فإنه يكون أيضًا عرضة للخطر".
قال جيك ويليامز، محلل الثغرات الأمنية في CERT / CC في تغريدة: "لست غير مقتنع تمامًا بأن هذا الكود لم يتم زرعه من قبل مطور يقوم بالتجسس على الشركة لصالح شركة استجابة للحوادث كنوع من مخطط ضمان الإيرادات".
وأخيرًا أكد المسؤولون على ضرورة اتباع الإرشادات بدقة وتثبيت التصحيحات المتاحة على الفور، بالإضافة إلى إزالة الوصول إلى واجهة التحكم عبر الإنترنت.
تم إصدار الإرشادات التفصيلية بواسطة F5 مع جميع التصحيحات والتعديلات.
معلومات للتوعية بأمن المعلومات
لماذا أنت مستهدف؟!
هناك مفهوم خطأ لدى الكثير من الناس، حيث يعتقدون أنهم ليسوا هدفًا للمهاجمين السيبرانيين، وذلك على اعتبار أنهم أو أنظمتهم أو حساباتهم ليس لديها أي قيمة. هذا أبعد ما يكون عن الحقيقة. إذا كنت تستخدم التكنولوجيا بأي شكل من الأشكال، في العمل أو في المنزل، كن على ثقة تامة أنك ذو قيمة للكثير من مجرمي الإنترنت.
لماذا أنت مستهدف؟
هناك الكثير من المهاجمين السيبرانيين المختلفين على الإنترنت اليوم، ولكل منهم دوافع مختلفة. فلماذا يريد أي منهم مهاجمتك؟ لأنهم من خلال اختراقك يساعدهم ذلك في تحقيق هدفهم. فيما يلي مثالان شائعان للمهاجمين عبر الإنترنت، ولماذا يستهدفونك.
مجرمو الإنترنت: يحاول هؤلاء الأشخاص جني أكبر قدر ممكن من المال. يعتبر الإنترنت أكبر قيمة بالنسبة لهم لأنه يمكنهم بسهولة استهداف أي شخص في العالم بضغطة زر واحدة. وهناك طرق عديدة يمكنهم من خلالها كسب المال. تشمل الأمثلة سرقة الأموال من حسابك المصرفي أو حسابات التقاعد، أو إنشاء بطاقة ائتمان باسمك وشحنها، أو استخدام جهاز الكمبيوتر الخاص بك لاختراق أشخاص آخرين أو لعمل هجوم حجب الخدمة على أحد المواقع، أو اختراق حسابات الوسائط الاجتماعية أو الألعاب الخاصة بك وبيعها لمجرمين آخرين. القائمة لا تنتهي تقريبًا حول كيف يمكن للأشخاص السيئين جني الأموال منك. هناك مئات الآلاف من هؤلاء الذين يستيقظون كل صباح بهدف اختراق أكبر عدد ممكن من الأشخاص كل يوم، بمن فيهم أنت.
المهاجمون المستهدفون: هؤلاء هم مهاجمون إلكترونيون مدربون تدريبًا عاليًا، وغالبًا ما يعملون لصالح الحكومات أو العصابات الإجرامية أو المنافسين الذين يستهدفونك في العمل. قد تشعر أن وظيفتك لن تجذب الكثير من الاهتمام، لكنك ستندهش جدًا. المعلومات التي تتعامل معها في العمل لها قيمة هائلة لشركات أو حكومات مختلفة، قد يستهدفك المهاجمون المستهدفون في العمل ليس لأنهم يريدون اختراقك، ولكن لاستخدامك لاختراق أحد زملائك في العمل أو أنظمة أخرى. قد تستهدفك هذه الأنواع من المهاجمين في العمل بسبب الشركات الأخرى التي تعمل أو تشترك معها.
هل أنا بأمان، إذا كان لدي برنامج مكافحة الفيروسات؟
إذا كنت أنا هدفًا. هل أكون محميًّا إذا قمت بتثبيت برنامج مكافحة الفيروسات وجدار ناري على جهاز الكمبيوتر الخاص بي؟ للأسف، لا يشعر الكثير من الأشخاص أنهم آمنون إذا قاموا بتثبيت بعض أدوات الأمان. لسوء الحظ، هذا ليس صحيحًا تمامًا. يستمر المهاجمون عبر الإنترنت في التحسن بشكل أفضل، وتتجاوز العديد من أساليب الهجوم التي يستخدمونها الآن تقنيات الأمان بسهولة. على سبيل المثال، غالبًا ما يقومون بإنشاء برامج ضارة خاصة لا يستطيع برنامج مكافحة الفيروسات اكتشافها. إنهم يتجاوزون عوامل تصفية بريدك الإلكتروني بهجوم تصيد مخصص أو يتصلون بك على الهاتف ويخدعونك أو يحتالون بطاقتك الائتمانية أو أموالك أو كلمة مرورك. تلعب التكنولوجيا دورًا مهمًا في حمايتك، لكنك في النهاية أنت أفضل مدافع.
لحسن الحظ، أن تكون آمنًا ليس بهذه الصعوبة؛ في نهاية المطاف الفطرة السليمة وبعض السلوكيات الأساسية هي أفضل دفاع لك. إذا تلقيت بريدًا إلكترونيًا أو رسالة أو مكالمة هاتفية عاجلة للغاية أو غريبة أو مشبوهة، فقد يكون ذلك هجومًا. للتأكد من أن أجهزة الكمبيوتر والأجهزة الخاصة بك آمنة، احتفظ بها محدثة وقم بتمكين التحديث التلقائي. أخيرًا، استخدم كلمة مرور قوية وفريدة من نوعها لكل حساب من حساباتك. البقاء على دراية بالإنترنت وزيادة ثقافة الأمن السيبرانى لديك هو في النهاية أفضل دفاع لك.