محققان یک شرکت امنیتی چینی نقص امنیتی جدیدی در ویندوز 10 کشف کرده‌اند که به مجرمان امنیتی دسترسی به سیستم از طریق فایل آفیس آلوده را می‌دهد.

این شرکت امنیتی چینی که Qihoo 360 نام دارد، در آنالیز دقیق‌تر خود اعلام کرده که این نقص امنیتی در حال حاضر نیز توسط هکر‌ها بر ضد کاربران ویندوز در حال استفاده است. از‌این رو این نقص در دسته‌ی نقص‌های Zero-day قرار گرفته ‌است. نقص‌های روز صفر به مواردی اطلاق می‌شود که پیش از کشف توسط هکر‌ها مورد استفاده قرارگرفته‌اند و اصطلاحاً شرکت پشتیبان صفر روز زمان برای برطرف‌سازی آن وقت داشته ‌است.

طبق یافته‌های این گروه، با استفاده از این نقص می‌توان از فایل‌های آفیس که در آن‌ها صفحات مرورگر اینترنت اکسپلورر جاسازی ‌شده‌اند برای نفوذ‌ استفاده کرد.

در حال حاضر به‌نظر می‌رسد تمام نسخه‌های اینترنت اکسپلورر بدون توجه به نسخه‌ی ویندوز در برابر این نقص آسیب‌پذیر هستند و تمام فایل‌های آفیس که توسط این برنامه (هر نسخه‌ای‌) باز شوند، می‌توانند راه نفوذ را باز کنند. در این گزارش ذکر شده که ویندوز 10 و آفیس 2016 نیز در برابر این نقص آسیب‌پذیر هستند.

از آنجایی که موتور مروگر IE درون دیگر اپلیکیشن‌های موجود در ویندوز نیز مورد استفاده قرار گرفته است، سیستم‌هایی که حتی از این مرورگر استفاده نمی‌کنند نیز در معرض خطر هستند.

این شرکت اعلام کرده که نقص مورد نظر به مایکروسافت گزارش داده شده است، اما این شرکت هنوز صحبتی از ارائه‌ی بروزرسانی برای رفع آن نکرده است.

برای در امان ماندن از این نقص تا زمانی که یک بروزرسانی برای آن ارائه شود، به کاربران توصیه شده که از بازکردن فایل‌های آفیس از منابع ناشناس پرهیز کنند. به دلیل ماهیت این نقص، حتی نرم‌افزارهای آنتی ویروس نیز فایل آفیس مخرب را به عنوان مورد آلوده شناسایی نمی‌کنند.

منبع: شهر خبر

افشاگری جدید ویکی‌لیکس مربوط به بدافزاری با نام اِلسا است که از سال ۲۰۱۳ توسط سیا برای مشخص کردن محل دقیق کاربران ویندوز مایکروسافت استفاده می‌شود.

ویکی‌لیکس در افشاگری جدید خود اطلاعات مربوط به بدافزار جدیدی موسوم به اِلسا (Elsa) را فاش کرده است. بر اساس گزارش ویکی‌لیکس، سازمان اطلاعات آمریکا از سال ۲۰۱۳ با استفاده از این بدافزار که مخصوص سیستم عامل ویندوز مایکروسافت است، اقدام به مشخص کردن محل دقیق کاربران در طول چند ثانیه می‌کند.

این بدافزار به ‌صورت اختصاصی برای ویندوز ۷ مایکروسافت توسعه یافته است؛ هرچند می‌توان از آن علیه سایر نسخه‌های ویندوز نیز استفاده کرد که از جمله‌ی آن باید به ویندوز ۱۰ اشاره کرد. البته برای اثربخشی در ویندوز ۱۰ مایکروسافت، سیا تغییراتی در بدافزار ایجاد کرده؛ چراکه مایکروسافت در نسخه‌ی جدید سیستم عامل خود، شماری از روزنه‌های امنیتی را برطرف کرده است.

نحوه‌ی عملکرد بدافزار السا بدین صورت است که شبکه‌های وای‌فای را درگیر می‌کند و از طریق ماژول‌های بی‌سیم به جستجوی شبکه‌های عمومی وای‌فای  که در دامنه‌ی محل حضور کاربر قرار دارند، می‌پردازد.

این بدافزار آدرس‌ هر شبکه را ثبت و سپس اطلاعات عمومی پایگاه‌ داده‌های ثبت‌شده توسط مایکروسافت و گوگل را چک می‌کند. پایگاه داده‌های مورد نظر در اصل برای فراهم کردن اطلاعاتی به‌منظور استفاده کاربران در شماری از گجت‌ها مورد استفاده قرار می‌گیرند، حال آنکه سیا کاربرد جدیدتری برای آن پیدا کرده است.

زمانی که محل دقیق شبکه‌ی وای‌فای عمومی مشخص شد، بدافزار شروع به تحلیل کرده و به بررسی قدرت سیگنال کاربر می‌پردازد و سپس محل دقیق کاربر را تعیین می‌کند. این اطلاعات کدگذاری و به FBI ارسال می‌شوند تا در سرور مشخص‌شده ذخیره شوند. در نهایت مأمور FBI در صورت نیاز، اطلاعات مورد نظر را کدگشایی و مورد استفاده قرار می‌دهد.

نکته‌ی مورد نظر در مورد اثربخشی بدافزار السا این است که این بدافزار در شرایطی شروع به کار می‌کند که سیا کنترل رایانه‌ی قربانی را در اختیار داشته باشد. با توجه به بدافزار‌های دیگر سیا که برای در اختیار گرفتن کنترل رایانه‌های قربانیان توسعه داده شده، این موضوع چندان دشوار به نظر نمی‌رسد.

هرچند افشای اطلاعات توسط ویکی­لیکس در خصوص توانایی‌های سیا می‌تواند جلوی سرقت اطلاعات دولتی را بگیرد؛ اما راه‌های بهتر و بیشتری در پیش روی هکرها قرار می‌دهد تا از ضعف امنیتی سیستم‌عامل‌ها و گجت‌های مختلف استفاده کنند. مایکروسافت هنوز به این روزنه‌ی امنیتی که السا از آن استفاده می‌کند، واکنشی نشان نداده و باید دید آیا این مشکل امنیتی حل خواهد شد یا خیر.

منبع: جام جم آنلاین

واناکرای، باج افزار مخربی که هزاران رایانه را در سراسر دنیا قربانی خود کرده بود، با تلاش محققین رمزگشایی شد.

بر اساس برآوردهایی که تاکنون صورت گرفته است، بیش از ۲۰۰ هزار رایانه در ۱۵۰ کشور جهان موردحمله‌ی باج افزار واناکرای (WannaCryRansomware) واقع‌ شده‌اند، که از جمله قربانیان این حمله‌ی سایبری می‌توان به مراکز مهمی همچون سازمان ملی خدمات بهداشت انگلیس و وزارت کشور روسیه اشاره کرد.

پس از خسارات گسترده‌ای که این باج افزار در پی داشت، اکنون امیدها برای حل این بحران بیشتر شده است.

روز جمعه ۱۹ می، ابزاری منتشر شده است که به گفته‌ی محققین، می‌تواند بسیاری از رایانه‌های آلوده به این باج افزار را بدون پرداخت مبلغ باج رمزگشایی کند. این برنامه قادر خواهد بود اطلاعات رایانه‌های آلوده به این باج افزار که از سیستم‌عامل‌های ویندوزXP ،7 و 2003 استفاده می‌کنند، بازیابی کند. همچنین به گفته‌ی یکی از محققان که در ساخت این برنامه مشارکت داشته است، این امکان وجود دارد که ابزار منتشر شده بتواند روی دیگر نسخه‌های ویندوز همچون ویندوز سرور 2008، R2 2008  و ویستا نیز عملکرد درستی داشته باشد.

این برنامه، موسوم به WannaKiwi، بر پایه‌ی ابزاری که پیش ‌از این و با نام واناکی منتشر شده بود، کلید رمز را پیدا می‌کند. WannaKey، در روز ۱۸ می به‌منظور استخراج اطلاعات لازم برای ساخت کلید رمزنگاری در سیستم‌عامل‌های XP منتشر شد؛ ولی این ابزار نیازمند برنامه‌ی جداگانه‌ای برای تبدیل بیت‌های استخراج‌شده به کلید رمزگشایی است.

مت سوییش، از بنیان‌گذاران شرکت امنیت سایبری Comae Technologies، در توسعه و ارزیابی واناکیوی همکاری داشته و اعلام کرده است که این برنامه به‌درستی کار می‌کند و جزئیات فنی آن را نیز برای عموم منتشر کرده است. همچنین یورو پل و آژانس مجری قانون اتحادیه اروپا هم این برنامه را تأیید کرده‌اند.

همچون واناکی، واناکیوی نیز از نقایص موجود در رابط برنامه‌نویسی برنامه‌های رمزنگاری مایکروسافت بهره می‌جوید؛ واناکرای و دیگر برنامه‌های کاربردی ویندوز هم از این رابط برای ساخت کلیدهای رمزنگاری و رمزگشایی استفاده می‌کنند. این رابط دارای توابعی برای پاک کردن کلیدهای ساخته‌شده، از حافظه‌ی کامپیوتر است؛ ولی نقص‌های این رابط باعث می‌شود گاهی اعداد اولی که برای ساخت کلید از آن‌ها استفاده می‌شود، در حافظه باقی بمانند. این اعداد را تا زمانی که رایانه خاموش نشده باشد یا آن قسمت از حافظه با مقدار جدیدی بازنویسی نشده باشد، می‌توان بازیابی کرد.

واناکیوی با جستجوی حافظه و یافتن مقادیر p و q که کلید رمزنگاری بر پایه‌ی آن‌ها ساخته‌ شده است، کلید را بازیابی و سپس با استفاده از آن، فایل‌های قفل‌شده توسط باج افزار واناکرای را رمزگشایی می‌کند.

بنجامین دلپی، یکی از توسعه‌دهندگان واناکیوی این‌گونه بیان می‌کند که ابزار موجود تاکنون توانسته است رایانه‌های زیادی را رمزگشایی کند که برخی دارای سیستم‌عامل 7 و 2003 بوده‌اند. او معتقد است که دیگر نسخه‌های ویندوز نیز می‌توانند به‌گونه‌ای مشابه بازیابی شوند. همچنین واناکیوی مزیت‌هایی نسبت به واناکی دارد، ازجمله رابط کاربری ساده و قابلیت تولید کلید رمزگشایی بدون نیاز به هیچ ابزار دیگری.

دلپی این‌گونه بیان می‌کند: برای بازیابی فایل‌های خود، برنامه‌ی واناکیوی را دانلود کنید. اگر کلید رمزگشایی قابل بازیابی باشد، این برنامه آن را استخراج و شروع به رمزگشایی تمام فایل‌های قفل‌شده از هارد دیسکتان می‌کند، درست مانند زمانی که مبلغ باج را پرداخت کرده باشید. بااین‌حال در بسیاری از موارد این کلید قابلیت بازیابی ندارد و شانس کمی برای این کار وجود دارد.

باید توجه داشته باشید اگر سیستم ریستارت شده باشد یا مکانی از حافظه که اطلاعات لازم برای بازیابی کلید ذخیره‌ شده است، با داده‌های جدیدی بازنویسی شده باشد؛ این برنامه‌ی رمزگشا همچون واناکی قادر به یافتن کلید و بازیابی اطلاعات نخواهد بود. واناکیوی هنوز به‌صورت گسترده روی رایانه‌هایی با پردازنده‌های ۶۴ بیتی تست نشده است؛ لذا این امکان وجود دارد که عملکرد آن در این رایانه‌ها با مشکلاتی همراه باشد. با وجود تمام محدودیت‌هایی که این برنامه‌ی رمزگشا دارد، واناکیوی پیشرفتی بزرگ در مسیر جبران خسارات وارده و کمکی ارزشمند برای حل مشکل بسیاری از مردم محسوب می‌شود.

منبع:  ARSTECHNICA