بانک آموزشی

رمزگشای  باج افزار GandCrabبرای نسخه های ۱ ، ۴ و ۵.۱ توسط کمپانی بیت دیفندر منتشر شد. در صورتی که فایل‌های شما توسط این باج‌افزار رمزگذاری شده اند، هم اکنون می توانید فایل های خود را رمزگشایی کنید

به منظور دانلود رمزگشا به همراه راهنمای آن به لینک زیر مراجعه بفرمایید.

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/

مایکروسافت وصله‌ی ماه فوریه‌ی سال ۲۰۱۹ را منتشر کرد که شامل به‌روز‌رسانی‌های امنیتی برای 77 خطا، 20 آسیب‌پذیری بحرانی، 54 آسیب‌پذیری مهم و 3 آسیب‌پذیری با شدت متوسط است.
یکی از این به روزرسانی‌ها، مربوط به یک آسیب‌پذیری روز صفرم در اینترنت اکسپلورر است که توسط گوگل کشف شده و در حملات مورد سوءاستفاده قرار گرفته است.
این نقص که با شناسه‌ی "CVE-2019-0676" شناسایی می‌شود، نقص افشای اطلاعات است که مسیر راه‌اندازی اینترنت اکسپلورر را در حافظه‌ها بررسی می‌کند.
مهاجم می‌تواند این نقص را با فریب‌دادن قربانیان به بازدید از یک وب‌سایت مخرب و با استفاده از نسخه‌ی آسیب‌پذیر اینترنت اکسپلورر، مورد سوء‌استفاده قرار دهد. پس از آن، مهاجم می‌تواند وجود فایل در دیسک سخت قربانی را بررسی‌کند.
به‌گفته‌ی مایکروسافت، به‌روزرسانی امنیتی، این آسیب‌پذیری را با تغییر چگونگی کنترل اشیاء در اینترنت اکسپلورر، رفع می‌کند.
مایکروسافت اخیراً به کاربران خود توصیه کرده است که از اینترنت اکسپلورر استفاده نکنند. این مرورگر اینترنتی دیگر از قابلیت‌های امنیتی بالایی برخوردار نیست و نمی‌تواند از نفوذ هکرها و مجرمان سایبری و همچنین حملات فیشینگ و بدافزاری به رایانه‌ها و دستگاه‌های الکترونیکی محافظت کند. به عبارتی دیگر، اینترنت اکسپلورر از امنیت سایبری قابل قبولی برخوردار نیست و کاربران به منظور حفاظت از اطلاعات و حریم شخصی خود دیگر نباید از آن استفاده کنند.
این شرکت به کاربران ویندوز توصیه کرده است که این مرورگر را از حالت پیش‌فرض خارج کرده و در صورت امکان آن را لغو نصب کنند و به مرورگر جدید این شرکت یعنی مایکروسافت Edge مهاجرت نمایند.

به گزارش تیم رصد پادویش، در روزهای گذشته شبکه‌های شرکت‌ها و سازمان‌های سراسر کشور، شاهد حجم بسیار بالا و بی‌سابقه‌ای از حملات باج‌افزاری و تحرکات هک و نفوذ بوده‌اند. اغلب این حملات از طریق سرویس ریموت و بعضا حتی VPNها و ابزارهای ریموت انجام گرفته‌اند.
از این جهت پادویش با اعلام هشدار جدی وضعیت زرد امنیتی، توجه عموم کاربران بخصوص مدیران محترم شبکه‌ها و مسئولین فاوا را به نکات ایمنی و امنیتی زیر معطوف می‌دارد. امید است با جدیت در پیگیری و توجه به رعایت مسائل امنیتی، آمادگی بیشتری برای مقابله با این حملات در شبکه‌ها به وجود آمده و از این حملات در امان بمانند.

در ادامه نکات مهم برای یادآوری بیان شده است:

۱. تهیه پشتیبان به‌روز از اطلاعات حیاتی

وجود یک پشتیبان به روز، که به صورت آفلاین نگهداری شود شرط اول موفقیت در بازگرداندن سیستم‌ها به وضعیت عادی پس از حمله است. بنابراین توصیه می‌شود که یکبار دیگر کل سیستم‌های حیاتی خود را مرور کرده و از اطلاعات آن‌ها پشتیبانگیری کرده و پشتیبان‌ها را به صورت آفلاین نگهداری نمایید. دقت کنید که حتماً علاوه بر گرفتن پشتیبان، امکان بازیابی پشتیبان‌ها را تست نمایید تا بعداً به مشکل برنخورید.

علاوه بر سیستم‌های اطلاعاتی و عملیاتی، گرفتن پشتیبان از تجهیزات شبکه شامل روترها، سوییچ‌ها، فایروال، و سایر سیستم‌های مهم مانند اکتیودایرکتوری نیز فراموش نشود.

۲. غیرفعال کردن فوری و سریع راه‌های ارتباطی ریموت و کاهش درجه خطر تا حد ممکن

تقریبا در تمامی حملات اخیر نفوذگران از سرویس ریموت دسکتاپ (Remote Desktop) ویندوز جهت نفوذ اولیه خود به سیستم استفاده کرده‌اند. همچنین نفوذ از طریق VPN یا ابزارهای ریموت کلاینتی (مانند AnyDesk و ابزارهای مشابه) نیز محتمل است. بنابراین بهتر است به طور موقت این راه‌ها را غیرفعال کنید یا حداقل آن‌ها را با پسوردها و پالیسی‌های سختگیرانه‌تر (مانند محدودیت آی‌پی) محدود نمایید.

همچنین ابزارهای ریموت کلاینتی مانند AnyDesk و نمونه‌های مشابه را که ممکن است روی یک سرور یا کلاینت باز مانده باشند را نیز در نظر داشته باشید.

۳.  بررسی ت‌های شبکه و محدودسازی تا حد امکان

در وضعیت زرد لازم است که یکبار دیگر ت‌های امنیت شبکه را مرور نمایید و از اینکه این ت‌ها از اصل حداقل دسترسی پیروی می‌کنند اطمینان حاصل کنید. پورت‌های باز اضافی و غیرضروری را ببندید. تا حد امکان سرویس‌های غیرضروری را نیز غیرفعال نمایید.
 در مقابله با باج‌افزار، فراموش نکنید که فولدرهای اشتراکی را ببندید یا دسترسی کاربران را به حالت فقط خواندنی محدود نمایید.

۴. فعال کردن سیستم‌های لاگبرداری و Auditing

اگر خدای نکرده حمله‌ای رخ دهد، برای بررسی منشاء حمله (جهت کشف نقاط نفوذ و جلوگیری از وقوع مجدد) و میزان تخریب و پیشروی حمله (جهت بازگرداندن سرویس‌ها و حذف درب‌های پشتی) به انواع لاگ‌های Audit نیاز خواهید داشت.

بنابراین از فعال بودن لاگ‌های Audit در تجهیزات شبکه و نیز سیستم‌عامل‌های خود اطمینان حاصل کنید. در ویندوز لازم است لاگ‌های Security و System فعال باشند. توصیه می‌کنیم لاگ Audit Process Creation را نیز روی Group Policy فعال نمایید. همچنین میزان فضای هارد دیسک را برای ذخیره این لاگ‌ها در نظر بگیرید.

۵​. به‌روز کردن سیستم‌عامل و نرم‌افزارها

کمترین کاری که برای امن کردن سیستم انجام می‌شود بروزرسانی سیستم‌عامل، بروزرسانی نرم‌افزارهای سرویس‌دهنده (وب، ایمیل، اشتراک فایل .) و نرم‌افزارهای امنیتی مانند ضدویروس و … است. در وضعیت زرد لازم است دقت و وسواس بیشتری در این مورد داشته باشید تا از آسیب‌پذیری‌های شناخته‌شده عمومی در امان بمانید و سطح آسیب‌پذیری را کاهش دهید.

۶. اطمینان از عملکرد سیستم‌های امنیتی، مانیتورینگ و هشداردهی آنها

آخرین توصیه: لاگ‌های سیستم‌های خود را مرور کنید و گوش به زنگ رویدادهای نامتعارف (ریموت‌های خارج ساعت کاری یا از کشورهای خارجی و .) باشید.

طبعا لازم است مجددا از عملکرد سنسورهای امنیتی مانند IDS, WAF و ضدویروس‌ها و نیز نرم‌افزارهای مانیتورینگ اطمینان حاصل کنید تا به محض رخداد اتفاق امنیتی از آن مطلع شوید. بد نیست سیستم هشدار این نرم‌افزارها را نیز تست کنید تا از عملکرد صحیح آن‌ها مطمئن شوید.

در پایان، لازم به تأکید است که این هشدار وضعیت زرد در پاسخ به حملات گسترده و رویدادهای واقعی اخیر اعلام شده که در کمین همه شبکه‌های کشور است. آمادگی برای این نوع حملات قطعاً در پیشگیری یا کاهش ریسک آنها موثر خواهد بود.
 

سیستم های عامل نرم افزاری هستند که روزانه کسانی که در بخش تکنولوژی یا اداری یا بازی یا هرچیزی که مربوط به کامپیوتر باشه استفاده میکنند.

اصلی ترین نرم افزار همین سیستم عامل هست که رابط کاربری بین شخص و کرنل و اجزای سطح پایین تر رو فراهم میکنه و ما از طریق این نرم افزار غول پیکر دیگر برنامه های خودمون رو نصب میکنیم و رابط بین ما و برنامه هامون نرم افزار سیستم عامل هست.

خب تا اینجا کلا با سیستم عامل آشنا شدیم و خب تقریبا همه ما با اون سروکار داریم و هرکس به مقاصدی ازش استفاده میکنه و بخش مهم مطلب زمانی هست که دستگاهی که شما استفاده میکنید به شبکه جهانی اینترنت یا به یک شبکه داخلی متصل بشه.

خب زمانی ما از نفوذ به سیستم ها صحبت میکنیم که به اینترنت متصل باشه تا راهی برای ارتباط بین سیستم نفوذ شده و سیستم هکر ایجاد بشه پس راهی که برای نفوذ و ارتباط پایدار وجود داره اینترنت هست (در صورتی که قصد شما انتقال ویروس به سیستم و اجرای تخریب نباشه).

اولین نکته ای که باید بهش اشاره کنم اینه که شما نمی تونید به طور مستقیم به یک سیستم شخصی با آیپی نفوذ کنید (به سرور میشه) به دلیل منطقی که توی شبکه اینترنت وجود داره ارتباط شما با اینترنت از طریق آیپی پابلیک (آیپی که شما توی اینترنت باهاش شناخته میشین) هست و دقیقا شما پشت این دروازه قرار دارین و درخواستی به سیستم شما نخواهد رسید حالا چطوری پس سیستم ما بهش نفوذ میشه ؟ در ادامه بررسی میکینم.

روش های نفوذ پایدار به سیستم عامل ها:

۱–File Formats

۲–Services

۳–Software Vulnerability

۴–Links of Web

۱– فرمت های فایل : کسی که با شما توی یه شبکه محلی نباشه اولین روشی که استفاده میشه ساخت یه فایل که تروجان یا رت شناخته میشه هست که میتونه فرمت های مختلفی (exe,pdf,doc,jpg,hta,bat …) باشه و این فایل درونش آیپی نفوذگر وجود داره که سیستم شما رو متصل میکنه به سیستم نفوذگر که نفوذگر اون دروازه ای (NAT) که سیستم پشتت قرار داره رو با باز کردن یه پورت روی روتر باعث میشه درخواست ها از اینترنت به سیستم برسه پس توجه داشته باشین که اولین کسی که درخواست ارتباط میده سیستم قربانی هست که با اجازه خودش اینکارو میکنه.

۲–سرویس ها: نفوذ از طریق سرویس ها روشی برای نفوذ به سرورها و سیستم هایی که باهم توی یه شبکه محلی قرار دارند و میتونند به طور مستقیم ارتباط برقرار کنند استفاده میشه,سرویس ها درگاهی برای ارتباط با سیستم هستند و اگر آسیب پذیری در این ارتباط کشف بشه باعث نفوذ به سیستم عامل میشه مانند سرویس smb روی ویندوز که از طریق اون میشه به سیستم دسترسی گرفت وارد جزئیات نمیشیم همین که بدونید روشی برای نفوذ هست برای این مطلب کافیه.

۳–باگ های نرم افزاری: اغلب برنامه هایی که روی سیستم عامل نصب میشوند دارای باگ های نرم افزاری هستند که بیشتر به باگ های حافظه مشهورند و همین باعث بهره برداری (Exploit) برای نفوذ به سیستم عامل میشوند که ممکنه اون نرم افزار ارتباط با اینترنت داشته باشه یا نه , مثلا نرم افزار PDF خوان یا پخش MP3 میتونند آسیب پذیر باشند و سیستم از طریق فایل فرمت هایی با این نوع مورد نفوذ قرار میگیرند که جزو نفوذ از طریق فایل فرمت میشن که عامل نفوذ نرم افزار اجرای این فایل هست.

۴–لینک های وب: معمولا اتفاق میوفته که با باز کردن لینکی درون مرورگر وب سیستم شما نفوذ میشه که مکانیزم کار اینجوریه که اون لینک فایلی رو روی سیستم شما دانلود و اجرا میکنه که همون فایل فرمت ها مشین که اینجا عامل نفوذ لینک باز شده بود, این کار از طریق جاوا اسکریپت انجام میشد که توابعی برای دانلود و اجرای اون فایل استفاده میکرد درحال حاضر این نقص پچ(عیب یابی) شده و ممکنه در آینده هم این تکنیک اتفاق بیوفته و بهترین فریم ورکی که برای بکارگیری مرورگر در حال حاضر وجود داره beef هست.

خب به این نتیجه میرسیم که عامل اصلی نفوذ به سیستم های شخصی همون فایل فرمت هست (به جز سرویس ها) که از طرایقی به سیستم منتقل میشه و خب ارتباط فایل با سیستم نفوذگر هم با آیپی هست که شنود پکت های ارسالی و دریافتی شبکه میشه متوجه این امر شد.

امروزه استفاده از گواهینامهSSL در وب سایتها جهت رمزنگاری داده های بین کاربر و سرویس دهنده استفاده میگردد. رمز نگاری داده ها میتواند امنیت حریم خصوصی کاربر را افزایش داده و از دستکاری، سرقت و استراق سمع اطلاعات در مسیر ارتباط کاربر تا سرویس دهنده جلوگیری نماید. هرچند مزایای استفاده از گواهینامه SSL جهت رمز نگاری بر کسی پوشیده نیست اما با توجه به تحمیل هزینه های مالی برای دارندگان وب سایت ها و همچنین دشواری تعامل با CA های خارجی ارائه دهنده‌ی این خدمات، بسیاری از سایت ها از خرید گواهینامه SSL صرف نظر میکنند. 
سامانه 

https://letsencrypt.cert.ir بمنظور تسهیل فرایند درخواست و دریافت گواهینامه SSL از LetsEncrypt CA ایجاد شده است. در این سامانه شما میتوانید برای وبسایت یا سامانه‌های خود گواهینامه SSL معتبر بصورت رایگان دریافت نمایید. این گواهینامه‌ها توسط موسسه‌ی LetsEncrypt CA* صادر می‌گردد. برای این منظور مجموعه ابزاری تهیه گردیده است که بر حسب نیاز، کاربر میتواند با استفاده از آن تمامی مراحل دریافت، نصب، پیکربندی و صدور مجدد گواهینامه‌ی SSL را به صورت خودکار انجام دهد. با استفاده از ابزار تحت وب (آنلاین) سامانه نیز کاربر میتواند تنها با چند کلیک و بعد از احراز مالکیت دامنه، گواهینامه SSL را دریافت نماید.

تمامی مراحل تولید کلید خصوصی (Private Key) بصورت امن طراحی گردیده و این کلید در سامانه نگهداری نمی‌گردد.
گواهینامه های SSL صادر شده توسط LetsEncrypt CA از نظر فنی و امنیتی تفاوتی با سایر گواهینامه‌های تجاری ندارند. اما باید توجه داشت در صدور این گواهینامه‌ها صرفا مالکیت دامنه توسط CA احراز می‌گردد و هویت مالک مورد بررسی قرار نمی‌گیرد. در واقع گواهینامه‌های صادره از نوع DV (Domain Validation) می باشد. در خصوص سامانه‌ها و وبسایت‌هایی که نیاز به تایید هویت ارایه دهنده‌ی خدمات دارند، توصیه می‌گردد از گواهینامه‌های تجاری OV (Organization Validation) یا EV (Extended Validation) استفاده نمایند.
لازم به توجه است در حال حاضر Lets encrypt CA برای دامنه‌های .iran.gov.ir* گواهینامه صادر نمی کند.
[*] 

https://letsencrypt.org/about

مطابق بررسی های بعمل آمده آسیب پذیری هایی در نسخه‌های پشتیبان‌شده‌ی Microsoft Windows و Winows Server وجودداشته که یک مهاجم راه‌دور می‌تواند از این آسیب‌پذیری‌ها سوءاستفاده کند تا کنترل سیستم هدف را به‌دست گیرد.مایکروسافت اطلاعات مربوط به این آسیب‌پذیری‌ها با شناسه‌ی CVE-20-8611 و CVE-20-8626 را ارایه داده است.
آسیب‌پذیری CVE-20-8611، یک آسیب‌پذیری ارتقا سطح دسترسی هسته ویندوز است که تمامی نسخه‌های کارگزار و مشتری ویندوز، از جمله Windows 10 و Windows Server 2019 را تحت‌تأثیر قرار می‌دهد. این آسیب‌پذیری زمانی وجود دارد که هسته‌ی ویندوز نتواند به‌درستی اشیا را در حافظه مدیریت (handle) کند. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در حالت هسته اجرا کند. سپس مهاجم می‌تواند برنامه نصب کند، داده‌ها را مشاهده کند؛ تغییر دهد یا حذف نماید یا حساب‌های جدید با دسترسی کامل ایجاد کند. یک حمله‌ی موفق نیاز به یک عامل مخرب دارد تا وارد سیستم شود و برنامه‌ی ساختگی که کنترل کامل بر روی ماشین هدف را فراهم می‌آورد، اجرا نماید. به گفته‌ی مایکروسافت، این نقص اخیراً مورد سوءاستفاده قرار گرفته است؛ اما با توجه به اینکه به صورت عمومی افشا نشده است، تأثیر آن به میزان قابل توجهی کاهش یافته است.
آسیب‌پذیری CVE-20-8626 یک آسیب‌پذیری برای کارگزارهای سیستم نام دامنه (DNS) ویندوز است. یک نقص اجرا کد راه‌دور است که در کارگزارهای سیستم نام دامنه (DNS) ویندوز، زمانی که نتوانند درخواست‌ها را به درستی مدیریت کنند، وجود دارد. این آسیب پذیری تنها در Windows 10، Windows Server 2012 R2، Winows Server 2016 و Windows Server 2019 وجود دارد. مهاجمی که بتواند از این آسیب‌پذیری با موفقیت سوءاستفاده کند، می‌تواند کد دلخواه را در قالب حساب کاربری سیستم داخلی (Local System Account) اجرا نماید. کارگزارهایی که به عنوان کارگزار DNS پیکربندی شده‌اند، در معرض خطر این آسیب‌پذیری قرار دارند. این حمله بستگی به درخواست‌های مخربی دارد که حتی بدون احرازهویت به کارگزار DNS ویندوز ارسال شده‌اند.
هر دو آسیب‌پذیری فوق در چرخه‌ی به‌روزرسانی ماه دسامبر سال 20 مایکروسافت وصله شده‌اند و وصله‌های آن‌ها از Windows Update تمامی نسخه‌های پشتیبان‌شده‌ وبندوز قابل دانلود است.

اسکایپ  یکی از قدیمی‌ترین و بهترین برنامه‌های کاربردی برای برقراری تماس صوتی و تصویری است. با ارائه‌ی امکان تماس صوتی درتلگرام و از طرف دیگر فیلترشدن آن در ایران، بحث تماس صوتی و تصویری رایگان و استفاده از نرم‌افزارهایی همچون اسکایپ که این قابلیت را فراهم می‌کنند، دوباره بر سر زبان‌ها افتاده است. اما یک آسیب‌پذیری جدید در اسکایپ تحت اندروید کشف شده است که به یک مهاجم ناشناس اجازه می‌دهد تا گالری و مخاطبین کاربر را مشاهده کند و حتی لینک‌های بازشده در مرورگر را رصد کند.
مهاجم برای سوءاستفاده از این آسیب‌پذیری، نیاز به دسترسی مؤثر به دستگاه هدف دارد. سپس، باید یک تماس اسکایپ را دریافت کند و به آن پاسخ دهد. به‌طور معمول، با دستگاه قفل‌شده، مهاجم نباید دسترسی به داده‌هایی مانند عکس‌ها و مخاطبین را بدون تأیید اعتبار با یک رمز عبور، یک PIN، یک الگوی قفل صفحه یا یک اثر انگشت داشته باشد، اما با وجود این آسیب‌پذیری، مهاجم می‌تواند پس از پاسخ به تماس، اجازه‌ی دسترسی به داده‌های کاربر، حتی اگر دستگاه قفل شده باشد را پیدا کند.
به‌نظر می‌رسد یک خطای کد در اسکایپ برای اندروید، به مهاجم امکان دسترسی به عکس‌ها، مشاهده مخاطبین و حتی ارسال پیام بدون نیاز به احراز هویت را می‌دهد. مهاجم همچنین می‌توان مرورگر دستگاه را به‌طور مستقیم از اسکایپ راه‌اندازی کند. برای این کار، فقط باید یک لینک را در یک پیام جدید تایپ کند، پیام را ارسال کند و سپس روی لینک کلیک کند.
این آسیب‌پذیری که میلیون‌ها تلفن همراه اندرویدی دارای اسکایپ را تحت تأثیر قرار می‌دهد، در ماه اکتبر کشف و بلافاصله به مایکروسافت گزارش شد. این شرکت به سرعت پاسخ داد و موضوع را در نسخه‌ی جدید اسکایپ رفع کرد.
باتوجه به افزایش میزان تماس تصویری و محبوبیت بسیار اسکایپ در میان کاربران ایرانی، توصیه می‌شود تا هرچه سریع‌تر نسبت به دریافت آخرین نسخه از این نرم‌افزار اقدام کنند.

مشاهده و رصد فضای سایبری در زمینه باج افزار، از شروع فعالیت نمونه‌ جدیدی به نام Ghost خبر می‌دهد. بررسی ها نشان می دهد که فعالیت این باج افزار در اواسط ماه نوامبر سال 20 میلادی شروع شده است و به نظر می رسد تمرکز آن بیشتر بر روی کاربران انگلیسی زبان می باشد. طبق بررسی‌های صورت گرفته بر روی فایل باج‌افزار Ghost، به نظر می‌رسد فایل‌های مختلفی در آن تعبیه شده است که پس از اجرای باج‌افزار، این فایل‌ها در یک پوشه به نام Ghost، واقع در دایرکتوری Roaming ایجاد می‌شوند و سپس فرایند مربوط به فایل اصلی خاتمه پیدا می‌کند و یک سرویس جدید تحت عنوان GhostService جهت ادامه‌ی فعالیت باج‌افزار، ایجاد می‌شود

دانلود پیوست 

یک پویش پیشرفته‌ی مخرب کشف شده است که بدافزار سیمباد (SimBad) را از طریق فروشگاه Google Playمنتشر می‌کند. به‌گفته‌ی کارشناسان، بیش از 150 میلیون کاربر در حال حاضر تحت تأثیر این پویش قرار گرفته‌اند.

سیمباد خود را به‌ تبلیغات مبدل می‌کند و در مجموعه‌ی کیت توسعه‌ی نرم‌افزار RXDrioder (SDK) که برای اهداف تبلیغاتی و کسب درآمد استفاده می‌شود، مخفی می‌شود. هر برنامه‌ای که با استفاده از SDKمخرب توسعه می‌یابد، شامل کد مخرب است.

این بدافزار توسط دامنه‌ی "addoider [.] com" به‌عنوان یک SDKمرتبط با تبلیغ ارائه شده است. با دسترسی به این دامنه، کاربران به یک صفحه‌ی ورودی دسترسی پیدا می‌کنند که به‌نظر می‌رسد مشابه سایر پنل‌های بدافزار است. پیوندهای ثبت نام» شکسته می‌شوند و کاربر به صفحه‌ی ورود به سایت هدایت می‌شود.

بدافزار سیمباد همچنین قادر به هدایت کاربران اندرویدی به وب‌سایت‌های ماحیگیری است تا برنامه‌های مخرب بیشتری را از فروشگاه Playیا از یک سرور از راه دور دانلود ‌کند.

هنگامی که یک کاربر اندروید یک برنامه‌ی آلوده را دریافت و نصب می‌کند، بدافزار سیمباد خود را در "BOOT_COMPLETE" و "USER_PRESENT" ثبت می‌کند. به این ترتیب، نرم‌افزارهای مخرب می‌توانند عملیات را پس از اتمام مرحله‌ی بوت‌شدن انجام دهند، در حالی که کاربر، بدون اطلاع از دستگاه خود استفاده می‌کند.

پس از نصب، بدافزار سیمباد به سرور فرماندهی و کنترل (C&C) متصل می‌شود و فرمانی را برای انجام آن دریافت می‌کند. سپس آی خود را از لانچر حذف می‌کند که این کار حذف برنامه‌ی مخرب را برای کاربر دشوار می‌سازد. همزمان، تبلیغات را در پس‌زمینه نمایش می‌دهد و یک مرورگر با یک URLمشخص برای تولید درآمد، بدون ایجاد سوءظن باز می‌کند.

سیمباد دارای قابلیت‌هایی است که می‌توانند به سه گروه نمایش تبلیغات، ماحیگیری و قرارگرفتن در معرض دیگر برنامه‌ها تقسیم شوند. با استفاده از قابلیت بازکردن یک URLمشخص‌شده در مرورگر، مهاجم سیمباد می‌تواند صفحات ماحیگیری را برای سیستم‌عامل‌های مختلف ایجاد کند و آن‌ها را در یک مرورگر باز کند، بدن ترتیب، حملات ماحیگیری هدف‌دار را بر روی کاربر انجام دهد.

با توانایی بازکردن برنامه‌های بازاری مانند Google Playو 9Apps، با جستجوی کلیدواژه‌ی خاص یا حتی یک صفحه‌ی برنامه‌‌ی منفرد، این مهاجم می‌تواند به دیگر مهاجمان تهدید دست یابد و سود خود را افزایش دهد. مهاجم حتی می‌تواند با نصب یک برنامه‌ی از راه دور از یک سرور اختصاصی، فعالیت‌های مخرب خود را به سطح بالاتر ببرد تا به او اجازه‌ی نصب نرم‌افزارهای مخرب جدید را بدهد.

با توجه به تحقیقات انجام‌شده، اکثر برنامه‌های آلوده، بازی‌های شبیه‌ساز، ویرایشگر عکس و برنامه‌های کاربردی تصاویر پس‌زمینه هستند. 10 برنامه‌ی برتر آلوده به بدافزار سیمباد عبارتنداز:

1. شبیه‌ساز Snow Heavy Excavator(10،000،000 دانلود)
2. مسابقه‌ی Hoverboard(5،000،000 دانلود)
3. شبیه‌ساز Real Tractor Farming(5.000.000.000 دانلود)
4. Ambulance Rescue Driving (5،000،000 دانلود)
5. شبیه‌ساز Heavy Mountain Bus 20 (5،000،000 دانلود)
6. Fire Truck Emergency Driver (5،000،000 دانلود)
7. شبیه‌ساز Farming Tractor Real Harvest(5،000،000 دانلود)
8. Car Parking Challenge (5،000،000 بارگیری)
9. مسابقات Speed Boat Jet Ski (5،000،000 دانلود)
10. Water Surfing Car Stunt (5،000،000 دانلود)

لیست کامل برنامه‌های آلوده به این بدافزار در 

اینجا موجود است.

شرکت MikroTik# بار دیگر از وجود نقصی در مسیریاب‌های خود خبر داد. این شرکت در هفته‌ی اول ماه آوریل سال 2019، جزئیات فنی مربوط به یک آسیب پذیری قدیمی که دستگاه را به مهاجمان راه دور نشان می‌دهد، منتشر ساخته است.

مهاجمان می‌توانند از این آسیب‌پذیری برای راه‌اندازی یک حالت انکار سرویس (DoS) در دستگاه‌هایی که RouterOS را اجرا می‌کنند، سوءاستفاده کنند. RouterOS حاوی چندین مشکل خسته‌شدن بیش از اندازه‌ی منبع مربوط به IPv6 است که در حال حاضر برطرف شده‌اند.

اولین مسئله باعث می‌شود در صورتی که ترافیک به سمت تعداد زیادی آدرس مقصد مختلف، تعیین مسیر شود، دستگاه مجدداً راه‌اندازی شود. این راه اندازی‌های مجدد توسط یک تایمر نگهبان (watchdog) دایماً تکرار و در نتیجه منجر به به بارگیری بیش از اندازه و توقف پاسخ‌گویی دستگاه می‌شوند.

به‌روزرسانی‌های امنیتی برای RouterOS منتشر شده است که این نقص (CVE-20-19299) را برطرف می‌سازد؛ اما به گفته‌ی کارشناسان، برخی از دستگاه‌های متأثر همچنان آسیب‌پذیر هستند.

آسیب‌پذیری CVE-20-19299، دستگاه‌های وصله‌نشده‌ی Mikro Tik را که مسیر بسته‌های IPv6 را تعیین می‌کنند، تحت‌تأثیر قرار می‌دهد. مهاجم می‌تواند با ارسال یک دنباله‌ی خاص از بسته‌های IPv6 که استفاده از RAM را اشباع می‌سازد، از این نقص سوءاستفاده کند.

پس از رفع نقص مربوط به راه‌اندازی مجدد، مسئله‌ی دیگری باعث پرشدن حافظه می‌شود، زیرا اندازه‌ی کش مسیر IPv6 می‌تواند بزرگتر از RAM موجود باشد. این مشکل نیز با محاسبه‌ی خودکار اندازه‌ی کش بر اساس حافظه‌ی موجود، رفع شده است.

MikroTik این آسیب‌پذیری‌ها را در نسخه‌های RouterOS که در ماه آوریل سال 2019 منتشر شده‌اند (تمامی زنجیره‌های انتشار: RouterOSv6.44.2، RouterOS v6.45beta23 و RouterOSv6.43.14)، برطرف ساخته است.

کارشناسان کشف کرده‌اند که نقص DoS تنها در دستگاه‌های با بیش از 64 مگابایت RAM رفع شده است.

Javier Prieto، یکی از اعضای Mikro Tik، این نقص را بر روی Cloud Hoster Router (CHR) با RAM 256 مگابایت مورد آزمایش قرار داده است. او مشاهده کرد که این حمله باعث استفاده‌ی بیش از 20Mib شده است. Prieto چندین تست مختلف با GNS3 بااستفاده از CHR 6.44.2 (ثابت) انجام داده است و از آنجاییکه مسیریاب دارای حافظه‌ی کافی بود ، نابود نشد.

در این آزمایش و با استفاده از CHR دارای 256 مگابایت حافظه، منابع سیستم، پیش از حمله، کل حافظه‌ را 224 MiB و حافظه‌ی آزاد را 197 MiB نشان می‌دهد. در حین حمله و تنها از یک رایانه، حافظه‌ی آزاد تا حدود 20 MiB و گاهی تا 13 MiB کاهش می‌یابد. در استفاده از دو مهاجم، به نظر می‌رسد نتایج مشابه است و بدتر نیست. استفاده از مسیریاب دارای حافظه‌ی 200 مگابایت منجر به راه‌اندازی مجدد می‌شود.

این نقص توسط چندین متخصص مختلف، از جمله Isalski، در 16 آوریل سال 20 گزارش شده بود. به گفته‌ی این متخصص، Mikro Tik بر وجود این نقص اذعان داشت؛ اما آن را به عنوان آسیب‌پذیری امنیتی دسته‌بندی نکرد. Isalski این نقص را در ماه مارس به چندین تیم پاسخگویی اورژانسی گزارش داد و مدارک سوءاستفاده از این آسیب‌پذیری در حملات وحشیانه را منتشر ساخت. Isalski ثابت کرد که نقص CVE-20-19299 تقریباً هر دستگاه Mikro Tik را تحت‌تأثیر قرار می‌دهد؛ حتی دستگاه‌هایی که به عنوان مسیریاب‌های core” یا backhaul” استفاده می‌شوند.

Mikro Tik بیش از 20 نسخه RouterOS پس از کشف این آسیب‌پذیری منتشر ساخته است. یکی از دلایل این امر علاوه بر رد خطر امنیتی آن، این است که این نقص در سطح هسته (kernel) است و رفع آن بسیار دشوار است. به گفته‌ی یکی از اعضای تیم پشتیبانی شرکت Mikro Tik، Router v6 دارای هسته‌ی قدیمی‌تری است و نمی‌توان آن را تغییر داد.

کارشناسان معتقدند، Mikro Tik تعدادی بهینه‌سازی در نسخه‌ی بتای بعدی RouterOS برای سخت‌افزار با منبع کم RAM، معرفی خواهد کرد.

شرکت مایکروسافت، به‌روزرسانی ماه آوریل خود را منتشر کرد و آسیب‌پذیری‌های متعددی ازجمله دو آسیب‌پذیری روز صفرم ویندوز که در حملات گسترده مورد سوءاستفاده قرار گرفته‌اند، رفع کرد.
در این به‌روزرسانی، بیش از ده آسیب‌پذیری اجرای کد از راه دور و افزایش امتیاز که بر ویندوز و مرورگرهای مایکروسافت تأثیر می‌گذارند، وصله شدند.
15 به‌روزرسانی منتشرشده، در مجموع 74 آسیب‌پذیری منحصربه‌فرد در ویندوز، اینترنت اکسپلورر، Edge، آفیس، SharePoint و Exchange را پوشش می‌دهند.
آسیب‌پذیری‌های روز صفرمی که به‌طور گسترده مورد سوءاستفاده قرار گرفته‌اند، "CVE-2019-0803" و "CVE-2019-0859" هستند که می‌توانند به یک مهاجم، اجازه‌ی افزایش دسترسی در سیستم‌های هدف دهند.
آسیب‌پذیری افزایش امتیاز در ویندوز زمانی به‌وجود می‌آید که مؤلفه‌ی "Win32k" نتواند به‌درستی اشیاء را در حافظه کنترل کند. مهاجم می‌تواند پس از سوءاستفاده‌ی موفقیت‌آمیز از این آسیب‌پذیری، کد دلخواه را در حالت هسته اجرا، برنامه‌ها را نصب، داده‌ها را مشاهده، تغییر یا حذف و حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
برای سوءاستفاده از این آسیب‌پذیری، یک مهاجم باید ابتدا به سیستم وارد شود. برای این کار می‌تواند یک برنامه‌ی خاص طراحی‌شده را اجرا کند که می‌تواند از این آسیب‌پذیری سوءاستفاده کند و کنترل سیستم آسیب‌دیده را به‌دست گیرد.
به‌روزرسانی مایکروسافت، این آسیب‌پذیری را با تصحیح چگونگی کنترل اشیاء توسط "Win32k" رفع می‌کند.
علاوه بر آسیب‌پذیری‌های روز صفرم، دیگر محصولات امنیتی مایکروسافت نیز وجود دارند که کاربران باید وصله‌های منتشرشده را بر روی آن‌ها اعمال کنند.
به‌عنوان مثال، سه اشکال در Microsoft Office Access Connectivity با شناسه‌های "CVE-2019-0824"، "CVE-2019-0825" و "CVE-2019-0827" وجود دارند که می‌توانند مهاجمین را قادر به اجرای کد در سیستم‌های آسیب‌پذیر کنند. این اشکالات می‌توانند از راه دور مورد سوءاستفاده قرار گیرند و محیط‌های سازمانی را در معرض خطر قرار دهند.
در هنگام تجزیه‌ی فایل‌های EMF، آسیب‌پذیری اجرای کد از راه دور ("CVE-2019-0853")، مؤلفه‌ی GDI ویندوز را تحت تأثیر قرار می‌دهد. با توجه به اینکه بهره‌برداری از این آسیب‌پذیری می‌تواند با متقاعدکردن کاربران به بازدید از یک وب‌سایت یا ارسال ایمیل حاوی فایل مخرب به کاربران انجام شود، این نقص نیز یک مسئله‌ی بسیار جدی است که اعمال وصله‌های منتشرشده را ضروری می‌سازد.
Adobe و SAP نیز به‌روزرسانی‌های امنیتی مربوطه خود را منتشر کردند. Adobe هفت به‌روزرسانی را برای رفع 43 آسیب‌پذیری در محصولات خود مانند Adobe Reader، Acrobat، AIR، Flash و Shockwave منتشر کرد.
Wireshark نیز سه به‌روزرسانی را برای حل ده آسیب‌پذیری منتشر کرد. Wireshark یکی از ابزارهای نادیده گرفته‌شده‌ی IT است که می‌تواند خطر قابل توجهی را برای محیط اطراف کاربر ایجاد کند.
باتوجه به اهمیت آسیب‌پذیری‌های ذکرشده، به‌روزرسانی این محصولات برای رفع نقایص موجود امری ضروری است و به کاربران توصیه می‌شود تا هرچه سریع‌تر وصله‌های منتشرشده را اعمال کنند.

شرکت ادوبی وصله‌ی به‌روزرسانی امنیتی بزرگی برای چندین نرم‌افزار ارائه‌شده‌ی خود منتشر ساخته است که تعدادی از اشکالات مهم و بحرانی را برطرف می‌سازد.
ادوبی در بولتین امنیتی ماه آوریل سال 2019 خود یک به‌روزرسانی برای تقویت امنیت Adobe Bridge CC، Adobe Experience Manager Forms، InDesign، Adobe XD، Adobe Dreamweaver، Adobe Shockwave Player، Adobe Flash Player و Adobe Acrobat and Reader لیست کرده است.
برخی از آسیب‌پذیری‌های برطرف‌شده می‌توانند منجر به مشکلات اجرای کد دلخواه، افشای اطلاعات حساس و اجرای کد راه‌دور در متن کاربر فعلی شوند.
در Adobe Bridge CC، یک خطای سرریز پشته با شناسه‌ی CVE-2019-7130 که می‌توانست منجر به اجرای کد راه دور شود به همراه یک نقص نوشتن خارج از محدوده (out-of-bounds-write) با شناسه‌ی CVE-2019-7132 که می‌تواند با همان هدف مورد سوءاستفاده قرار گیرد، وصله شده است. این به‌روزرسانی امنیتی، شش خطای افشای اطلاعات را نیز در این نرم‌افزار برطرف می‌سازد.
ادوبی آسیب‌پذیری اسکریپت‌نویسی متقابل (XSS) با شناسه‌ی CVE-2019-7129 را در Experience Manager Forms برطرف ساخته است که اگر توسط مهاجم مورد سوءاستفاده قرار گیرد ممکن است منجر به نشت اطلاعات حساس شود.
در InDesign آسیب‌پذیری با شناسه‌ی CVE-2019-7107 وصله شده است. این اشکال بحرانی ناشی از پردازش hyperlink ناامنی است که می‌تواند منجر به اجرای کد دلخواه در متن کاربر فعلی شود. دو آسیب‌پذیری CVE-2019-7105 و CVE-2019-7106 نیز در Adobe XD وصله شده‌اند که سوءاستفاده از آن‌ها می‌تواند منجر به اجرای کد دلخواه شود.
در مجموع هفت آسیب‌پذیری امنیتی جدی در آخرین وصله‌ی به‌روزرسانی امنیتی ادوبی برای Shockwave برطرف شده است. این اشکالات (CVE-2019-7098، CVE-2019-7099، CVE-2019-7100، CVE-2019-7101، CVE-2019-7102، CVE-2019-7103 و CVE-2019-7104) همگی مسائل مربوط به خرابی حافظه هستند که می‌توانند به‌منظور اجرای کد دلخواه مورد سوءاستفاده قرار گیرند.
یک جفت آسیب پذیری مهم و حیاتی با شناسه‌های CVE-2019-7108 و CVE-2019-7096 در Adobe Flash رفع شده است. این نقص‌های خواندن خارج از محدوده و استفاده پس از آزادسازی (use-after-free) می‌توانند منجر به نشت اطلاعات یا استفاده از کد دلخواه شوند.
Adobe Acrobat and Reader به‌روزرسانی قابل‌توجهی در وصله‌ی ماه آوریل ادوبی دریافت کرده است. در مجموع، 21 مسئله برطرف شده است که 10 مورد از آن‌ها می‌تواند منجر به افشای اطلاعات شود و 11 اشکال می‌تواند به منظور اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.
یک نقص امنیتی متوسط با شناسه‌ی CVE-2019-7097 نیز Adobe Dreamweaver را تحت‌تأثیر قرار داده است. اگر پروتکل‌های انسداد پیامک کارگزار (SMB) نهاد رله‌سازی حملات در این نرم‌افزار باشند، این نقص می‌تواند برای نشت اطلاعات حساس مورد سوءاستفاده قرار گیرد.
توصیه می‌شود کاربران به‌روزرسانی‌های خودکار را به منظور کاهش خطرات سوءاستفاده دریافت نمایند.

متاسفانه برنامک‌های متعددی تحت عنوان "افزایش سرعت اینترنت" در فروشگاه‌های برنامک ‌های اندروید وجود دارند. این برنامک‌ها با ظاهرسازی و ادعاهای دروغین سعی در ترغیب کاربران به نصب برنامک را دارند اما هیچ‌کدام نمی‌توانند منجر به افزایش سرعت اینترنت شوند، چرا که چنین کاری در دنیای واقعی عملی نیست. این برنامک‌ها به محض شروع اعلام می‌کنند که سرعت اینترنت پایین است، سپس با نمایش اعلان‌هایی و بعد از چند ثانیه، ادعا می‌کنند که سرعت اینترنت افزایش یافته است. در این گزارش برنامک‌های پرنصب (29 برنامک با بیش از 127هزار کاربر) در این زمینه مورد بررسی قرار گرفته و نشان داده شده که این برنامک‌ها در پس‌زمینه هیچ کار مفیدی انجام نمی‌دهند و تنها با هدف نمایش تبلیغات و کنترل گوشی کاربر منتشر شده‌اند.

جهت مطالعه و دریافت متن کامل 

کلیک نمایید

مایکروسافت  در به‌روزرسانی ماه می سال 2019 خود، 79 آسیب‌پذیری از جمله یک آسیب‌پذیری در سیستم‌عامل‌های قدیمی Windows XP و Server 2003 که دیگر از آن‌ها پشتیبانی نمی‌کند را وصله کرده است.
معمولاً پشتیبانی از سیستم‌عامل‌‌‌های قدیمی هزینه‌بر است؛ اما مایکروسافت با توجه به ماهیت خطرناک این نقص بحرانی، وصله‌ی رایگانی را برای آن منتشر ساخته است. این آسیب‌پذیری با شناسه‌ی CVE-2019-0708 ردیابی می‌شود و در سرویس‌های Remote Desktop وجود دارد. این آسیب‌‌پذیری اجازه‌ی اجرای کد راه دور را می‌دهد؛ بدون آنکه نیازی به دخالت کاربر یا احرازهویت باشد. برای سوءاستفاده، مهاجم یکی از بیشمار بسته‌‌های ویندوزی آسیب‌پذیر را که به اینترنت یا یک شبکه متصل هستند را می‌یابد، بسته‌های ساختگی دقیق را به سرویس Remote Desktop آن ارسال می‌کند، اگر در حال اجرا باشد، شروع به اجرای کد مخرب در دستگاه می‌کند. از آنجا، رایانه‌های آسیب‌پذیر دیگر، با اسکن دامنه‌های IP، یافت خواهند شد. این آسیب‌‌پذیری کرم‌گونه» است؛ بدین معنی که هر بدافزاری که در آینده از این آسیب‌پذیری سوءاستفاده می‌‌کند می‌تواند از رایانه‌ی آسیب‌پذیری به رایانه‌ی آسیب‌پذیر دیگر پخش شود. این روش مشابه روشی است که بدافزار WannaCry در سال 2017 در سراسر جهان انتشار یافت.
از آنجاییکه هیچ سوءاستفاده‌ای از این آسیب‌پذیری مشاهده نشده است، به احتمال زیاد، عاملین تهدید سوءاستفاده‌ای برای این آسیب‌پذیری خواهند نوشت و آن را در بدافزار خود قرار خواهند داد. لذا ضروری است سیستم‌های متأثر در اسرع وقت به‌منظور جلوگیری از چنین حوادثی، وصله شوند. به همین دلیل مایکروسافت به روزرسانی امنیتی برای تمامی مشتریان به‌منظور حفاظت بسترهای ویندوزی، از جمله برخی نسخه‌های قدیمی ویندوز ارایه کرده است.

دریافت متن کامل

میلیون‌ها سیستم  لینوکس می‌توانند نسبت به نقص race condition با شدت بالا در هسته‌ی لینوکس آسیب‌پذیر باشند. کارشناسان امنیتی یک آسیب‌پذیری (CVE-2019-115) در هسته‌ی لینوکس، نسخه‌های قبل از 5.0.8 کشف کردند که سیستم را در معرض خطر اجرای کد از راه دور قرار می‌دهد. 
مهاجمین می‌توانند مسئله‌ی race condition که در پیاده‌سازی "rds_tcp_kill_sock TCP / IP" در "net / rds / tcp.c" قرار دارد و باعث ایجاد شرایط انکار سرویس (DoS) و اجرای کد از راه دور در دستگاه‌های آسیب‌پذیر لینوکس می‌شود، تحریک کنند. این وضعیت زمانی اتفاق می‌افتد که یک فرآیند متشکل از وظایف خاصی که در یک دنباله‌ی خاص رخ می‌دهند، با یک درخواست برای انجام دو یا چند عملیات به‌طور همزمان دچار اشتباه شود. در طی این سردرگمی، یک فرایند سرکش می‌تواند وارد شود.
در آسیب‌پذیری "CVE-2019-115"، مهاجمان می‌توانند از ارسال بسته‌های TCP مخصوص ساخته‌شده از راه دور به‌منظور تحریک یک وضعیت UAF مربوط به پاکسازی فضای نام شبکه، استفاده کنند. UAF یک کلاس از نقص فیزیکی حافظه است که می‌تواند منجر به سقوط سیستم و توانایی مهاجم برای اجرای کد دلخواه شود.
مهاجم می‌تواند بدون هیچ‌گونه امتیاز بالایی، بدون احراز هویت و بدون تعامل با کاربر، از این اشکال سوءاستفاده کند. بهره‌برداری از این نقص می‌تواند مهاجمان را قادر به دسترسی به منابع، تغییر هرگونه فایل و دسترسی به منابع ممنوع کند. آسیب‌پذیری "CVE-2019-115" دارایCVSS v3.0 از امتیاز پایه‌ی 8.1 است، اما به دلیل دشواری سوءاستفاده از آن، امتیاز سوءاستفاده‌ی 2.2 و امتیاز تأثیر 5.9 را دریافت کرده است. تیم توسعه‌ی هسته‌ی لینوکس یک وصله‌ی امنیتی را منتشر کرد و این آسیب‌پذیری به‌طور کامل با نسخه‌ی لینوکس 5.0.8 رفع شد.

واتس آپ جزئیات مربوط به یک آسیب‌پذیری جدی در برنامه‌ی پیام‌رسان خود را افشا کرده است که به کلاه‌برداران این امکان را می‌دهد تا از راه دور، جاسوس‌افزار اسرائیلی را در دستگاه‌های iPhone و اندروید به‌سادگی و با برقراری تماس تلفنی با هدف، تزریق کنند.این اشکال که توسط فیس‌بوک کشف شده است، یک آسیب‌پذیری سرریز بافر در تابع VOIP واتس‌آپ است.
مهاجم باید با هدف، تماس بگیرد و بسته‌های پروتکل حمل‌ونقل امن (SRTP) را به تلفن ارسال کند تا بتواند از نقص حافظه‌ی موجود در تابع VOIP در واتس‌آپ برای تزریق نرم‌افزارهای جاسوسی و کنترل دستگاه استفاده کند.
برای تزریق نرم‌افزار جاسوسی حتی نیازی به پاسخ هدف به تماس نیست و تماس اغلب از ورودی‌های مربوط به تماس پاک می‌شود.
در حالی که واتس‌آپ از رمزگذاری انتها-به-انتها پشتیبانی می‌کند که باید از محتوای ارتباطات بین کاربران محافظت کند، اما اگر دستگاه با نرم‌افزارهای مخرب سازش پیدا کند، این اقدام امنیتی می‌تواند تضعیف شود.
طبق گزارشات، این نرم‌افزار جاسوسی از گروه NSO (یک شرکت اسرائیلی) است که متهم به فروش نرم‌افزارهای جاسوسی خود به دولت‌هایی با پرونده‌های مشکوک حقوق بشر است.
محصول پیشگام گروه NSO ، ابزاری به نام " Pegasus" است. این ابزار مخرب، نه‌تنها برای مبارزه با جرایم و تروریسم محلی بلکه برای نظارت بر مرزهای بین‌المللی نیز استفاده می‌شود.
این نرم‌افزار مخرب می‌تواند مکالمات را ضبط کند، پیام‌های خصوصی را به سرقت ببرد، عکس‌ها را پاک کند، دوربین گوشی را روشن و داده‌های موقعیت مکانی را جمع‌آوری کند.
به‌گفته‌ی مهندسین واتس‌آپ، هفته‌ی گذشته این آسیب‌پذیری برای نصب بدافزار "Pegasus" مورد استفاده قرار گرفت و چند روز بعد یک وصله برای کاربران نهایی عرضه کرد.
نقص VOIPدر واتس‌آپ بر روی نسخه‌های اندروید واتس‌آپ قبل از نسخه‌ی 2.19.134، واتس‌آپ تجاری برای اندروید قبل از 2.19.44، واتس‌آپ برای iOS قبل از 19.19.51، واتس‌آپ تجاری برای iOS قبل از 2.19.51، واتس‌آپ برای ویندوز فون قبل از 2 ..348 و واتس‌آپ برای Tizen قبل از 1..15 تأثیر می‌گذارد.
این آسیب‌پذیری در حال حاضر رفع شده است؛ به این معنی که کاربران واتس‌آپ تنها نیاز به دانلود آخرین نسخه از این نرم‌افزار دارند.

شرکت اینتل  بیش از 30آسیب پذیری در محصولات مختلف خود از جمله یک آسیب پذیری بحرانی در موتور همگرای مدیریت و امنیت Intel (CSME)که سوءاستفاده از آن می‌تواند منجر به افزایش امتیاز شود را برطرف نموده است.

این نقص (CVE-2019-0153)در زیرسیستم Intel CSMEوجود دارد. این زیرسیستم، فن‌آوری سفت‌افزار و سخت‌افزار سیستم مدیریت فعال Intelرا که برای مدیریت از راه دور خارج از محدوده‌ی رایانه‌های شخصی استفاده می‌شود، قدرت می‌بخشد. یک کاربر بدون احرازهویت می‌تواند به صورت بالقوه از این نقص برای اعمال افزایش امتیاز طی دسترسی شبکه‌ای، سوءاستفاده کند. این نقص، یک آسیب‌پذیری سرریز بافر با امتیاز CVSS9 از 10 است. نسخه‌های 12تا 12.0.34 CSMEتحت‌تأثیر این آسیب‌پذیری قرار گرفته‌اند. شرکت Intelبه کاربران Intel CSMEتوصیه می‌کند به آخرین نسخه‌ی منتشرشده توسط سازنده‌ی سیستم که این نقص‌ها را برطرف ساخته است، به‌روزرسانی کنند.

Intelدر مجموع 34 آسیب‌‌پذیری را برطرف ساخته است که علاوه بر این یک نقص بحرانی، 7 مورد از آن‌ها از نظر شدت بالا»، 21 مورد متوسط» و 5 مورد پایین» رتبه‌بندی شده‌اند. این نقص‌ها جدا از نقص‌هایی هستند که Intelچندی پیش برطرف ساخته است. آن نقص‌ها، آسیب‌پذیری‌های اجرایی احتمالی به نام نمونه‌برداری داده‌‌ای ریزمعماری (MDS) بودند که تمامی CPUهای جدید Intelرا تحت‌تأثیر قرار داده بودند. چهار حمله‌ی کانالیZombieLoad، Fallout، RIDL (Rogue In-Flight Data Load)و Store-to-Leak Forwardingاجازه‌ی استخراج داده‌ها از سیستم‌های متأثر آن آسیب‌‌پذیری‌ها را می‌دادند.

یکی از آسیب‌پذیری‌های با شدت بالا که در توصیه‌نامه‌ی جدید Intelبرطرف شده است، یک آسیب‌‌پذیری اعتبارسنجی ناکافی ورودی است که درKernel Mode Driverتراشه‌های گرافیکی Intel i915لینوکس وجود دارد. این نقص، یک کاربر احرازهویت‌شده را قادر می‌سازد از طریق یک دسترسی محلی، امتیاز خود را افزایش دهد. این آسیب‌پذیری با شناسه‌ی CVE-2019-11085ردیابی می‌‌شود و دارای امتیاز CVSS8.8 از 10 است.

آسیب‌‌پذیری با شدت بالای دیگر در سفت‌افزار سیستم ابزارگان Intel NUC(یک ابزارگان کوچک رایانه شخصی که قابلیت‌های پردازش، حافظه و ذخیره‌سازی را برای برنامه‌‌هایی همچون مجموعه نشانه‌های دیجیتال، مراکز رسانه‌ای و کیوسک‌ها را ارایه می‌دهد) وجود دارد. این نقص با شناسه‌ی CVE-2019-11094ردیابی می‌‌شود و دارای رتبه‌ی CVSS7.5 از 10 است. این نقص ممکن است به کاربر احرازهویت‌شده اجازه دهد افزایش امتیاز، انکار سرویس یا افشای اطلاعات را به طور بالقوه از طریق دسترسی محلی اعمال سازد. شرکت Intelتوصیه می‌کند که محصولات متأثر زیر به آخرین نسخه‌ی سفت‌افزاری به‌روزرسانی کنند.

نقص با شدت بالای دیگر که توسط خود Intelکشف شد در واسط سفت‌افزاری توسعه‌پذیر یکپارچه (UEFI) وجود دارد. UEFI