GeekNotif
مایکروسافت دست از سرم بردار ... امروز دوباره مایکروسافت هشدار داده که یه آسیب پذیری zero day جدید که برای اجرای کد از راه دور مرورگر غیرفعال اکسپلورر مورد بهره برداری قرار گرفته . این آسیب پذیری که اونو با cve-2024-43461 میشناسیم ، یه آسیب پذیری با شدت…
مایکروسافت دست از سرم بردار 2 ...
امروز مایکروسافت دوباره هشدار هایی رو داده درباره یه آسیب پذیری که مربوط به کرنل ویندوز بوده که این آسیب پذیری رو با CVR-2024-37985 میشناسیم و میتونه سیستم های ARM بیس رو تحت تاثیر قرار بده و از طرفی هم اینکه به صورت عمومی این آسیب پذیری افشا شده و همین توجه افراد کنجکاو رو برای بهره برداری ازش جلب میکنه .
یه اکسپلویت موفق به مهاجم اجازه میده که بتونه heap memory یه پروسس که پریویلیج بالایی داره و رو سرور رانه رو بخونه و همین باعث بشه اطلاعات حساسی در معرض دید مهاجم قرار بگیره ، و این آسیب پذیری امتیاز CVSS 5.9 رو گرفته که یه آسیب پذیری مهم طبقه بندی میشه .
مایکروسافت پچ های امنیتی لازم رو منتشر کرده و گفته برای کاهش احتمال بهره برداری هرچه زودتر به اخرین نسخه ها برید ( از من بپرسی میگم خودشم مطمئن نیست که درست پچ کرده یا نه )
امروز مایکروسافت دوباره هشدار هایی رو داده درباره یه آسیب پذیری که مربوط به کرنل ویندوز بوده که این آسیب پذیری رو با CVR-2024-37985 میشناسیم و میتونه سیستم های ARM بیس رو تحت تاثیر قرار بده و از طرفی هم اینکه به صورت عمومی این آسیب پذیری افشا شده و همین توجه افراد کنجکاو رو برای بهره برداری ازش جلب میکنه .
یه اکسپلویت موفق به مهاجم اجازه میده که بتونه heap memory یه پروسس که پریویلیج بالایی داره و رو سرور رانه رو بخونه و همین باعث بشه اطلاعات حساسی در معرض دید مهاجم قرار بگیره ، و این آسیب پذیری امتیاز CVSS 5.9 رو گرفته که یه آسیب پذیری مهم طبقه بندی میشه .
مایکروسافت پچ های امنیتی لازم رو منتشر کرده و گفته برای کاهش احتمال بهره برداری هرچه زودتر به اخرین نسخه ها برید ( از من بپرسی میگم خودشم مطمئن نیست که درست پچ کرده یا نه )
خبر جدید و جالب اینه که درایور minifilter ویندوز ، مثل درایور sysmon میتونه مورد سو استفاده قرار بگیره تا از بارگذاری درایور های EDR جلوگیری کنه ...
برای کسی که یه فرد خرابکاره یه خورده سخته که بیاد پروسس های Endpoint Detection and Response (EDR) رو متوقف کنه حتی اگر دسترسی محلی داشته باشه و یا مدیر سیستم باشه چونکه این فرایند ها به صورت خودکار و پایدار عمل میکنن ، این EDR میاد اِند پوینت هارو توی شبکه تحلیل و برسی میکنه و با حملاتی که میشه مقابله میکنه حالا میخواد یه باج افزار باشه یا هرچی ، در واقع EDR نوعی حفاظت از اِند پوینته که با استفاده از اطلاعاتی که جمع میکنه از دستگاههای اِند پوینت ، برای درک نحوه رفتار تهدید های سایبری و روشهای واکنش سازمانها به تهدید های سایبری استفاده میکنه و اینطور کار میکنه که به صورت real time شبکه رو تحت نظر میگیره و اگر چیز مشکوکی دید به تیم امنیتی هشدار هایی میده...
حالا چطور میشه متوقفش کرد ؟
امروز یه گزارشی رو دیدم و اینطور که من فهمیدم یه روش برای این کار هست ، بزارید یه مثال بزنم ... فرض کنین یه سازمان از EDR استفاده میکنه برای نظارت به فعالیت های مشکوک توی سیستم هاش ، حالا اگه یه مهاجم بیاد از درایور Minifilter ویندوز برای تغییر Altitude درایور Sysmon استفاده کنه میتونه مانع بشه از ثبت درایور EDR توی Filter manager بشه و همین میتونه EDR رو متوقف کنه
برای کسی که یه فرد خرابکاره یه خورده سخته که بیاد پروسس های Endpoint Detection and Response (EDR) رو متوقف کنه حتی اگر دسترسی محلی داشته باشه و یا مدیر سیستم باشه چونکه این فرایند ها به صورت خودکار و پایدار عمل میکنن ، این EDR میاد اِند پوینت هارو توی شبکه تحلیل و برسی میکنه و با حملاتی که میشه مقابله میکنه حالا میخواد یه باج افزار باشه یا هرچی ، در واقع EDR نوعی حفاظت از اِند پوینته که با استفاده از اطلاعاتی که جمع میکنه از دستگاههای اِند پوینت ، برای درک نحوه رفتار تهدید های سایبری و روشهای واکنش سازمانها به تهدید های سایبری استفاده میکنه و اینطور کار میکنه که به صورت real time شبکه رو تحت نظر میگیره و اگر چیز مشکوکی دید به تیم امنیتی هشدار هایی میده...
حالا چطور میشه متوقفش کرد ؟
امروز یه گزارشی رو دیدم و اینطور که من فهمیدم یه روش برای این کار هست ، بزارید یه مثال بزنم ... فرض کنین یه سازمان از EDR استفاده میکنه برای نظارت به فعالیت های مشکوک توی سیستم هاش ، حالا اگه یه مهاجم بیاد از درایور Minifilter ویندوز برای تغییر Altitude درایور Sysmon استفاده کنه میتونه مانع بشه از ثبت درایور EDR توی Filter manager بشه و همین میتونه EDR رو متوقف کنه
جزوه دست نویس خودم هم که مربوط به قسمت دو بوده رو براتون میزارم اگه تونستین بخونین... (اگه تونستین چون دست خطو که میبینی) 😂
🙏6❤2😁2🤣1
دو مقدار هگزادسیمال A2FB و CD1A رو باهم جمع کنین و مقدار فلگ های AF , OF , ZF , SF ، PF رو حساب کنین ؟
کار BUS چیه ؟
کار BUS چیه ؟
هشداری از سمت CISA صادر شده که درمورد بهره برداری از 5 آسیب پذیری حیاتی سازمان هارو مطلع میکنه و این آسیب پذیری ها به صورت فعال درحال بهره برداری هستن و سازمان هایی که از این محصولات استفاده میکنن باید حواسشون جمع باشه ، این آسیب پذیری ها چندین پلتفرم نرم افزاری رو تحت تاثیر قرار دادن که :
1 - آسیب پذیری Apache HugeGraph-Server :
اونو با CVE-2024-27348 میشناسیم که یه آسیب پذیری مهمه و ناشی از کنترل دسترسی نامناسبه و به مهاجم اجازه میده کد دلخواهشو به صورت ریموت اجرا کنه (RCE)
2- آسیب پذیری microsoft SQL server reporting services :
اونو با CVE-2020-0618 میشناسیم که این یه نقص deserialization هست که به مهاجم احراز هویت شده اجازه اجرای کد دلخواهش رو با سطح دسترسی خود حساب همین ریپورت سرویس اجرا کنه .
3- آسیب پذیری Microsoft Windows Task Scheduler :
اونو با CVE-2019-1069 میشناسیم و باعث افزایش امتیاز میشه و با بهره برداری از تابع ()SetJobFileSecurityByName مهاجم میتونه امتیاز خودشو به سطح SYSTEM برسونه .
4- آسیب پذیری Oracle JDeveloper :
مربوط به بخشی از fusion middleware هستش که این آسیب پذیری رو با CVE-2022-21445 میشناسیم و ناشی از یه deserialization توی
5- آسیب پذیری Oracle WebLogic : که اونو با CVE-2020-14644 میشناسیمش باز مربوط به بخشی از fusion middleware هست که با بهره برداری از این آسیب پذیری مهاجم احراز هویت نشده میتونه با استفاده از پروتکل های IIOP و T3 و با سو استفاده از deserialization میتونن به شبکه دسترسی پیدا کنن و ریموت کد اگزکیوشن کنن .
همه این آسیب پذیری ها هنوزم که هنوزه به طور گسترده ای داره ازشون استفاده میشه چراکه خیلی از سازمان ها هنوز پچ نکردن و ...
1 - آسیب پذیری Apache HugeGraph-Server :
اونو با CVE-2024-27348 میشناسیم که یه آسیب پذیری مهمه و ناشی از کنترل دسترسی نامناسبه و به مهاجم اجازه میده کد دلخواهشو به صورت ریموت اجرا کنه (RCE)
2- آسیب پذیری microsoft SQL server reporting services :
اونو با CVE-2020-0618 میشناسیم که این یه نقص deserialization هست که به مهاجم احراز هویت شده اجازه اجرای کد دلخواهش رو با سطح دسترسی خود حساب همین ریپورت سرویس اجرا کنه .
3- آسیب پذیری Microsoft Windows Task Scheduler :
اونو با CVE-2019-1069 میشناسیم و باعث افزایش امتیاز میشه و با بهره برداری از تابع ()SetJobFileSecurityByName مهاجم میتونه امتیاز خودشو به سطح SYSTEM برسونه .
4- آسیب پذیری Oracle JDeveloper :
مربوط به بخشی از fusion middleware هستش که این آسیب پذیری رو با CVE-2022-21445 میشناسیم و ناشی از یه deserialization توی
مؤلفه ADF faces هست که به یه مهاجم تایید شده اجازه اجرای کد از راه دوره میده . 5- آسیب پذیری Oracle WebLogic : که اونو با CVE-2020-14644 میشناسیمش باز مربوط به بخشی از fusion middleware هست که با بهره برداری از این آسیب پذیری مهاجم احراز هویت نشده میتونه با استفاده از پروتکل های IIOP و T3 و با سو استفاده از deserialization میتونن به شبکه دسترسی پیدا کنن و ریموت کد اگزکیوشن کنن .
همه این آسیب پذیری ها هنوزم که هنوزه به طور گسترده ای داره ازشون استفاده میشه چراکه خیلی از سازمان ها هنوز پچ نکردن و ...
Indusface
CVE-2024-27348 – RCE in Apache HugeGraph | Indusface Blog
Discover CVE-2024-27348, a critical RCE vulnerability in Apache HugeGraph-Server, its impact, and essential mitigation steps to protect your systems.
👍3
میتونیم پسوند یه ثابت دسیمال رو نادیده بگیریم و به صورت اختیاری ازش استفاده کنیم ؟
Anonymous Quiz
27%
نه باید قرار داده بشه
73%
اره میتونه اختیاری باشه
یه لیبل تعریف میکنیم که اسمش LOOP3 توی سگمنت کدمون قرار نداره ، این لیبل چطور نمایش داده میشه ؟
Anonymous Quiz
18%
LOOP3 LABEL NEAR
61%
LOOP3 LABEL FAR
21%
LOOP3: