خانه » پست‌هایی با برچسب "spread"

هشدار! استفاده از آسیب‌پذیری پاورپوینت برای انتشار بدافزار و دور زدن محصولات امنیتی

یک آسیب‌پذیری اجرای کد از راه دور در مجموعه نرم‌افزاری مایکروسافت آفیس مربوط به واسط‌های OLE در ماه آوریل سال جاری وصله شد. اما اکنون مهاجمان در بخش‌های مختلفی همچنان از این آسیب‌پذیری بهره‌برداری می‌کنند. پژوهشگران امنیتی کمپین بدافزاری جدیدی را شناسایی کردند که از همین آسیب‌پذیری بهره‌برداری می‌کند و حمله با استفاده از یک پیوست آلوده در رایانامه‌های فیشینگ آغاز می‌شود. محصولات شرکت مایکروسافت از قبیل آفیس ۲۰۰۷ سرویس‌پک ۳، آفیس ۲۰۱۰ سرویس‌پک ۲، آفیس ۲۰۱۳ سرویس‌پک ۱، آفیس ۲۰۱۶، ویندوز ویستا سرویس‌پک ۲، ویندوز سرور ۲۰۰۸ سرویس‌پک ۲، ویندوز هفت سرویس‌پک ۱ و ویندوز ۸٫۱ دارای این آسیب‌پذیری هستند. فایل مخرب، یک اکسپلویت از آسیب‌پذیری CVE-2017-0199 را هدف قرار می‌دهد که روند آلودگی را آغاز می‌کند. در نتیجه کد مخرب با استفاده از ویژگی‌های انیمیشن‌های پاورپوینت اجرا می‌شود و یک فایلِ لوگو را دانلود می‌نماید. فایل logo.doc کدهای XML و Javascript را در بر میگیرد که پاورشل را برای اجرای فایلی به نام RATMAN.EXE به راه میاندازد – یک نسخه تروجانی از ابزار دسترسی از راه دور Remcos – که سپس به سرور فرماندهی و کنترل وصل می‌شود. هنگامیکه سیستم راهاندازی میشود، Remcos قادر است با استفاده از ریسک ماشین آلوده نسبت به کیلاگینگ، اسکرینلاگینگ، رکوردهای وبکم و میکروفن و همچنین دانلود و اجرای بدافزارهای دیگر، عملیات مخرب زیادی را انجام دهد. در واقع مهاجم یک کنترل کامل بر دستگاه آلوده – بدون آگاهی دارندۀ دستگاه – بدست میآورد. با توجه به گزارش پژوهشگران، اولین بار هست که اکسپلویتی برای هدف قرار دادن کاربران محصول پاورپوینت مایکروسافت و انتشار تروجان از طریق آن مورد استفاده قرار می‌گیرد.

گستردگی جغرافیایی:

تمامی کاربران محصولات مایکروسافت به این حمله آسیب‌پذیر هستند.

راهکارهای پیشگیری و مقابله:

تنها راه جلوگیری از آلوده شدن به این بدافزارها به‌روزرسانی‌ مایکروسافت و اعمال وصله منتشر شده برای این آسیب‌پذیری در این آدرس می‌باشد.

منابع:
🌏: Microsoft
🌏: ZDNet
🌏: Security Week
🇮🇷: کاشف

ضعف زیرساختی گسترده بانک مرکزی در حوزه IT

یکی از کارشناسان حوزه بانکی با انتقاد از تداوم روند فعالیت‌های سنتی در بخش نظارت بانک مرکزی بر لزوم اصلاح اساسی این حوزه با استفاده از فناوری‌های روز جهان تاکید کرد.
نیما امیرشکاری، تحلیگر و فعال در حوزه بانکی در ارتباط با موانع موجود در حوزه فناوری بر سر راه فعالیت‌های بانک مرکزی با انتقاد از تداوم فعالیت‌های سنتی در حوزه نظارت‌های بانکی بر لزوم اصلاح این حوزه تاکید کرد و گفت: شرایط کنونی ایجاب می‌کند که در حوزه نظارتی نه تنها نیازمند بازتولد نیروهای جدید هستیم، بلکه نیازمند تعویض نسل فعال در این حوزه هستیم، نسلی که آموزش‌دیده باشد و در این زمینه از مشاوره هم در این میان وجود داشته باشد.
امیرشکاری با تاکید بر نیاز سریع برای خروج از نظارت سنتی بر عملکرد جزیره‌ای بانک مرکزی اشاره کرد و گفت: مشکل اساسی که در این حوزه وجود دارد، نامرتبط بودن بخش‌های نظارت و IT است و اولین موضوع مرتبط با حجم و سطح IT در بانک مرکزی، فناوری‌های نوین و وظایفی ا‌ست که برای آن تعریف شده است، به نظرم هیچ‌یک از این وظایف برای این‌که بتوانند روی ۳۰ بانک با این حجم تراکنش و اسناد بانکی نظارت داشته باشند ساخته نشده‌اند و از طریق نظارت سنتی جلو می‌روند، به این ترتیب می‌توان گفت وظایف و عملکرد در حوزه IT نسبت به ۳۰ سال گذشته تغییر نکرده است.
امیرشکاری در ارتباط با مدرن شدن نظارت در این حوزه بیان کرد: به نظر می‌رسد که بانک مرکزی چنین چیزی را مدنظر دارد، در این نقشه‌ی راه حدود ۵۳ پروژه‌ی بانک مرکزی در حوزه های مختلف تعیین شده که اندازه‌های کوچک و بزرگ دارد و بخشی از آنها در حوزه نظارت الکترونیک است اما به نظر من این اقدام جزو اولویت‌های این بانک نیست.
وی در ارتباط با اقدامات صورت گرفته در این حوزه بیان کرد: حدود ۵ الی۶ سال پیش یک نقشه راه به کمک شرکت ملی انفورماتیک نقشه‌ی راه نظام بانکی طراحی شد که برای آن از مشاوران خارجی کمک گرفته شد، البته این اتفاق حدود ۱۰ سال قبل آن نیز در سالهای ۸۱ تا ۸۶ توسط شرکت ملی پایه‌گذاری شده بود که حاصل آن اندکی دیسیپلین مالی، بازار بین بانکی و به میان آمدن ساتنا و پایا بود که نهایتاً منجر به مانیتور صحیح یکسری از اتفاقات، کم‌شدن چک‌های بی‌محل بین بانکی، کاهش چاپ پول و شفاف‌تر شدن تبادلات بین بانکی شد و این تحول ۱۰ ساله‌ از طریق سیستم‌های پرداخت در بازار بین بانکی اتفاق افتاد.
امیرشکاری در ارتباط با تلاش برای به‌روز کردن مهارت‌ نیروهای موجود در بخش نظارتی بانک مرکزی ضمن تاکید بر اهمیت این حوزه از تجارب صورت گرفته در گذشته سخن گفت و بیان کرد: بنده دوستان و همکاران پیشینی را در بانک مرکزی می‌شناسم که خیلی از آن‌ها قبل از انقلاب در کشورها و دانشگاه‌های بسیار خوب از طریق بورسیه خود بانک مرکزی یا بانک ملی و امثالهم آموزش علمی و عملی دیده‌اند، آن‌ها در کار خود سواد کافی را کسب کرده‌ و حتی دوره‌های کارآموزی تخصصی خود را در بانکهای تراز اول دنیا گذرانده‌اند و در طول دوره کاری خود در کشور خودمان فعالیت‌های بسیار تاثیرگذاری داشته و دارند.
وی در توضیح وضعیت کنونی اینطور ادامه داد: برنامه‌هایی که ۴۰سال پیش بوده اکنون از بین رفته و مکانی برای کسب این آموزش‌ها وجود ندارد. با توجه به این‌که صنعت بانکداری ما صنعتی اقتباسی‌ست و خارجی‌ها در حال ادامه‌ی آن هستند باید با ایجاد راه ارتباطی این آموزش را حفظ کرده و به‌روز شویم. به نظر من چنین مسئله‌ای ممکن است در افراد آکادمیک کمی وجود داشته باشد اما در نیروهای اجرایی تقریباً از بین رفته است.
وی در ارتباط با مشکلات موجود در این حوزه بیان کرد: در‌حال‌حاضر یکی از بزرگ‌ترین مشکلات ما درآمدهای مشاعی است که سال‌های سال راجع به آن بحث کرده‌ایم، یکی از کاربردهای IT ایجاد درآمدهای کارمزدی و غیرمشاع برای بانک است که نمونه‌ی آن را در صنعت پرداخت مشاهده کرده‌ایم که کارمزد ایجاد شده سبب بزرگ‌شدن این صنعت شد.
امیرشکاری در ارتباط با اقدامات بانک مرکزی اینطور بیان کرد: تصورمن این است که بانک مرکزی باید در تمام حوزه‌های دیگر فضای نوآورانه برای دریافت کارمزد و گسترش کسب و کار ایجاد کند. سال‌های پیش مباحثی در این رابطه به میان آمد که براثر مسائل سیاسی به فراموشی سپرده شد. بحث این بود که بانک‌های مجازی با مدل کسب و کار مبتنی بر حاشیه سودهای پایینتر (Low Margin) ایجاد شوند و هزینه‌های خود را پایین آورند تا از این طریق بانک‌هایی با spread پایین‌تر و درآمدهای کارمزدی بالاتر ایجاد شوند. اگر مسائل اینچنینی در اولویت قرار گیرند با مشکلات کمتری مواجه می‌شویم.
وی در نهایت اینطور بیان کرد: بحث آخر این‌که در وضعیت جهانی‌شدنی که در کل دنیا رخ داده یکی از راه‌ها -شبیه اتفاقی که در رابطه با صنعت موبایل بین اوپراتورهای خارجی و بخش دولتی افتاد- ایجاد پارتنرشیپ و رقابت است. ورود بانک‌های خارجی، پارتنرشیپ بانکهای داخلی با آنها و تقویت سرمایه‌گذاری خارجی و…. که قوانین آن تنها در دستان بانک مرکزی‌ست می‌تواند به بهبود اوضاع بینجامد.