یک عنوان شغلی هم داریم
من از ۹۰٪ اینا فرار میکنم؛ (مخصوصاً اونایی که مثل نونواها هرروز صبح، ظهر و شب پست میذارن) چرا ؟
چون اینا دقیقاً
مثلاً طرف مواردی راجب ورزش نوشته (تا دلت بخواد غلط داره)
الان یک مطلبی رو خوندم، طرف راجب تراپی و هوش مصنوعی نوشته بود!
تخصص تراپی رو که ندارم و کسی هم کنارم نیست که سوال کنم؛ اما توی هوش مصنوعی فقط کلمات تخصصی رو توی فرمت درست و براساس احتمال قرار گرفتن کنار هم گذاشته!
جدی میگم؛ سر و ته جمله مشخص نیست؛ ۸۰٪ مطلبش راجب
بدترین بخشش اینه که ۱۵ تا از کانکشنهای بنده توی لینکدین، این پست رو لایک کردند (منم آنفالو کردم؛ برخلاف خیلیها من وقتی کانکشنهام چیزی رو لایک یا کامنت میذارند وقت میذارم و میخونم.)
Content Writer من از ۹۰٪ اینا فرار میکنم؛ (مخصوصاً اونایی که مثل نونواها هرروز صبح، ظهر و شب پست میذارن) چرا ؟
چون اینا دقیقاً
Halucination دنیای واقعی ما هستند؛ دقیقاً مشخص نیست تخصص طرف چیه و راجب چی حق داره حرف بزنه یا بنویسه ولی راجب همه چیز شبه تخصص مینویسه.مثلاً طرف مواردی راجب ورزش نوشته (تا دلت بخواد غلط داره)
الان یک مطلبی رو خوندم، طرف راجب تراپی و هوش مصنوعی نوشته بود!
تخصص تراپی رو که ندارم و کسی هم کنارم نیست که سوال کنم؛ اما توی هوش مصنوعی فقط کلمات تخصصی رو توی فرمت درست و براساس احتمال قرار گرفتن کنار هم گذاشته!
جدی میگم؛ سر و ته جمله مشخص نیست؛ ۸۰٪ مطلبش راجب
LLM (هوش مصنوعی از نظر اینا) اشتباه هست، یعنی حتی اگر مطلب رو به ChatGpt هم میداد ایراداش رو میگرفت براش.بدترین بخشش اینه که ۱۵ تا از کانکشنهای بنده توی لینکدین، این پست رو لایک کردند (منم آنفالو کردم؛ برخلاف خیلیها من وقتی کانکشنهام چیزی رو لایک یا کامنت میذارند وقت میذارم و میخونم.)
😁1
بزارید یک مثال از ریاضیات بزنم و همچنین موردی که شخصیت معظمی مانند ترنس تائو مطرح کرده است را مورد بررسی قرار بدیم. این روزها کلی حرف و حدیث در مورد نتایج llmها راه افتاده که مثلاً میتونه مسائل ریاضی باز یا همان open problemها و مسائل پیچیده در سطح دکترا رو حل کنه. ولی ماجرا این است که تمامی این افراد دارن اصل قضیه رو از پنهان میکنند و نمیبینن که مشکل اصلی کجاست! این مشکل و بهتون میگم بسط دادنش دیگه با خود شما.
ببینید تو این آزمایشها، مثلا مورد gpt5 فقط بعضی از مسائل رو حل نکرده، بلکه همهشون رو امتحان کرده و جواب داده. اما گیر کار اینجاست که بعضی جوابهاش درست بودن و بعضیهاش غلط. حال ایراد این داستان کجاست؟ ایراد این مسئله اینجاست که وقتی شما برای یک پدیده لاینحل با هوش طبیعی، یک راه حل با هوش مصنوعی ارائه میدهی، چطوری می خواهی با هوش طبیعی که قابل درک براش نبوده، پاسخ رو ارزیابی کنی؟
ما هیچ راه ساده و سریعی نداریم که بفهمیم کدومش درسته و کدومش اشتباه (حداقل فعلا)! یعنی نمیتونی راحت چک کنی و مطمئن شی و بگی خب حله، این جواب درسته چون هوش مصنوعی ارائه کرده. چون این هوش مصنوعیها اشتباهات عجیب و غریبی میکنن که آدم عادی متوجهشون نمیشه (ولی برنامه نویس ها این مورد و خیلی خوب درک میکنند، وقتی درگیر دیباگ کدهای llmها میشن).
در همین رابطه ترنس تائو گفته که مدلهای زبانی بزرگ (مثل همین gpt) اشتباهاتشون تو اثباتهای ریاضی کاملاً متفاوت و خاصه نسبت به اشتباهاتی که انسانها معمولاً مرتکب میشن. یعنی انسانها ممکنه تو محاسبات ساده یا مفاهیم پایهای اشتباه کنن، اما این AIها گاهی تو جاهای خیلی تخصصی و ناشناخته خطا میدن که تشخیصشون سخته و نیاز به دانش عمیق داره.
پس حالا چطوری این نتایج رو بررسی و تأیید کنیم؟ خب، مجبوریم یه ریاضیدان در سطح دکترا بیاریم که با زحمت همه اثباتها رو موبهمو چک کنه و ایرادها رو پیدا کنه. یعنی عملاً برمیگردیم سر خونه اول؟ 😅 یعنی همه این پیشرفتها آخرش باز وابسته به انسانهای متخصص میشه و نمیتونه کاملاً مستقل کار کنه! متوجه داستان شدید؟
ببینید تو این آزمایشها، مثلا مورد gpt5 فقط بعضی از مسائل رو حل نکرده، بلکه همهشون رو امتحان کرده و جواب داده. اما گیر کار اینجاست که بعضی جوابهاش درست بودن و بعضیهاش غلط. حال ایراد این داستان کجاست؟ ایراد این مسئله اینجاست که وقتی شما برای یک پدیده لاینحل با هوش طبیعی، یک راه حل با هوش مصنوعی ارائه میدهی، چطوری می خواهی با هوش طبیعی که قابل درک براش نبوده، پاسخ رو ارزیابی کنی؟
ما هیچ راه ساده و سریعی نداریم که بفهمیم کدومش درسته و کدومش اشتباه (حداقل فعلا)! یعنی نمیتونی راحت چک کنی و مطمئن شی و بگی خب حله، این جواب درسته چون هوش مصنوعی ارائه کرده. چون این هوش مصنوعیها اشتباهات عجیب و غریبی میکنن که آدم عادی متوجهشون نمیشه (ولی برنامه نویس ها این مورد و خیلی خوب درک میکنند، وقتی درگیر دیباگ کدهای llmها میشن).
در همین رابطه ترنس تائو گفته که مدلهای زبانی بزرگ (مثل همین gpt) اشتباهاتشون تو اثباتهای ریاضی کاملاً متفاوت و خاصه نسبت به اشتباهاتی که انسانها معمولاً مرتکب میشن. یعنی انسانها ممکنه تو محاسبات ساده یا مفاهیم پایهای اشتباه کنن، اما این AIها گاهی تو جاهای خیلی تخصصی و ناشناخته خطا میدن که تشخیصشون سخته و نیاز به دانش عمیق داره.
پس حالا چطوری این نتایج رو بررسی و تأیید کنیم؟ خب، مجبوریم یه ریاضیدان در سطح دکترا بیاریم که با زحمت همه اثباتها رو موبهمو چک کنه و ایرادها رو پیدا کنه. یعنی عملاً برمیگردیم سر خونه اول؟ 😅 یعنی همه این پیشرفتها آخرش باز وابسته به انسانهای متخصص میشه و نمیتونه کاملاً مستقل کار کنه! متوجه داستان شدید؟
🔥1
اسمی ازین شرکت نمیارم ولی شرکت خیلی بزرگ و شناخته شده ای در یکی از ..... هست .
یوزر ها ، اسامی دیتابیس ها ،کانفیگ ها ، فایل ها ، قابلیت ایجاد و حذف فایل ، اپلود فایل مخرب ، دسترسی به لاگ ها ، دسترسی به یوزر ادمین سامانه ، خروج دیتا های مهم و ....
روش خروج دیتا رو من تو دوره RedTeam بیان کردم
این سامانه هم در دوره post exploit روی سرور واقعی هکش کردیم و دسترسی شل هم ازش گرفتیم ، این سرور یکم حملش پیچیده تر بود .
گزارش داده شد .
یوزر ها ، اسامی دیتابیس ها ،کانفیگ ها ، فایل ها ، قابلیت ایجاد و حذف فایل ، اپلود فایل مخرب ، دسترسی به لاگ ها ، دسترسی به یوزر ادمین سامانه ، خروج دیتا های مهم و ....
روش خروج دیتا رو من تو دوره RedTeam بیان کردم
این سامانه هم در دوره post exploit روی سرور واقعی هکش کردیم و دسترسی شل هم ازش گرفتیم ، این سرور یکم حملش پیچیده تر بود .
گزارش داده شد .
یه بنده خدایی دیروز پیام داد که آقا چرا اینقدر به این سخنرانی ها و همایش ها گیر میدید؟ مگه زمان خود شما کیا میومدن همایش و سمینار برگزار می کردن؟
فقط یه نمونه بگم که اساتیدی که من همایش ها و سمینارهاشون می رفتم ، یا له له میزدم که برم سر کلاسشون بشینم تا از شنیدن عمق دانششون کیف کنم
یکیش الان تو دیتاسنتر " لینکداین " هست ، یکیش سر تیم دیتاسنتر " مایکروسافت " هست
اسم یکیشون " فواد محمدی " بود ، که معمار زیرساخت خیلی از بانک های کشور هست هنوز
ولی طرف با دو تا CCIE LAB میگفت من هیچی نمیدونم !! نه اینکه با CCIE داخلی بیاد بگه میدونید دوره CCNA چی هست؟
سطح علمی اینجوری نابود شده عزیزان !! کسیکه کار Passive انجام داده و دو تا کابل وصل کرده !!
میاد در مورد طراحی دیتاسنتر و امنیت مرکز داده صحبت می کنه !! بگذریم ... خواستم بگم کنایه های من از افسوس برای این مملکنه
که چند سال دیگه احتمالا تو سمینارها راجع به نصب ویندوز صحبت میشه !! و اینکه لینوکس چقدر قشنگه ایشالا مبارکش باد ...
فقط یه نمونه بگم که اساتیدی که من همایش ها و سمینارهاشون می رفتم ، یا له له میزدم که برم سر کلاسشون بشینم تا از شنیدن عمق دانششون کیف کنم
یکیش الان تو دیتاسنتر " لینکداین " هست ، یکیش سر تیم دیتاسنتر " مایکروسافت " هست
اسم یکیشون " فواد محمدی " بود ، که معمار زیرساخت خیلی از بانک های کشور هست هنوز
ولی طرف با دو تا CCIE LAB میگفت من هیچی نمیدونم !! نه اینکه با CCIE داخلی بیاد بگه میدونید دوره CCNA چی هست؟
سطح علمی اینجوری نابود شده عزیزان !! کسیکه کار Passive انجام داده و دو تا کابل وصل کرده !!
میاد در مورد طراحی دیتاسنتر و امنیت مرکز داده صحبت می کنه !! بگذریم ... خواستم بگم کنایه های من از افسوس برای این مملکنه
که چند سال دیگه احتمالا تو سمینارها راجع به نصب ویندوز صحبت میشه !! و اینکه لینوکس چقدر قشنگه ایشالا مبارکش باد ...
👍4
شماهم اگر مثل من باشید و سیستم رو هفتهای یکبار خاموش یا ریستارت کنید؛ یک مشکل رو توی برنامههایی مثل مرورگرها و ... میبینید!
اونم مصرف رم که روزانه زیاد میشه؛ بدون اینکه در آخر روز تعداد تبهای باز و ... زیاد شده باشه!
اول از ستاپ خودم بگم:
من همیشه حداقل ۶ تا virtual workstation روی سیستم دارم؛ که همواره ثابت و فعال هستند که شامل این ترکیب از ابزارها میشه (به محض اینکه لپتاپ ریبوت میشه این ابزارها میاد بالا به ترتیب برای هر workspace) :
اگر روی سیستم اصلیم باشم؛ هیچ مشکلی ندارم چون تا ماه بعدی رم داره؛ ولی وقتایی که روی لپتاپ هستم (قبلتر گفتم چطوری لپتاپ رو ریستور کردم و مناسب کار شده) چون ۲۴ گیگ رم داره ممکنه به آخر هفته (بعضی وقتا چند هفته) نکشه؛ مشکل هم مرورگرها هستند (یا ابزارهای مشابه) وقتی بعد از ریبوت مرورگر رو باز میکنم و همه صفحات و ویندوهای قبلی بالا میاد حدود ۳ گیگ رم مصرف میشه.
اما آخر هفته وقتی همهی تبهای اضافه رو میبندم و فقط همونایی میمونه که اول هفته باز کردم بازم میبینم بعضی وقتا تا ۹-۱۱ گیگ رم مصرف میکنه حداقل ۳ برار !
که خب دلایلش این چیزا میتونه باشه:
۱- خود
۲- کدهای بد توسعه دهندهها؛ ممکنه یک چیزی رفرنس داشته باشه و هیچوقت
۳- خود مرورگرها؛ که مثل لیست و وکتور عمل میکنه اگر مصرفت بره بالا سختافزار بیشتری رو از سیستمعامل درخواست میده و لزوما بعد از اینکه تو اون تبها رو بستی اونها رو خالی نمیکنه با یک ضریبی دست خودش نگه میداره که اگر دوباره مصرفت زیاد شد؛ سریع بتونه برات همه چیز رو لود کنه.
۴- خود
منم خیلی طرفدار اینکه مرورگر رو ببندم و دوبازه باز کنم نیستم؛ تنظیماتی هم توی مرورگرها نیست که بشه این رفتار رو حذف کرد؛ که بگم به محض اینکه تب رو بستم سریع رم و منابع رو خالی کن.اما روی فایرفاکس توی
میتونید توی بخش
ولی اگر یکی یک مرورگر بنویسه که بشه دستی بهش گفت چقدر بیشتر از آنچه که درحال استفاده هست میتونه رم و منابع و ... نگهداره (برای سرعت) شخصا اولی نفری هستم که سوییچ میکنم روش که مجبور نباشم روزی یکبار
اونم مصرف رم که روزانه زیاد میشه؛ بدون اینکه در آخر روز تعداد تبهای باز و ... زیاد شده باشه!
اول از ستاپ خودم بگم:
من همیشه حداقل ۶ تا virtual workstation روی سیستم دارم؛ که همواره ثابت و فعال هستند که شامل این ترکیب از ابزارها میشه (به محض اینکه لپتاپ ریبوت میشه این ابزارها میاد بالا به ترتیب برای هر workspace) :
۱- تلگرام - اسلک - چت شرکت و گوگل میت .
۲- فایرفاکس - neovim - فایرفاکس (برای کدهای rust)
۳- فایرفاکس - neovim/vscode - کروم (برای python؛ البته به شرایط بستگی داره)
۴- کتاب (آخرین کتابی که دارم میخونم) - neovim - فایرفاکس
۵- یوتیوب یا دورههای آموزشی (vlc)
۶- یوتیوب و چتهای کلی و ... هرکاری که توی محیطهای قبلی نیست یا موقت هست.
اگر روی سیستم اصلیم باشم؛ هیچ مشکلی ندارم چون تا ماه بعدی رم داره؛ ولی وقتایی که روی لپتاپ هستم (قبلتر گفتم چطوری لپتاپ رو ریستور کردم و مناسب کار شده) چون ۲۴ گیگ رم داره ممکنه به آخر هفته (بعضی وقتا چند هفته) نکشه؛ مشکل هم مرورگرها هستند (یا ابزارهای مشابه) وقتی بعد از ریبوت مرورگر رو باز میکنم و همه صفحات و ویندوهای قبلی بالا میاد حدود ۳ گیگ رم مصرف میشه.
اما آخر هفته وقتی همهی تبهای اضافه رو میبندم و فقط همونایی میمونه که اول هفته باز کردم بازم میبینم بعضی وقتا تا ۹-۱۱ گیگ رم مصرف میکنه حداقل ۳ برار !
که خب دلایلش این چیزا میتونه باشه:
۱- خود
Garbage collector که خب سریعا رم رو خالی نمیکنه؛ اگر هم یک addons بد کد زده شده باشه ممکنه کلا خالی نکنه۲- کدهای بد توسعه دهندهها؛ ممکنه یک چیزی رفرنس داشته باشه و هیچوقت
GC تمیزش نکنه (هم توی کروم هم توی فایرفاکس زیاد پیش اومده - addons ها هم که بیشمار دیده شده)۳- خود مرورگرها؛ که مثل لیست و وکتور عمل میکنه اگر مصرفت بره بالا سختافزار بیشتری رو از سیستمعامل درخواست میده و لزوما بعد از اینکه تو اون تبها رو بستی اونها رو خالی نمیکنه با یک ضریبی دست خودش نگه میداره که اگر دوباره مصرفت زیاد شد؛ سریع بتونه برات همه چیز رو لود کنه.
۴- خود
allocator های مرورگرها هم یک سری تکنیکها دارند که باعث میشه رم رو در لحظه تحویل سیستم ندند.منم خیلی طرفدار اینکه مرورگر رو ببندم و دوبازه باز کنم نیستم؛ تنظیماتی هم توی مرورگرها نیست که بشه این رفتار رو حذف کرد؛ که بگم به محض اینکه تب رو بستم سریع رم و منابع رو خالی کن.اما روی فایرفاکس توی
address bar وقتی بزنید:about:memory
میتونید توی بخش
Free Memory گزینه Minimize memory usage رو بزنید؛ عالی نیست و خب چندباری پشت هم به GC دستور تمیزکاری میده و مقداری زیادی از رم در اختیار مرورگر رو خالی میکنه.ولی اگر یکی یک مرورگر بنویسه که بشه دستی بهش گفت چقدر بیشتر از آنچه که درحال استفاده هست میتونه رم و منابع و ... نگهداره (برای سرعت) شخصا اولی نفری هستم که سوییچ میکنم روش که مجبور نباشم روزی یکبار
Minimize memory usage بزنم.👍1
برای افزایش امنیت شبکه های ICS استفاده از intrusion Detection system مخصوص ICS چه تفاوتی با IDS معمولی دارد ؟
Anonymous Quiz
100%
تشخیص الگو های حملات صنعتی و پروتکل های ICS
0%
کاهش مصرف برق
0%
مدیریت کاربران شبکه های اجتماعی
0%
افزایش پهنای باند اینترنت
در تحلیل ترافیک شبکه صنعتی مشاهده پکت های Modbus با function code غیر مجاز معمولا نشان دهنده چیست ؟
Anonymous Quiz
100%
فعالیت مشکوک یا حمله در حال وقوع
0%
بروزرسانی سیستم عامل
0%
پشتیبان گیری اتوماتیک داده ها
0%
افزایش پهنای باند
حمله ای که از طریق Manipulation of IEC 60870-5-104 ASDU انجام می شود معمولا چه تاثیری روی سیستم دارد
Anonymous Quiz
100%
تغییر وضعیت تجهیزات بدون اطلاع اپراتور
0%
فقط مانیتورینگ جریان برق
0%
ارسال ایمیل هشدار به مدیر شبکه
0%
افزایش پهنای باند
در حمله ای که مهاجم از طریق Ethernet/IP CIP دستورات کنترلی PLC را دستکاری می کند کدام روش تشخیص سریع آن در شبکه های صنعتی توصیه میشود
Anonymous Quiz
33%
بررسی CRC در Modbus/TCP
33%
استفاده از Deep Pocket Inspection مخصوص پروتکل CIP
0%
نظارت بر لاگ های HMI معمولی
33%
پینگ کردن PLC
🔴 هشدار امنیتی — PoC منتشر شد: آسیبپذیری بحرانی در Windows Server Update Services (WSUS)
خلاصه (TL;DR):
یک PoC برای آسیبپذیری بحرانی در Microsoft WSUS منتشر شده که به مهاجم بدون احراز هویت امکان اجرای کد دلخواه با دسترسی SYSTEM روی سرورهای آسیبپذیر را میدهد. این مشکل با شناسه CVE-2025-59287 و امتیاز CVSS 9.8 گزارش شده و از عدم ایمنسازی در فرایند deserialization مربوط به AuthorizationCookie ناشی میشود. این تهدید میتواند منجر به نفوذ کامل به زیرساخت بهروزرسانی سازمانی و گسترش حمله شود لذا اقدام سریع ضروری است.
🔍 تحلیل فنی (در سطح ایمن و کاربردی)
نوع آسیبپذیری: unsafe deserialization از دادههای غیرقابل اعتماد در بخش مدیریت AuthorizationCookie در WSUS.
سطح دسترسی مورد نیاز برای حمله: هیچ (Unauthenticated) — یعنی مهاجم نیازی به لاگین محلی یا حساب کاربری ندارد.
پیامدها: اجرای کد با امتیاز SYSTEM → امکان نصب بکدورها، حرکت جانبی داخل شبکه، دسترسی به نقاط کلیدی و آلودهسازی دستگاههای کلاینت از طریق زیرساخت بروزرسانی.
⚠️ چه کسانی در معرض خطراند؟
سازمانهایی که از WSUS برای مدیریت بهروزرسانی ویندوز استفاده میکنند.
🛡 اقدامات فوری پیشنهادی (باید همینالان انجام شود)
در اولویت اول، پچ کنید: اگر مایکروسافت وصله رسمی منتشر کرده، فوراً آن را روی همه سرورهای WSUS نصب کنید.
در صورت نبود پچ رسمی: دسترسی شبکهای به سرورهای WSUS را بلافاصله محدود کنید (فایلروال -> فقط آدرسهای مدیریتی مجاز).
درگاهها و سرویسها را محدود کنید: دسترسی عمومی به پورتهای HTTP/HTTPS مرتبط با WSUS را ببندید؛ دسترسی مدیریت فقط از شبکههای مورد اعتماد مجاز باشد.
ایزولهسازی موقت: سرورهای مشکوک را از شبکههای حساس (یا اینترنت) جدا کنید تا از گسترش احتمالی جلوگیری شود.
فعالسازی EDR / AV: قوانین و امضاهای امنیتی را بهروزرسانی و اسکن کامل روی سرورهای WSUS انجام دهید.
سرورهای WSUS که پچ نشده، بهصورت عمومی در دسترس هستند، یا دسترسی شبکهای به آنها ضعیف کنترل شده است.
خلاصه (TL;DR):
یک PoC برای آسیبپذیری بحرانی در Microsoft WSUS منتشر شده که به مهاجم بدون احراز هویت امکان اجرای کد دلخواه با دسترسی SYSTEM روی سرورهای آسیبپذیر را میدهد. این مشکل با شناسه CVE-2025-59287 و امتیاز CVSS 9.8 گزارش شده و از عدم ایمنسازی در فرایند deserialization مربوط به AuthorizationCookie ناشی میشود. این تهدید میتواند منجر به نفوذ کامل به زیرساخت بهروزرسانی سازمانی و گسترش حمله شود لذا اقدام سریع ضروری است.
🔍 تحلیل فنی (در سطح ایمن و کاربردی)
نوع آسیبپذیری: unsafe deserialization از دادههای غیرقابل اعتماد در بخش مدیریت AuthorizationCookie در WSUS.
سطح دسترسی مورد نیاز برای حمله: هیچ (Unauthenticated) — یعنی مهاجم نیازی به لاگین محلی یا حساب کاربری ندارد.
پیامدها: اجرای کد با امتیاز SYSTEM → امکان نصب بکدورها، حرکت جانبی داخل شبکه، دسترسی به نقاط کلیدی و آلودهسازی دستگاههای کلاینت از طریق زیرساخت بروزرسانی.
⚠️ چه کسانی در معرض خطراند؟
سازمانهایی که از WSUS برای مدیریت بهروزرسانی ویندوز استفاده میکنند.
🛡 اقدامات فوری پیشنهادی (باید همینالان انجام شود)
در اولویت اول، پچ کنید: اگر مایکروسافت وصله رسمی منتشر کرده، فوراً آن را روی همه سرورهای WSUS نصب کنید.
در صورت نبود پچ رسمی: دسترسی شبکهای به سرورهای WSUS را بلافاصله محدود کنید (فایلروال -> فقط آدرسهای مدیریتی مجاز).
درگاهها و سرویسها را محدود کنید: دسترسی عمومی به پورتهای HTTP/HTTPS مرتبط با WSUS را ببندید؛ دسترسی مدیریت فقط از شبکههای مورد اعتماد مجاز باشد.
ایزولهسازی موقت: سرورهای مشکوک را از شبکههای حساس (یا اینترنت) جدا کنید تا از گسترش احتمالی جلوگیری شود.
فعالسازی EDR / AV: قوانین و امضاهای امنیتی را بهروزرسانی و اسکن کامل روی سرورهای WSUS انجام دهید.
سرورهای WSUS که پچ نشده، بهصورت عمومی در دسترس هستند، یا دسترسی شبکهای به آنها ضعیف کنترل شده است.
🧑💻Cyber.vision🧑💻
🔴 هشدار امنیتی — PoC منتشر شد: آسیبپذیری بحرانی در Windows Server Update Services (WSUS) خلاصه (TL;DR): یک PoC برای آسیبپذیری بحرانی در Microsoft WSUS منتشر شده که به مهاجم بدون احراز هویت امکان اجرای کد دلخواه با دسترسی SYSTEM روی سرورهای آسیبپذیر را…
🔎 چگونه تشخیص دهیم که مورد نفوذ قرار گرفتهایم؟ (Indicators of Compromise — IOC)
لاگهای IIS/WSUS: درخواستهای غیرمعمول یا حجم بالای درخواستهای POST به نقاط مربوط به سرویسهای WSUS.
فرایندهای غیرمعمول با سطح SYSTEM که زیر w3wp.exe یا دستوراتی مثل powershell.exe اجرا شدهاند.
ایجاد حسابهای محلی جدید، سرویسهای غیرمعمول یا تغییرات در Scheduled Tasks مرتبط با WSUS.
ارتباطات خروجی غیرعادی از سرور WSUS به آدرسهای ناشناس یا سرورهای کنترلی.
هشدارهای EDR مبنی بر متدهای deserialization یا اجرای باینریهای جدید.
🧭 در صورت تشخیص نفوذ — گامهای پاسخ به حادثه
ایزولهسازی فوری سرور(ها) از شبکه.
جمعآوری دادهها: لاگها (IIS, Windows Event, WSUS logs)، لیست پروسسها، شبکه (PCAP اگر ممکن).
تحلیل و پاکسازی: با تیم IR یا تأمینکننده امنیتی همکاری کنید؛ در صورت لزوم ریستور از بکآپ سالم.
تغییر کلیهی اعتبارنامههای مرتبط (در صورت شواهد سرقت).
گزارش و مستندسازی برای جلوگیری از تکرار و اخذ درسها.
✅ توصیههای امنیتی بلندمدت
پچمنیجمنت منظم و تست پیش از انتشار گسترده.
محدودسازی سطح دسترسی: WSUS را پشت VPN یا شبکه مدیریتی قرار دهید؛ کنترل دسترسی مبتنی بر IP و MFA برای دسترسی مدیریتی.
قرار دادن WSUS در شبکهای با مانیتورینگ دقیق و EDR فعال.
پیادهسازی اصل کمترین امتیاز (least privilege) برای سرویسها و حسابها.
دورهای بررسی لاگها و تست نفوذ متمرکز روی اجزای مدیریتی مانند WSUS.
لاگهای IIS/WSUS: درخواستهای غیرمعمول یا حجم بالای درخواستهای POST به نقاط مربوط به سرویسهای WSUS.
فرایندهای غیرمعمول با سطح SYSTEM که زیر w3wp.exe یا دستوراتی مثل powershell.exe اجرا شدهاند.
ایجاد حسابهای محلی جدید، سرویسهای غیرمعمول یا تغییرات در Scheduled Tasks مرتبط با WSUS.
ارتباطات خروجی غیرعادی از سرور WSUS به آدرسهای ناشناس یا سرورهای کنترلی.
هشدارهای EDR مبنی بر متدهای deserialization یا اجرای باینریهای جدید.
🧭 در صورت تشخیص نفوذ — گامهای پاسخ به حادثه
ایزولهسازی فوری سرور(ها) از شبکه.
جمعآوری دادهها: لاگها (IIS, Windows Event, WSUS logs)، لیست پروسسها، شبکه (PCAP اگر ممکن).
تحلیل و پاکسازی: با تیم IR یا تأمینکننده امنیتی همکاری کنید؛ در صورت لزوم ریستور از بکآپ سالم.
تغییر کلیهی اعتبارنامههای مرتبط (در صورت شواهد سرقت).
گزارش و مستندسازی برای جلوگیری از تکرار و اخذ درسها.
✅ توصیههای امنیتی بلندمدت
پچمنیجمنت منظم و تست پیش از انتشار گسترده.
محدودسازی سطح دسترسی: WSUS را پشت VPN یا شبکه مدیریتی قرار دهید؛ کنترل دسترسی مبتنی بر IP و MFA برای دسترسی مدیریتی.
قرار دادن WSUS در شبکهای با مانیتورینگ دقیق و EDR فعال.
پیادهسازی اصل کمترین امتیاز (least privilege) برای سرویسها و حسابها.
دورهای بررسی لاگها و تست نفوذ متمرکز روی اجزای مدیریتی مانند WSUS.