شماره: IRCNE2015082608
تاريخ:06/02 /94

شركت لنوو بر روي دستگاه هاي خود از روشي مشابه برخي از بدافزارها استفاده مي كند تا برخي از نرم افزارهاي ناخواسته بر روي سيستم باقي بمانند و نتوان آن ها را پاك كرد.
با توجه به گزارشات از تعدادي فروم و وب سايت هاي خبري، تعدادي از كاربران، شركت لنوو را به رونويسي فايل هاي ويندوز متهم مي كنند و مدعي هستند كه اين شركت براي اطمينان از نصب ابزارها و نرم افزارهاي خود حتي زمانيكه كاربر يك نصب تازه از ويندوز بر روي دستگاه دارد اين رونويسي را انجام مي دهد. اين مساله براي بار اول در ماه مي مطرح شد.
نصب كننده نهان شبيه روت كيت با نام LSE (موتور خدمات لنوو) وظيفه نصب برنامه هاي جانبي مانند درايوهاي به روز رساني، ميان افزارها و ساير برنامه هاي كاربردي از پيش نصب شده را بر عهده دارد. هم چنين اين موتور سيستم داده قابل شناسايي غيرشخصي را براي سرورهاي لنوو ارسال مي كند. اين موتور كه در BIOS رايانه قرار دارد، سيستم فايل هسته ويندوز را با سيستم فايل خودش جايگزين مي كند و باعث مي شود تا فايل هاي ناخواسته كه از پيش بر روي سيستم نصب شده بودند مجددا نصب شوند.
در تاريخ 1 ژوئيه شركت لنوو در يك راهنمايي امنيتي هشدار داد كه اين موتور مي تواند توسط هكرها براي نصب بدافزار مورد سوء استفاده قرار بگيرد. اين شركت يك به روز رساني امنيتي براي حذف عملكرد اين موتور منتشر كرد اما كاربران بايد به صورت دستي آن را اعمال كنند.
بسياري از ماشين هاي Yoga و Flex در حال اجراي ويندوز 7، 8، 8.1 تحت تاثير اين مساله قرار دارند. ماشين هاي ديگر مانند PCهاي برند Think تحت تاثير اين مساله قرار ندارند.

Number: IRCNE2015082608
Date: 2015/08/24

According to “computerworld”, Lenovo has been caught using a technique, often used by some malware to withstand being deleted, to reinstall unwanted software on the computers it sells.
As reported on a number of forums and news-sharing sites, some users have accused the computer maker of overwriting Windows files to ensure its own-brand software and tools were installed -- even after a clean install of the operating system.The issue was first reported as early as May, but was widely reported Tuesday.
The "rootkit"-style covert installer, dubbed the Lenovo Service Engine (LSE), works by installing an additional program that updates drivers, firmware, and other pre-installed apps. The engine also "sends non-personally identifiable system data to Lenovo servers," according to the company. The engine, which resides in the computer's BIOS, replaces a core Windows system file with its own, allowing files to be downloaded once the device is connected to the internet.
In a July 31 security bulletin, the company warned the engine could be exploited by hackers to install malware. The company issued a security update that removed the engine's functionality, but users must install the patch manually.
Many Yoga and Flex machines (among others) running Windows 7, Windows 8, and Windows 8.1 are affected by the issue. Business machines, such as Think-branded PCs, are not affected.

شماره: IRCNE2015082607
تاريخ:05/28 /94

به كاربران ويندوز توصيه مي شود تا در اسرع وقت سيستم هاي خود را به روز رساني نمايند. شركت مايكروسافت در يك اصلاحيه فوري و خارج از نوبت، يك حفره امنيتي را در IE اصلاح كرده است. اين آسيب پذيري به مهاجم اجازه مي دهد تا از راه دور كدي مخرب را با حق دسترسي كاربر لاگين شده اجرا نمايد.
اين آسيب پذيري بحراني مي باشد و تمامي نسخه هاي IE از نسخه 7 تا 11 را بر روي ويندوز 7، 8، 8.1، 10 و ويستا تحت تاثير قرار مي دهد. ويندوز سرور 2008، 2012 و 2012R2 و ويندوز سرور Technical Preview نيز تحت تاثير اين آسيب پذيري قرار دارند. اين اصلاحيه خارج از جدول زمانبندي انتشار اصلاحيه هاي مايكروسافت منتشر شده است و باعث مي شود تا كاربران و ادمين ها سيستم هاي خود را فورا به روز رساني نمايند.
مايكروسافت Edge نسخه جديد مرورگر IE بر روي ويندوز 10 تحت تاثير اين آسيب پذيري قرار ندارد.
اين آسيب پذيري به دليل دسترسي نامناسب IE به اشياء حافظه ايجاد شده است. اين مساله مي تواند باعث شود تا مهاجمان كدي را با حق دسترسي كاربر لاگين شده اجرا نمايند و موجب تخريب حافظه گردند. اگر كاربري با حق دسترسي ادمين لاگين كرده باشد، مهاجم مي تواند كنترل كامل سيستم را در اختيار بگيرد و كارهايي از قبيل تغيير فايل ها و نصب برنامه ها را انجام دهد.

شماره: IRCNE2015082606
تاريخ:05/28 /94

برنامه هاي كاربردي BitTorrent كه توسط ميليون ها كاربر در سراسر جهان استفاده مي شود مي توانند براي شركت در حملات انكار سرويس توزيع شده مورد سوء استفاده واقع شوند.
اين روش مي تواند عليه سرويس هايي كه از طريق پروتكل UDP ارتباط برقرار مي كنند مورد استفاده قرار گيرد زيرا برخلاف پروتكل TCP، پروتكل UDP اقدامات دست دادن و اعتبارسنجي آدرس IP مبدا را انجام نمي دهد. اين بدان معناست كه مهاجم مي تواند يك بسته UDP را با سرآيند جعلي ارسال كند و باعث شود تا سرويس پاسخي را به آن آدرس ارسال نمايد.
طي دو سال گذشته، مهاجمان از پروتكل هاي مبتني بر UDP مانند DNS، NTP و SNMP براي راه اندازي حملات انكار سرويس توزيع شده سوء استفاده كرده اند.
محققان در نهمين كارگاه USENIX نشان دادند كه برنامه هاي معروف مانند uTorrent، Vuze و كلاينت BitTorrent Mainline چگونه مي توانند به مهاجمان براي راه اندازي حملات انكار سرويس كمك كنند. حتي كلاينت هاي برنامه هاي عادي BitTorrent با سهم اشتراك كمتر مانند Transmission يا LibTorrent نيز آسيب پذير مي باشند اما فاكتور قدرت توسعه حملات آن ها كمتر است.
در بسياري از موارد سوء استفاده از پروتكل هاي BitTorrent براي توسعه حملات انكار سرويس توزيع شده موثرتر از سوء استفاده از DNS يا NTP مي باشد. دليل اين امر وجود تعداد كم سرورهاي DNS يا NTP آسيب پذير بر روي اينترنت و در مقابل وجود تعداد بسيار زياد در حد دهها ميليون كامپيوتر در حال اجراي برنامه هاي آسيب پذير BitTorrent مي باشد.
از طرف ديگر سرورهاي DNS و NTP از يك شماره پروتكل ثابت استفاده مي كنند در نتيجه شناسايي و فيلتر ترافيك مخرب بر روي اين پروتكل ها آسان است اما BitTorrent از يك بازه پورت پويا استفاده مي كند و شناسايي و مسدود نمودن ترافيك مخرب آن نيازمند وجود فايروال ها پيشرفته و تحليل پيشرفته بسته ها مي باشد.
برنامه هاي BitTorrent تنها مي توانند با محدود نمودن پيام ها فاكتور توسعه حملات انكار سرويس را كاهش دهند اما نمي توان مانع از وقوع چنين حملاتي شد.

Number: IRCNE2015082607
Date: 2015/08/19

According to “computerworld”, Windows users are encouraged to update their computers as soon as possible, after Microsoft pushed out a patch for an issue in Internet Explorer that lets attackers remotely run malicious code with whatever privileges the current user has.
The "Critical" vulnerability affects Internet Explorer versions 7 through 11 on Windows 7, 8, 8.1, 10 and Vista. Windows Server 2008, 2012, 2012 R2 and the Windows Server Technical Preview are all effected. The "out-of-band" patch was released outside Microsoft's typical Patch Tuesday release cycle and allows users and administrators to update their computers quickly.
Microsoft Edge, the new browser included in Windows 10, isn't affected by the vulnerability.
The vulnerability is caused by an issue with Internet Explorer improperly accessing objects in memory. That could corrupt memory in a way that allows attackers to execute code with the current user's privileges. If that user has administrator capabilities, the attacker would be able to take complete control of a computer and do things like modify files and install programs

Number: IRCNE2015082606
Date: 2015/08/19

According to “computerworld”, BitTorrent applications used by hundreds of millions of users around the world could be tricked into participating in distributed denial-of-service (DDoS) attacks, amplifying the malicious traffic generated by attackers by up to 50 times.
The technique can typically be used against services that communicate over the User Datagram Protocol (UDP), because unlike the Transmission Control Protocol (TCP), UDP does not perform handshakes and therefore source IP address validation. This means an attacker can send a UDP packet with a forged header that specifies someone else's IP address as the source, causing the service to send the response to that address.
Over the past two years, attackers have abused UDP-based protocols like the Domain Name System (DNS), the Network Time Protocol (NTP) and the Simple Network Management Protocol (SNMP) to launch record-breaking DDoS attacks with bandwidths of up to 400Gbps.
In a paper presented last week at the 9th USENIX Workshop on Offensive Technologies (WOOT '15) the researchers showed how popular programs like uTorrent, Vuze or the BitTorrent Mainline client can help attackers amplify DDoS traffic by up to 50 times.
Even less popular BitTorrent clients with smaller market shares like Transmission or LibTorrent are vulnerable, but their amplification factor is considerably lower -- 4 percent and 5 percent respectively -- the researchers said.
Exploiting BitTorrent protocols for DDoS amplification is in many ways more efficient than exploiting DNS or NTP. That's because there is a relatively small number of vulnerable DNS or NTP servers available on the Internet, but there are tens of millions of computers running vulnerable BitTorrent programs.
Moreover, DNS and NTP typically use a fixed port number so it's easy to filter malicious traffic over those protocols. But BitTorrent uses dynamic port ranges, so detecting and blocking an attack requires specialized firewalls capable of performing deep packet inspection, the researchers said.
Finally, BitTorrent programs could limit the messages that they include in their first uTP packet to one, which some clients already do. This wouldn't prevent the attack, but would reduce the amplification factor to around 4 or 5, the researchers said.

Number: IRCNE2015082605
Date: 2015/08/18

According to “zdnet”, a security flaw allows third-party applications to bypass sandbox restrictions in the Google Admin console has been disclosed.
Posted on Full Disclosure on Friday, Rob Miller, senior security researcher, from MWR Labs says the flaw, found within Google's Android Admin application, allows third-party apps to bypass sandbox restrictions and read arbitrary files through symbolic links.
If the console received a URL through an IPC call from another application on the same device, the Android app loads this link in WebView. However, if an attacker used a file:// URL which pointed to a domain they controlled, then it is possible that symbolic links bypass Same Origin Policy and is able to retrieve data out of the Google Admin sandbox.
Therefore, if a third-party app has been installed which is untrusted or malicious, attackers controlling the app will be able to read data out of any file within the Google Admin sandbox.
At the time of disclosure, no updated version of the Google Admin application has been released. To reduce the risk of exploit in the interim, devices with Google Admin installed should not install or use any third-party applications which are not trusted.

Number: IRCNE2015082604
Date: 2015/08/18

According to “zdnet”, hundreds of thousands of old, outdated, and unpatched versions of Windows Server 2003 are still online, putting users at risk.
New data from internet services company Netcraft shows about 609,000 web-facing systems, serving an estimated 175 million websites, are running decade-old Windows Server 2003, potentially putting their systems and customers at risk of cyberattack and data theft.
Most unpatched servers are said to come from the US and China, which account for more than half of all Windows Server 2003 installations detected.
Many of the more high-profile servers run websites that host social platforms with vast amounts of data, and other secure sites, such as banks, financial institutions, and even public-facing security vendors.
Natwest, ING Direct, and Panda Security were named by the company as still running old versions of the operating system.
Alibaba is also said to be responsible for more than 24,000 affected machines, according to the report
The news comes just a month after Microsoft wound down extended support for the aging operating system in July 14, meaning many thousands will be running the software without any security patches or updates from Microsoft.
This follows the wind-down of Windows XP, which earlier this year was no longer officially supported by the software giant.
But some organizations, despite the warnings, were hesitant to upgrade. The Dutch government reportedly paid Microsoft millions to maintain its fleet of Windows XP machines after the deadline, as did the US Navy.
However, Microsoft did not extend the same benefits to those running Windows Server 2003. Once users reached the July 14 deadline, servers must be upgraded or were left vulnerable to attacks.
Even the federal government has warned of the risks associated with using outdated and unpatched software.
"Computer systems running unsupported software are exposed to an elevated risk to cybersecurity dangers, such as malicious attacks or electronic data loss," said US-CERT, the cyber-readiness unit from Homeland Security, in an advisory last year.
The worst is yet to come. Staving off upgrading may not just put machines and customers at risk, it could lead to legal issues at home and abroad.
"Many merchants still using Windows Server 2003 are likely to be noncompliant and could face fines, increased transaction fees, reputational damage, or other potentially disastrous penalties such as cancelled accounts," said the report.

شماره: IRCNE2015082605
تاريخ:05/27 /94

يك مشكل امنيتي در كنسول گوگل ادمين به برنامه هاي كاربردي اجازه مي دهد تا محدوديت هاي sandbox را دور زنند.
راب ميلر، يك محقق امنيتي در آزمايشگاه MWR Labs گفت: اين آسيب پذيري در برنامه كاربردي ادمين اندرويد گوگل يافت شده است و به برنامه هاي كاربردي متفرقه اجازه مي دهد تا محدوديت هاي sandbox را دور زنند و از طريق لينك هاي نمادين، فايل هاي دلخواه را بخوانند.
اگر كنسول از طريق يك فراخوان IPC از برنامه اي از دستگاه ديگر يك درخواست URL را دريافت كند، برنامه اندرويد اين لينك را در WebView لود مي كند. با اينحال، اگر مهاجمي از آدرس file:// URL استفاده كند، اين امكان وجود دارد كه لينك هاي نمادين خط مشي مبدا يكسان را دور زند و داده هاي را خارج از sandbox بازيابي كند.
در نتيجه اگر برنامه هاي كاربردي متفرقه از مكان هاي نامعتبر يا خرابكار نصب شده باشد به مهاجمان كنترل كننده برنامه اجازه مي دهد تا داده ها را از هر فايلي در گوگل ادمين بخوانند.
در زمان افشاي اين آسيب پذيري نسخه اصلاح شده اي براي برنامه گوگل ادمين منتشر نشده است. براي كاهش خطر سوء استفاده از اين آسيب پذيري، دستگاه هايي كه از گوگل ادمين استفاده مي كنند نبايد از برنامه هاي كاربردي متفرقه و نامعتبر استفاده كنند.

شماره: IRCNE2015082604
تاريخ:05/27 /94

هزاران ويندوز سرور 2003 قديمي، به روز رساني نشده و از رده خارج شده هم چنان در حال كار مي باشد كه كاربران را در معرض خطر حملات هك قرار مي دهد.
داده هاي بدست آمده از شركت خدمات اينترنتي Netcraft نشان مي دهد كه حدود 609000 سيستم وب در حال خدمت رساني به 175 ميليون وب سايت در حال اجراي ويندوز سرور 2003 مي باشند كه سيستم ها و مشتريان آن ها در معرض خطر حملات سايبري و سرقت اطلاعات قرار دارند.
اغلب سرورهاي به روز نشده در امريكا و چين قرار دارند كه حدود نيمي از تمامي سرورهاي 2003 شناسايي شده را شامل مي شود.
شركت مايكروسافت در 14 ژوئيه امسال پشتيباني از ويندوز سرور 2003 را متوقف كرد و در نتيجه از آن زمان تاكنون اين سرور بدون اصلاحيه و به روز رساني امنيتي باقي مانده است.
بسياري از سازمان ها عليرغم هشدارهاي مكرر مايكروسافت، هم چنان از نسخه قديمي و به روز نشده سرور 2003 استفاده مي كنند.
بنا به اعلاميه منتشر شده توسط US-CERT، سيستم هاي كامپيوتري كه در حال اجراي ويندوز سرور 2003 مي باشند در معرض خطر حملات سايبري مانند حملات خرابكارانه يا از دست دادن اطلاعات الكترونيكي قرار دارند.
به سازمان ها توصيه اكيد مي شود تا در اسرع وقت سيستم هاي ويندوز سرور 2003 خود را به نسخه هاي بالاتر اتقاء دهند.