Number: IRCNE2015082589
Date: 2015/08/05

According to “tripwire”, a security researcher has found the first known exploit of a zero-day vulnerability affecting Apple’s DYLD_PRINT_TO_FILE variable in the wild.
The vulnerability, which was first found by researcher Stefan Esser in July, involves the addition of DYLD_PRINT_TO_FILE as a new environment variable to the dynamic linker dyld. As of this writing, this variable does not come with certain safeguards and can therefore be exploited for privilege escalation attacks.
Since the time of the vulnerability’s discovery, Malwarebytes security researcher Adam Thomas has found a new adware installer that exploits this vulnerability and uses it to install unwanted programs including VSearch, a variant of the Genieo package, and the MacKeeper junkware.
The vulnerability affects Yosemite versions 10.10.4 and the beta of 10.10.5, though it does not appear to affect the 10.11 version of the Mac OS X 10.11 El Capitan builds.
Apple has not released a fix for the vulnerability yet. In the meantime, Esser has released SUIDGuard, a TrustedBSD Kernel Extension that is said to fix the vulnerability.
As always, users are urged to exercise caution when downloading anything from the web, even from a trusted security researcher.

Number: IRCNE2015082588
Date: 2015/08/04

According to “computerworld”, Yahoo said Monday it had removed malware from its advertising network, after malicious code there had gone undetected for at least six days.
Security researchers at Malwarebytes said they discovered malicious ads planted in Yahoo's network on Sunday and alerted Yahoo. The malware attack had been underway since last Tuesday, wrote Jerome Segura, a senior security researcher at Malwarebytes Labs.
The malware was found in Yahoo's ads network at ads.yahoo.com, which runs ads across Yahoo's sites like its finance, games and news portals, as well as Yahoo.com. Users may have come across the infected ads when visiting Yahoo's sites.
A Yahoo spokeswoman declined to say how many advertisers were affected.
The attack used a method known as malvertising, in which attackers dupe online publishers into running malicious ads. They look like any other ads and may not require any interaction from users to infect their machines. If a visitor comes across a malicious ad, it can cause their browser to redirect to another site that attacks their computer.
In Yahoo's case, Malwarebytes detected ransomware, which encrypts files on users' computers unless they pay money to the attackers. The malware had also targeted sites hosted by Microsoft's Azure cloud platform, Malwarebytes said.
It's not the first time Yahoo's system has been hit with malvertising. Last year, an aggressive campaign was discovered that affected visitors across Yahoo and AOL's sites.
Malvertising might be becoming more prevalent in general. Last week, security company Cyphort said 10 million people may have visited websites carrying malicious ads in the last 10 days alone.
Experts advise users to keep their operating systems, browsers and browser plug-ins up to date to avoid becoming infected by malvertising. Yahoo visitors can also run a scan with their antivirus or anti-malware software, Malwarebytes said.

شماره: IRCNE2015082587
تاريخ:05/13 /94

تنها چند روز پس از عرضه نسخه جديد ويندوز توسط مايكروسافت، هكرها اين نسخه را با نوعي از بدافزار هدف حمله قرار دادند.
محققان امنيتي سيسكو به كاربران در خصوص باز كردن پيوست ايميل هايي كه به نظر مي رسد از طرف مايكروسافت ارسال شده است هشدار دادند. بدافزاري گروگانگير كه فايل هاي سيستم را تا زمان دريافت پول رمزگذاري مي كند، سيستم ها را از طريق كمپين ايميل هاي هرزنامه اي آلوده مي كند.
نيك بياسيني يكي از محققان سيسكو در وبلاگ نوشت: هكرها با جعل هويت مايكروسافت تلاش مي كنند تا كاربران را فريب دهند. در ايميل هرزنامه اي ارسال شده براي كاربران فايل پيوستي وجود دارد كه شامل يك نصب كننده است. اين ايميل به كاربران اعلام مي كند كه مي توانند نسخه جديد سيستم عامل را زودتر دريافت كنند.
اين واقعيت كه كاربران بايد براي دريافت نسخه جديد ويندوز و ارتقاء سيستم خود در صف منتظر بمانند باعث مي شود تا فريب اين ايميل را خورده و قرباني اين كمپين شوند.
پس از آنكه كاربر فايل پيوست را دريافت كرده و آن را باز كرد، بدافزار باز مي شود و داده هاي سيستم آلوده را رمزگذاري مي كند و كاربر ديگر قادر نيست به فايل هاي خود دسترسي يابد.
بياسيني گفت: اين بدافزار گروگان گير، CTB-Locker ناميده شده و با نرخ بالايي ارسال شده است.
حملات مبتني بر بدافزارهاي گروگانگير از سال 2015 به سرعت در حال افزايش است و به عنوان راهي سريع، آسان و اغلب بدون آنكه قابل ردگيري باشند مي توانند در مدت زمان كوتاهي مبلغ قابل توجهي عايدي داشته باشند.

Number: IRCNE2015082587
Date: 2015/08/04

According to “zdnet”, just days after Microsoft released its latest operating system, hackers have begun targeting soon-to-be Windows 10 users with an emerging kind of malware.
Cisco security researchers are warning users against opening email attachments purporting to be from the software giant. The "ransomware" malware, which encrypts files until a ransom is paid, is being sent as part of an email spam campaign.
In a blog post, Cisco researcher Nick Biasini said the attackers are "impersonating Microsoft in an attempt to exploit their user base for monetary gain."
The emails claims its attachment includes an installer that allows users to get the new operating system sooner.
"The fact that users have to virtually wait in line to receive this update, makes them even more likely to fall victim to this campaign," said Biasini.
Once a user downloads and opens the attached executable file, the malware payload opens, encrypting data on the affected computer, and locking the owner out.
Often, the user is forced to pay in bitcoin, which is far more difficult to trace than using a traditional bank account. And, because attackers are communicating with a command server over the Tor anonymity network, it makes them almost impossible to trace.
Biasini said the malware payload, called CTB-Locker, is being delivered at a "high rate."
Ransomware attacks have been on the increase since the start of 2015 as a quick, easy, and often near-untraceable way to generate vast sums of money in a short space.

شماره: IRCNE2015072586
تاريخ:05/08 /94

تنها چند روز پس از كشف آسيب پذيري Stagefright در نرم افزار محبوب اندرويد، آسيب پذيري جديدي شناسايي شد كه مي تواند باعث شود تا دستگاه هاي اندرويد قادر به انجام كارهاي ساده و ابتدايي نباشند.
اين مشكل كه توسط محققان ترند ميكرو شناسايي شده است مي تواند دستگاه آسيب پذير را در حالتي شبيه كما قرار دهد و گوشي آلوده قادر به شماره گيري و دريافت تماس نيست.
يك مهاجم توانسته است با سوء استفاده از اين آسيب پذيري از طريق يك برنامه مخرب يك دستگاه اندرويد را هدف حمله قرار داده و اثرات خرابكارانه بلند مدتي را از جمله از كار افتادن پس از هر بار روشن شدن دستگاه، ايجاد كند. بسته شدن صداي زنگ دستگاه كه باعث مي شود صداي رسيدن پيام يا صداي هشدارها شنيده نشود از ديگر اثرات خرابكارانه سوء استفاده از اين آسيب پذيري مي باشد.
اين آسيب پذيري دستگاه هاي در حال اجراي اندرويد 4.3 و نسخه هاي پس از آن و به روز رساني نسخه جديد 5.1.1 را تحت تاثير قرار مي دهد.

شماره: IRCNE2015072585
تاريخ:05/08 /94

اپراتورهاي BIND نسخه هاي جديدي از نرم افزار پروتكل DNS را براي اصلاح يك آسيب پذيري بحراني كه مي تواند منجر به سوء استفاده در حملات سايبري انكار سرويس شود منتشر كردند.
ميشل مكنلي از ISC در راهنمايي امنيتي آورده است: مشكل CVE-2015-5477 يك مساله بحراني است كه مي تواند به مجرمان سايبري اجازه دهد تا بسته هاي مخرب را براي ضربه زدن به سيستم ايميل، وب سايت ها و ساير خدمات آنلاين ارسال كنند.
در راهنمايي امنيتي آمده است كه اين مشكل مي تواند ماشين هاي زيادي از اينترنت را تحت تاثير قرار دهد و ايجاد خطا هنگام مديريت پرس جوهاي TKEY (ركوردهاي كليد انتقال) مي تواند توسط هكرها مورد سوء استفاده قرار بگيرد تا حملات انكار سرويس را راه اندازي نمايند.
نرم افزار BIND 9 نسخه 9.1.0 تا 9.9.7-P1 و 9.10.2-P2 تحت تاثير اين آسيب پذيري قرار دارند. تنها راه براي پيشگيري از بروز اين مشكل اصلاح سرورهاي BIND است.

Number: IRCNE2015072586
Date: 2015/07/30

According to “zdnet”, Just days after a new branded bug, dubbed Stagefright, was disclosed in the widely popular mobile software, a new vulnerability threatens to render most Android devices unresponsive to basic tasks.
Discovered by Trend Micro researchers, the security flaw once triggered can put affected devices in a coma-like state, which includes preventing affected phones from making or receiving calls.
An attacker can exploit a flaw through either a malicious app, which the researcher said could have long-term effects on the device, such as crashing the device every time it is turned on.
In doing so, it will render the device mute, meaning no ringtone, message tone, or notification sounds will be heard.
The flaw affects devices running Android 4.3 "Jelly Bean" and later, including the latest Android 5.1.1 "Lollipop" update, a range that accounts for more than half of the entire install base.

Number: IRCNE2015072585
Date: 2015/07/30

According to “zdnet”, BIND operators released new versions of the DNS protocol software overnight to patch a critical vulnerability which can be exploited for use in denial-of-service cyberattacks.
Lead investigator Michael McNally from the Internet Systems Consortium (ISC) said in a security advisory the bug, CVE-2015-5477, is a critical issue which can allow hijackers to send malicious packets to knock out email systems, websites and other online services.
The advisory says the bug, awarded a CVSS score of 7.8, could impact on large swathes of the internet and is caused by "an error in the handling of [transaction key records] TKEY queries can be exploited by an attacker for use as a denial-of-service vector, as a constructed packet can use the defect to trigger a REQUIRE assertion failure, causing BIND to exit."
BIND 9 from BIND 9.1.0 through BIND 9.9.7-P1 and BIND 9.10.2-P2 are all vulnerable to the exploit.
According to McNally, the ISC knows of no configuration workarounds to protect against exploitation -- the only way to prevent problems is to patch vulnerable BIND servers. Screening offensive packets with firewalls is "likely to be difficult or impossible," McNally says, as devices may not understand DNS at the protocol level, and "may be problematic even then."

شماره: IRCNE2015072584
تاريخ:05/07 /94

يك هكر اعتبارنامه هاي ورودي مشتريان را از روي سروري متعلق به بيت ديفندر كه داشبوردهاي مديريت مبتني بر ابر كلاينت هاي كسب و كارهاي متوسط را ميزباني مي كند به سرقت برد.
اين شركت آنتي ويروس وقوع نشت امنيتي را تاييد كرد اما اعلام كرد كه اين حمله تنها 1 درصد از كل مشتريان SMB را تحت تاثير قرار داده است.
اين هكر كه با نام مستعار DetoxRansome فعاليت مي كند ابتدا اين اقدام خود را در توييتر اعلام كرد سپس پيامي را براي بيت ديفندر ارسال كرد و در آن اين شركت را تهديد كرد كه در صورت عدم پرداخت 15 هزار دلار اين اطلاعات را منتشر خواهد كرد.
اين هكر براي اثبات ادعاي خود دو آدرس ايميل و رمز عبور از حساب هاي كاربري مشتريان بيت ديفندر را منتشر كرد.
شركت بيت ديفندر اعلام كرد كه در اين حمله از آسيب پذيري zero-day استفاده نشده است. اين حمله نتجيه خطاي انساني بوده است. هنگام ارتقاء زيرساخت، يك ياز سرورها با بسته نرم افزار به روز نشده بالا آمده است كه داراي يك آسيب پذيري شناخته شده است كه مي تواند مجر به استخراج اطلاعات شود اما نمي تواند كل سيستم را تحت تاثير قرار دهد.
در حال حاضر اين مشكل حل شده است و اقدامات امنيتي لازم براي محافظت از اطلاعات مشتريان بعمل آمده است. شركت بيت ديفندر اعلام كرد كه سرورها و سرويس هاي ديگر تحت تاثير اين حمله قرار نگرفته اند.

شماره: IRCNE2015072583
تاريخ:05/07 /94

شركت مايكروسافت در كمتر از 24 ساعت تا عرضه ويندوز 10 اصلاحيه ديگري براي اين سيستم عامل جديد منتشر كرد و مشكل به وجود آمده از اعمال اصلاحيه هفته گذشته را برطرف كرد.
اصلاحيه اصلي KB3074681 هفته گذشته منتشر شد و شامل اصلاحيه امنيتي براي مشكلات نامشخص متعدد بود اما ظاهرا پس از اعمال اين اصلاحيه ها IE مايكروسافت با مشكل مواجه شده است.
با توجه به WinSuperSite، اين خطا زماني رخ مي دهد كه كاربران سعي داشتند تا كارت شبكه فعال را غيرفعال نمايند يا برنامه اي را با استفاده از مسير Programs and Features>Uninstall حذف نموده يا برنامه اي را تغيير دهند.