شماره: IRCNE2015062556
تاريخ:04/08 /94

يكي از رايج ترين روش هاي توزيع بدافزارهاي گروگان گير توسط هكرها از طريق 'Click fraud' صورت مي گيرد. 'Click fraud' به عملي گفته مي شود كه با كليك كردن هاي متوالي بر روي تبلغيات وب، منجر به سود بيشتر افراد تبليغات كننده مي شود.
اين يافته ها مطابق با تهديدات شناسايي شده در گزارش شركت Damballa و از تجزيه و تحليل بدافزار RuthlessTreeMafia كه توسط بات نت Asprox منتشر شده بدست آمده است.
هنگامي كه اين بات نت از طريق يك دستگاه تست آلوده در شركتDamballa تحت كنترل بود مشاهده شد كه بدافزار RuthlessTreeMafia براي تهديداتي استفاده مي شود كه منجر به نصب تروجان هاي Rerdom و Rovnix مي شود. هم چنين اين دستگاه تست به بدافزار گروگان گير CryptoWall آلوده شده بود. اين زنجيره ادامه داشت تا بدافزارهاي بيشتري بر روي دستگاه نصب شود و كاربر را با مشكل مواجه كند و از طرفي سود زيادي را عايد مهاجم اصلي نمايد.
تغيير ماهيت اين حملات تاكيدي بر ميزان اهميت تجهيز شدن سازمان ها با راهكارهاي تشخيص پيشرفته براي مقابله با تهديدات سرقت اطلاعات است. از آنجايي كه آلودگي ها به سرعت در شبكه منتشر مي شوند، گروه هاي امنيتي بايد معيارهاي پيشگيرانه براي مقابله با تهديدات را در نظر بگيرند.

شماره: IRCNE2015062555
تاريخ:04/08 /94

تنها چهار روز پس از اصلاح يك آسيب پذيري در فلش پلير توسط گروه ادوب، كد سوء استفاده توسط مجرمان سايبري براي استفاده در حملات با مقياس بالا منتشر شده است. اين مساله روشن مي كند كه كاربران بايد هر چه سريع تر اصلاحيه ها را اعمال نمايند.
روز يكشنبه يك محقق بدافزار با نام مستعار Kafeine حملات drive-by downloadاي را كشف كرد كه با سوء استفاده از آسيب پذيري اصلاح شده روز سه شنبه ادوب به وقوع پيوسته است.
اين آسيب پذيري با CVE-2015-3113 شناخته مي شود و قبل از انتشار اصلاحيه ادوب در حالت zero-day قرار داشته است. اين آسيب پذيري چند هفته پيش توسط جاسوسان سايبري چيني در حملات هدفمند عليه سازمان ها مورد استفاده قرار گرفته بود.
مشاهده كد سوء استفاده براي آسيب پذيري zero-day براي فلش پلير و برنامه هاي كاربردي ديگر و استفاده در حملات هدفمند جاسوسي سطح بالا امري غيرمعمول است. به اين علت كه هدف مهاجمان به مخاطره انداختن سازمان هايي است كه لايه هاي دفاعي پيچيده اي دارند. از طرف ديگر، هنگامي كه كدهاي سوء استفاده zero-day در حملات هدفمند مورد استفاده قرار مي گيرد وقوع حملات با مقياس بالا بسيار نادر است.
در صورت موفقيت آميز بودن حملات جديد Magnitude كه از آسيب پذيري CVE-2015-3113 سوء استفاده مي كند، بدافزار گروگان گير Cryptowall نصب مي شود.

شماره: IRCNE2015062554
تاريخ:04/07 /94

با توجه به يافته هاي Ofer Zelig، شركت گوگل از طريق مرورگرهاي كروم كاربران بدون اطلاع آن ها جاسوسي مي كند. نرم افزار جاسوسي كه به طور پيش فرض در مرورگر كروم فعال شده است مي تواند مكالمات كاربر را ضبط كند و براي سرورهاي گوگل در سراسر دنيا ارسال نمايد.
Ofer Zelig زماني اين مساله را دريافت كه يك LED بر روي رايانه او كه به دوربين متصل بود شروع به چشمك زدن كرد و درنتيجه او تحقيقات خود را شروع كرد. او دريافت اين كد به گونه اي طراحي شده است كه زمان گفتن'OK, Google' توسط كاربر را تشخيص داده و از آن به بعد مرورگر شروع به گوش دادن صحبت هاي كاربر مي كند و از اين طريق پاسخ هاي مناسب از طريق جستجوي صدا را مانند ويژگي جستجوي صوتيAndroid's Google ارائه مي كند.
اگرچه اين امر ممكن است براي كاربران مفيد باشد اما گروه هاي حريم خصوصي مدعي هستند كه اين نرم افزار بدون اجازه كاربر فعال مي شود.
طرفداران كدهاي منبع باز از اين كار گوگل ناراضي هستند كه اين ويژگي شنود را با متغير Chromium منبع باز يكپارچه كرده است.
شركت گوگل اعلام كرد: زماني كه ما ماژول hotword را دانلود مي كنيم آن را فعال نمي كنيم مگر آن كه كاربر استفاده از hotword را انتخاب نمايد. هم چنين اين شركت مسئوليت نصب متغير Chromium را انكار كرد و اعلام كرد كه Chromium محصول گوگل نيست.
توصيه مي شود براي مقابله با اين استراتژي گوگل، كاربران كروم ميكروفون و دوربين دستگاه را غيرفعال نمايند.

شماره: IRCNE2015062553
تاريخ:04/07 /94

فيس بوك به منظور مقابله با فعاليت هاي خرابكارانه شبكه هاي اجتماعي كسپراسكي را به فهرست شركت هاي ضد بدافزاري اضافه كرد.
فيس بوك ابزاري براي برقراري تماس با افراد در سراسر دنيا است اما شبكه اي براي اشتراك گذاري مطالب با ميليون ها كاربر هدفي وسوسه انگيز براي مهاجمان و افراد خرابكار مي باشد و حملاتي از قبيل تبليغات مخرب، كمپين هاي سرقت هويت و كلاهبرداري ها به وفور در آن اتفاق مي افتد.
هر ساله تعداد تهديدات افزايش مي يابد. امن نگه داشتن كاربران نيازمند تجربه شركت هاي آنتي ويروس و ضد بدافزار است از اين رو شركت فيس بوك چندين سال است كه براي مقابله با اين تهديدات با شركت هايي مانند ESET، F-Secure و ترند ميكرو همكاري مي كند. جديدا فيس بوك محصولات شركت كسپراسكي را به فهرست شركت هاي همكار خود اضافه كرده است تا از خدمات آن نيز بهره مند شود.
شركت فيس بوك اعلام كرد كه در مجموع بيش از دو ميليون كاربر از خدمات پاكسازي بدافزار رايگان استفاده مي كنند.
در استراتژي جديد اين شركت، از تركيبي از سيگنال ها براي كمك به پيدا كردن آلودگي هاي سيستم و پاكسازي بدافزارها استفاده مي شود و قبل از آنكه بدافزار بر روي سيستم فعال شده و هرزنامه يا لينك مخرب ارسال كند، شناسايي شده و حذف مي شود.
حذف بدافزار از منبع پيش از آنكه شانسي براي ارسال و گستردگي بر روي شبكه داشته باشد براي هر دوي كاربر و شركت سودمند است. اگر بدافزاري بر روي سيستمي كه به فيس بوك متصل شده است تشخيص داده شود، ابزار پاكسازي به كاربر پيشنهاد مي شود تا مشكل را برطرف نمايد. اين ابزار در پيش زمينه كار خود را انجام داده و پس از حل مشكل پيامي براي كاربر ارسال مي كند.

شماره: IRCNE2015062552
تاريخ:04/06 /94

بنا به گزارش محققان امنيتي از بيت ديفندر، برنامه كاربردي Instapaper داراي يك نقص امنيتي است.
روز پنج شنبه، گروه امنيتي بيت ديفندر ادعا كرد كه يك آسيب پذيري را در برنامه كاربردي Instapaper كشف كردند كه كاربر را در برابر حملات MitM آسيب پذير مي كند. اگر كاربري به شبكه واي فاي كه توسط مهاجم كنترل مي شود وارد شود، كانال ارتباطي كه توسط اين برنامه استفاده مي شود مي تواند با استفاده از يك گواهينامه جعلي و ابزار ردگيري ترافيك ردگيري شود و اين امر منجر به افشاي اعتبارنامه هاي لاگين و اطلاعات ورود كاربر مي شود.
برنامه Instapaper يك برنامه تلفن همراه موجود براي نسخه هاي اندرويد و iOS مي باشد كه مقاله ها را براي حالت آفلاين ذخيره مي كند. اين برنامه بيشتر صفحات وب را به صورت يك متن ساده براي دستگاه هاي تلفن همراه مانند گوشي هاي هوشمند و تبلت ها ذخيره مي كند.

شماره: IRCNE2015062551
تاريخ:04/05 /94

روز پنج شنبه شركت سيسكو اعلام كرد كه اصلاحيه اي براي سه محصولي كه از كليدهاي رمزگذاري پيش فرض استفاده مي كنند منتشر كرده است. اين كليدهاي رمزگذاري داراي نقصي است كه به مهاجم اجازه مي دهد تا داده هاي ترافيك را رمزگشايي كند.
در اهنمايي امنيتي آمده است كه اين سه محصول Web Security Virtual Applianc، Email Security Virtual Appliance و Security Management Virtual Appliance مي باشند. نسخه هاي پيش از نسخه روز پنج شنبه داراي آسيب پذيري هستند.
شركت سيسكو اعلام كرد كه از انتشار عمومي اين مساله يا سوء استفاده از اين آسيب پذيري به گونه اي كه در راهنمايي امنيتي تشريح شده است آگاهي ندارد.
اگر مهاجم كليدهاي خصوصي را بدست آورد اين امكان وجود دارد كه پس از جمع آوري ترافيك توسط حملات MitM بتواند داده ها را رمزگشايي نمايد. هم چنين اين امكان وجود دارد كه مهاجم بتواند هويت اين وسايل را جعل كند و ترافيك را دستكاري نمايد.
اصلاحيه منتشر شده، كليدهاي SSHاي كه از پيش نصب شده اند را حذف نموده و دستورالعملي را در اختيار كاربر قرار مي دهد كه بتواند به طور كامل مشكل را حل نمايد. شركت سيسكو در اعلاميه اي آورده است كه اين اصلاحيه براي دستگاه هاي سخت افزاري فيزيكي يا وسايل مجازي مورد نياز نيست.
نام اين اصلاحيه "cisco-sa-20150625-ironport SSH Keys Vulnerability Fix" مي باشد و در فهرست محصولات به روز شده قرار دارد. اين اصلاحيه بايد به صورت دستي و از طريق واسط خط فرمان اعمال شود.

شماره: IRCNE2015062550
تاريخ:04/03 /94

شركت گوگل به روز رساني جديدي براي مرورگر كروم منتشر كرده است كه تعدادي مشكلات امنيتي از جمله آسيب پذيري دور زدن cross-origins و خطاي اعتبار سنجي طرح را شامل مي شود.
آخرين نسخه از مرورگر كروم نسخه 43.2.2357.130 براي ويندوز، مكينتاش و لينوكس است.
آسيب پذيري هاي اصلاح شده عبارتند از:

• CVE-2015-1266: خطاي اعتبارسنجي طرح در WebUI.
• CVE-2015-1268: دور زدن Cross-origin در Blink.
• CVE-2015-1267: دور زدن Cross-origin در Blink.
• CVE-2015-1269: خطاي عادي سازي در فهرست بارگذاري HSTS/HPKP.

به كاربران كروم توصيه مي شود تا مرورگر خود را به آخرين نسخه به روز رساني نمايند.

شماره: IRCNE2015062549
تاريخ:04/03 /94

شركت ادوب يك اصلاحيه فوري را براي يك آسيب پذيري در فلش پلير منتشر كرد. بنا به اعلاميه اين شركت مهاجمان در حال سوء استفاده از اين نقص مي باشند.
اين شركت اعلام كرد كه آخرين به روز رساني پلاگين فلش براي مرورگرها نسخه 18.0.0.194 براي هر دو نسخه ويندوز و مكينتاش مي باشد و نقصي را اصلاح كرده است كه به هكرها اجازه مي دهد تا كنترل سيستم آلوده را در اختيار بگيرند.
شركت ادوب در راهنمايي امنيتي خود آورده است: در حال حاضر مهاجمان از آسيب پذيري گزارش شده CVE-2015-3113 در حملات هدفمند و محدود سوء استفاده مي كنند.
شركت FireEye اوايل اين ماه كمپين سرقت هويتي را شناسايي كرد كه از اين آسيب پذيري سوء استفاده مي كردند. اين شركت آسيب پذيري شناسايي شده را به شركت ادوب گزارش كرده بود.
شركت ادوب به كاربران خود توصيه مي كند تا در اسرع وقت و فورا اصلاحيه مربوطه را اعمال نمايند. كاربران كروم به صورت خودكار اين به روز رساني را دريافت مي كنند.

شماره: IRCNE2015062548
تاريخ:04/02 /94

شركت سامسونگ به روز رسان ويندوز را بر روي برخي از لپ تاپ هاي خود غيرفعال كرد. اين امر مي تواند باعث شود تا اين دستگاه ها در برابر حملات بدافزاري و نشت داده آسيب پذير باشند. اين مساله توسط پاتريك باركر از گروه پشتيباني مايكروسافت كشف شده است.
از آنجا كه تاكنون پيام رسمي مبني بر دليل غيرفعال كردن به روز رسان ويندوز بر روي دستگاه هاي سامسونگ از سمت اين شركت منتشر نشده است يكي از نمايندگان اين محصول به باركر گفت: زماني كه به روز رساني هاي ويندوز را فعال مي كنيد، تمامي درايوهاي پيش فرض براي تمامي سخت افزارها نصب خواهد شد. به عنوان مثال، اگر لپ تاپي پورت USB 3.0 داشته باشد، اين پورت ها ممكن است پس از نصب به روز رساني كار نكنند. بنابراين براي جلوگيري از اين موضوع، ابزار به روز رسان SW جلوي به روز رساني هاي ويندوز را خواهد گرفت.
شركت مايكروسافت در بيانيه اي اعلام كرد كه به روز رسان ويندوز مولفه اي حياتي براي مشتريان مي باشد. اين شركت هيچگاه به مشتريان خود توصيه نمي كند تا به روز رسان ويندوز را غيرفعال نمايند يا تنظيمات آن را تغيير دهند زيرا اين امر باعث مي شود تا مشتريان در معرض خطر حملات امنيتي قرار گيرند.

شماره: IRCNE2015062547
تاريخ:04/02 /94

يك آسيب پذيري كه در وب سايت هاي وردپرس در حال اجراي پلاگين Google Analyticator وجود داشت اصلاح شد.
Nitin Venkatesh، يك محقق امنيتي اين آسيب پذيري را كشف كرده است. در راهنمايي امنيتي آمده است كه يك نقص در پلاگين وردپرس Google Analyticator شناسايي شده است كه توسط وب مسترها براي مشاهده داده Google Analytic در داشبورد وردپرس استفاده مي شود.
اين پلاگين 3.5 ميليون بار دانلود شده است و حاوي تعدادي حالت براي مشاهده داده هاي تحليلي در داشبورد ادمين و بلاگ ها است اما اين مساله امنيتي در تنظيمات cache پيدا شده است.
اين آسيب پذيري در نسخه هاي پايين تر از 6.4.9.3 كشف شده است و منجر به حملات CSRF مي شود. عمليات مديريتي نيز مي توانند بواسطه اين آسيب پذيري مورد سوء استفاده قرار بگيرند و عملكرد پلاگين را دچار اختلال نمايند.
توسعه دهندگان وب بايد پلاگين مربوطه را به نسخه 6.4.9.3 به روز رساني كنند.