شماره: IRCNE2015052495
تاريخ: 02/14/94

شركت مايكروسافت قصد دارد پشتيباني از ويندوز سرور 2003 را تنها تا 14 ژوئيه 2015 ادامه دهد و بعد از اين تاريخ پشتيباني از ويندوز سرور 2003 را متوقف خواهد كرد.
اين شركت اعلام كرد كه بعد از اين تاريخ هيچ اصلاحيه و برطرف كننده امنيتي براي سرور 2003 منتشرنخواهد شد و براي سخت افزارهاي جديد نيز هيچ اصلاحيه اي وجود نخواهد داشت. اليته در عمل گزينه هايي وجود دارد كه مي توان از مايكروسافت پشتيباني مشتري خريداري كرد اما اين گزينه ها شامل طيف وسيعي از شركت ها نمي شود زيرا مايكروسافت چنين پشتيباني هايي را تنها براي شركت هايي با سرمايه هاي بالا ارائه مي دهد.

شماره: IRCNE2015042494
تاريخ: 02/08/94

با توجه به شركت امنيتي Trustwave، روز پنج شنبه شركت SAP رخنه اي را در پايگاه داده ASE اصلاح كرد كه به مهاجم اجازه مي دهد تا كنترل كامل اين پايگاه داده را بدست آورد.
اين آسيب پذيري با شناسه (CVE-2014-6284) شناخته مي شود و پايگاه داده ASE را تحت تاثير قرار مي دهد. اين پايگاه داده براي حجم بالايي از تراكنش ها و براي سيستم هاي يونيكس، لينوكس و ويندوز طراحي شده است. نسخه هاي 12.5، 15، 15.5، 15.7 و 16 آسيب پذير مي باشند.
بنا به گزارش Trustwave اين آسيب پذيري در تركيب با آسيب پذيري هاي افزايش سطح دسترسي مي تواند باعث شود تا مهاجمان دسترسي كامل سرور پايگاه داده را در اختيار بگيرند. اين شركت كد اثبات ادعاي خود را بر روي GitHub منتشر كرده است.

شماره: IRCNE2015042493
تاريخ: 02/08/94

يك كد سوء استفاده كه مي تواند ميليون ها وب سايت وردپرس را هدف حمله قرار دهد منتشر شده است. آسيب پذيري اسكريپت بين سايتي به مهاجم خرابكار اجازه مي دهد تا كنترل كل سروري كه در حال اجراي پلت فرم وبلاگي است را با تغيير رمز عبور و ايجاد حساب هاي كاربري جديد در اختيار بگيرد.
با سوء استفاده از اين آسيب پذيري مي توان كدي را به بخش نظرات سايت تزريق كرد و سپس حجم بالايي از متن را به آن اضافه كرد. وردپرس نسخه هاي 3.9.3، 4.1.1، 4.1.2 و 4.2 تحت تاثير اين آسيب پذيري قرار دارند.
Pynnonen اظهار داشت به اين دليل كه وردپرس تمامي ادعاهاي ما مبني بر وجود آسيب پذيري را رد كرد، جزئيات اين آسيب پذيري را افشاء كرده است. روز دوشنبه اين شركت يك به روز رساني امنيتي بحراني را براي اصلاح يك آسيب پذيري منتشر كرد. آخرين نسخه وردپرس نسخه 4.2.1 مي باشد.

شماره: IRCNE2015042492
تاريخ: 02/07/94

شركت مايكروسافت ويژگي هاي جديدي را به سرويس ابر Office 365 خود اضافه خواهد كرد تا مشتريان بتوانند كنترل بيشتري بر روي داده هاي خود داشته باشند.
اين شركت قابليت هاي ورود به Office 365 را براي كاربر، ادمين و خط مشي هاي مرتبط با Exchange Online و SharePoint Online توسعه خواهد داد. اين قابليت به سازمان هاي مبتني بر ابر اجازه مي دهد تا تا تعامل كارمندان با محتوي ميزباني شده بر روي سرويس هاي آن ها را بهتر مديريت كنند.
هم چنين لاگ ها از طريق واسط مديريتي Office 365 Management Activity API جديد در دسترس خواهد بود و مي توان از طريق نظارت، تجزيه و تحليل و محصولات مجازي سازي داده از آن بهره برد.
در حال حاضر واسط مديريتي API براي انتخاب تعدادي از شركاي مايكروسافت در دسترس است اما باافزاودن ويژگي هاي جديد به آن براي گستره وسيع تري از مشتريان در دسترس خواهد بود.
ويژگي ديگري كه مايكروسافت انتظار دارد تا آخر سال معرفي نمايد Customer Lockbox مي باشد و به مشتريان اجازه مي دهد تا تاييديه درخواست خود را پيش از دسترسي به اطلاعات براي استفاده از خدمات صريحا از مهندسان مايكروسافت دريافت كنند. در حال حاضر اين تاييديه به صورت داخلي و بدون نظر مشتريان انجام مي شود.
علاوه براين، شركت مي توانند با Customer Lockbox به لاگ فعاليت ها دسترسي داشته باشند در نتيجه مي توانند ببينند كه چگونه محتوي آن ها توسط مهندسان مايكروسافت مديريت مي شود. اين ويژگي براي Exchange Online از اواخر سال 2015 و براي سرويس SharePoint Online در سه ماهه اول 2016 در دسترس خواهد بود.
هم چنين شركت مايكروسافت قصد دارد تا چند ماه آينده يك سطح رمزگذاري براي ايميل ها را به روشي مشابه با رمزگذاري فايل ها در SharePoint Online معرفي نمايد و سال آينده به مشتريان اجازه دهد تا داده هاي Office 365 خود را رمزگذاري نمايند و كنترل كامل آن را در اختيار بگيرند. اين مساله به آن ها اجازه خواهد داد تا در صورتي كه تصمصيم به ترك سرويس گرفتند، دسترسي مايكروسافت را قطع نمايند.

شماره: IRCNE2015042491
تاريخ: 02/07/94

پاييز گذشته شركت Sony Pictures هك شد و چندين گيگا بايت اطلاعات كاربران آن افشاء شد. مدير Cylance اظهار داشت كه تجزيه و تحليل هاي متخصصان ما بر روي فايل هايي كه هكرها بر روي اينترنت قرار دادند و هم چنين بدافزاري كه براي اين حمله استفاده شده است نشان مي دهد كه مهاجمان از ايميل هاي سرقت هويت گروهي براي دسترسي به شبكه سوني استفاده كرده اند.
اين ايميل ها كه به نظر مي رسيدند از طرف شركت اپل ارسال شده اند از قربانيان مي خواستند تا براي بررسي اعتبارنامه هاي ID خود بر روي لينك داخل ايميل كليك نمايند. Apple ID يك حساب كاربري است كه توسط آيفون، آي پد و مكينتاش براي اتصال به iCloud و خريد محتوي روي iTune به كار مي رود. در صورتيكه قرباني بر روي لينك مربوطه كليك مي كرد به سايتي هدايت مي شد كه ظاهرا مي توانست حساب كاربري خود را تاييد كند.
در بررسي ها يبيشتر مشخص شد كه اين ايميل ها بيشتر براي افرادي فرستاده شده است كه دسترسي زيادي به شبكه سوني داشته اند. مهاجمان ، قربانيان خود را را طريق سايت LinkedIn پيدا مي كردند. سپس حمله خود را عملياتي كرده و با بدست آوردن اطلاعات اعتبارنامه هاي Apple ID، رمزهاي عبور داخلي استفاده شده توسط قربانيان را حدس مي زدند يا درخواست جعلي را براي قربانيان ارسالي مي كردند و از آن ها مي خواستند تا نام كاربري و رمز عبور خود را در صفحه بررسي Apple ID وارد نمايند.
هم چنين مهاجمان توانسته اند بدافزاري را بر روي Sony's PCها نصب نمايند و از اين طريق دسترسي كامل سيستم مربوطه را بدست آورند.

شماره: IRCNE2015042490
تاريخ: 02/07/94

يك شركت امنيتي هشدار داد، افرادي كه از پلت فرم تجارت الكترونيك Magento استفاده مي نمايند بايد اطمينان حاصل نمايند كه از آخرين نسخه اين پلت فرم استفاده مي كنند زيرا در حال حاضر مهاجمان در حال سوء استفاده از رخنه اي هستند كه دو ماه گذشته اصلاح شده است.
Netanel Rubin از گروه تحقيق آسيب پذيري و بدافزار Check Point نوشت: اين آسيب پذيري مي تواند به مهاجم اجازه دهد تا كنترل كامل فروشگاه الكترونيكي را با دسترسي مديريتي در اختيار بگيرند و مي تواند باعث شود تا به طور بالقوه اطلاعات كارت هاي اعتباري به سرقت برود. در حال حاضر بيش از 200000 وب سايت از پلت فرم Magento كه متعلق به eBay است، استفاده مي كنند.
گروه Check Point كه اين آسيب پذيري را كشف كرده است اين موضوع را به Magento گزارش داد و روز 9 فوريه اصلاحيه اي براي اين مكشل منتشر شد. اين گروه هفته گذشته دريافت كه مهاجمان در حال سوء استفاده از اين آسيب پذيري مي باشند.
تجزيه و تحليل شركت امنيتي Sucuri نيز نشان داد كه مهاجمان از طريق دو آدرس IP روسي در حال سوء استفاده از برنامه هاي كاربردي به روز نشده Magento هستند.
كد استفاده شده در تجزيه و تحليل هاي Sucuri يك حمله تزريق SQL مي باشد كه يك كاربر ادمين جديد را در پايگاه داده ثبت مي كند. اين كد سوء استفاده از نام هاي كاربري ‘vpwq’ و ‘defaultmanager’ استفاده مي كند. ثبت اين اسامي در سيستم نشان دهنده وقوع يك حمله موفقيت آميز است.
اين آسيب پذيري در نسخه 1.9.1.0 پلت فرم Magento's Community و نسخه 1.14.1.0 پلت فرم Enterprise گزارش شده است. به كاربران توصيه اكيد مي شود در اسرع وقت اصلاحيه ها را اعمال نمايند.

Number: IRCNE2015042467
Date: 2015/04/08

According to “itpro”, security researchers have uncovered a flaw in temporary Wi-Fi connections - such as those in hotels or conference systems - that could allow hackers to tamper with the network and gain access to systems using it.
The CVE-2015-0932 vulnerability was found in 277 hotel, conference centre and data centre Wi-Fi networks that use ANTLabs InnGate devices, allowing hackers to carry out attacks similar to the DarkHotel incidents at the end of last year.
Using an unauthenticated rsync daemon running on TCP 873, the hacker can gain read and write priveleges in any Linux-based operating system, experts at Cylance said, folllowing the study.
Brian Wallace, senior researcher and software engineer at Cylane, said in a blog post: "When an attacker gains full read and write access to a Linux file system, it’s trivial to then turn that into remote code execution.
"The attacker could upload a backdoored version of nearly any executable on the system and then gain execution control, or simply add an additional user with root level access and a password known to the attacker. Once full file system access is obtained, the endpoint is at the mercy of the attacker."
Justin W. Clarke, senior security researcher on the Cylance Spear (Sophisticated Penetration Exploitation and Research) team said: "Given that the ANTlabs’ product integrates with external systems, such as a hotel’s PMS, this vulnerability could be leveraged to gain deeper access into a hotel’s business network.

Number: IRCNE2015042466
Date: 2015/04/08

According to “itpro”,a Trojan is targeting firms in the energy industry, infiltrating systems in a bid to gather information about a company’s operations.
The malware, discovered by researchers working at Symantec, found that most of the attacks involved victims in the petroleum, gas and helium industries, especially those based in the United Arab Emirates, which accounted for one in four attacks.
Christian Tripputi said the attacks were detected in the first couple of months this year and the Trojan looks to create a beachhead on energy firms before sending in further malware to gather further information about the victims.
The initial infection vector involves the use of spam emails coming from the moneytrans[.]eu domain, which acts as an open relay Simple Mail Transfer Protocol (SMTP) server, according to Tripputi.
“These emails include a malicious attachment packed with an exploit for the Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158),” he said. “This vulnerability has been exploited in many different attack campaigns in the past, such as Red October.”
Tripputi added that the stolen data “enables the attacker to make crucial decisions about how to proceed further with the attack, or to halt the attack”.
If the victim organisation is deemed to be interesting, additional Trojans and backdoors would then be installed.
“The attackers distributed customised copies of Backdoor.Cyberat and Trojan.Zbot which are specifically tailored for the compromised computer’s profile,” said Tripputi.
He said that threats were downloaded from a few servers operating in the US, UK, and Bulgaria.
The security researcher said the group behind the attack does not seem to be particularly advanced, as they exploited an old vulnerability and used their attack to distribute well-known threats that are available in the underground market.
“However, many people still fail to apply patches for vulnerabilities that are several years old, leaving themselves open to attacks of this kind. From the attacker’s perspective, they don’t always need to have the latest tools at their disposal to succeed,” he said. “All they need is a bit of help from the user and a lapse in security operations through the failure to patch.”

Number: IRCNE2015032458
Date: 2015/03/20

According to “zdnet”,two "high" severity flaws have been fixed in the latest version of OpenSSL.
The development project released versions 1.0.2a, 1.0.1m, 1.0.0r, and 0.9.8zf on Thursday after a number of flaws were reported privately.
One of the most severe flaws could be exploited to launch a denial-of-service attack against a server running the affected 1.0.2 version of the software.
The second flaw was initially classified as "low" priority, but was upgraded after recent studies showed that server RSA export ciphersuite support is not as rare as first thought.A total of 12 vulnerabilities were patched in this release.
OpenSSL serves as one of the most popular open-source and widely available toolkits for implementing SSL and TLS. It's deployed at some of the largest and best-known services, including Facebook, Google, Yahoo, and across the federal government.

Number: IRCNE2015032458
Date: 2015/03/20

According to “itpro”, millions of Android devices have been found vulnerable to cyber attack following a security flaw allowing malware to replace legitimate apps, hacker Zhi Xu has found.
Almost half of Android phones may be affected, with the flaw allowing dangerous malicious apps to be downloaded without the user's knowledge, collecting personal data from the infected device.
Xu, a senior staff engineer at Palo Alto Networks, says: “The malicious application can gain full access to a compromised device, including usernames, passwords, and sensitive data.”
According to the report, 49.5 per cent of Android users are still vulnerable to the threat despite patches released by Google and manufacturers such as Samsung and Amazon attempting to tackle the problem.
Applications affected only include those installed via a third-party app store, with the flaw allowing the APK file to be modified by the malware during the installation process.
The flaw was actually first found in January 2014, but the number of devices left vulnerable has dropped from 89.4 per cent to just below 50 per cent (as of march 2015) in the interim.
Users have been advised to update their phones to Android 4.1 or above to avoid being affected, though the report warns those running on Android 4.3 that they may also be open to attack.