شماره: IRCNE2015012415
تاريخ: 11/11/93

جديدترين برنامه ايميل مايكروسافت براي آيفون و آيپد، امنيت شركت‌ها و سازمان‌ها را از راه‌هاي مختلف دچار مشكل مي‌كند.
به گفته يك برنامه‌نويس و محقق به نام رنه وينكلمير، برنامه Outlook براي iOS كه روز پنجشنبه عرضه شد، از قوانين امنيتي عادي شركت‌ها پيروي نمي‌كند، چرا كه اطلاعات لاگين كاربر را دريافت كرده و در ابر خود ذخيره مي‌كند.
مايكروسافت اين برنامه مديريت ايميل و دسترسي به فضاي مبتني بر ابر را ماه‌ها پس از خريد Acompli كه به اين شركت كمك كرد كد خود را به يك برنامه fully-fledged تبديل كند، عرضه كرد.
اما اين برنامه‌نويس بعد از بررسي اين برنامه به اين نتيجه رسيد كه اطلاعات لاگين وي بدون اطلاع دادن به وي آپلود شده است. وي ادعا كرده است كه مايكروسافت مي‌تواند دسترسي كامل به داده‌هاي كاربر داشته باشد. وي گفته است كه كاربران بايد تا زماني كه اين مشكل برطرف گردد، دسترسي اين برنامه به ميل سرورهاي شركت خود را مسدود نمايند.
برخي كاربران در وبلاگ وي كامنت گذاشته‌اند كه حتي پس از پاك كردن برنامه نيز اطلاعات آنها از روي ابر حذف نمي‌شود.
مايكروسافت هنوز در اين مورد اظهار نظر نكرده است.

شماره: IRCNE2015012414
تاريخ: 11/11/93

يك بات‌نت نظير به نظير به نام ZeroAccess پس از دوبار از كار افتادن توسط محققان امنيتي و نهادهاي قانوني، از خواب شش ماهه بيرون آمده است.
ZeroAccess كه با عنوان Sirefef نيز شناخته مي‌شود، در سال 2013 و در نقطه اوج خود از بيش از 1.9 ميليون سيستم آلوده تشكيل شده بود كه عمدتاً براي جعل كليك و بيت‌كيت ماينينگ مورد استفاده قرار مي‌گرفت.
اين موضوع تا زماني ادامه داشت كه محققان امنيتي سايمانتك يك نقص در معماري اين بات‌نت پيدا كردند. اين معماري به اعضاي بات‌نت اجازه مي‌داد فايل‌ها، دستورات و اطلاعات را بدون نياز به سرورهاي مركزي دستور و كنترل، با يكديگر جابه‌جا كنند. اين سرورها در حقيقت پاشنه آشيل اغلب بات‌نت‌ها هستند.
سايمانتك بيش از نيم ميليون كامپيوتر را در جولاي 2013 از ZeroAccess جدا كرد و با كمك ISP ها و CERT ها به پاكسازي آنها كمك كرد.
در ماه دسامبر همان سال اف‌بي‌آي، يوروپل، مايكروسافت و چندين شركت امنيتي عمليات ديگري براي زمينگير كردن اين بات‌نت انجام دادند. اپراتورهاي اين بات‌نت يك به‌روز رساني براي سيستم‌هاي آلوده ارسال كردند كه حاوي پيغام «پرچم سفيد» بود.
واحد جرايم ديجيتالي مايكروسافت در آن زمان در وبلاگ خود نوشت: «ما بر اين اعتقاد هستيم كه اين عمل به صورت سمبليك بدين معناست كه مجرمان تصميم گرفته‌اند كنترل اين بات‌نت را واگذار نمايند».
اين موضوع چندان طول نكشيد. مجرمان سايبري اين بات‌نت را مجدداً بين تاريخ‌هاي 21 مارس و 2 جولاي 2014 فعال كرده و مورد استفاده قرار دادند. اما از آن زمان تا كنون اين بات‌نت در سكوت فرو رفته بود.
اما محققان Dell SecureWorks روز چهارشنبه اعلام كردند كه اين بات‌نت روز 15 ژانويه مجدداً فعال شد و شروع به انتشار تمپليت‌هاي جعل كليك براي سوء استفاده از سيستم‌ها نمود.
براي جعل كليك، بدافزار تبليغات را بر روي سيستم‌هاي آلوده نمايش مي‌دهد و روي آنها كليك مي‌كند و اين كليك‌ها را به عنوان كاربر معتبر و واقعي پوشش مي‌دهد تا به اين وسيله براي صاحبان بات‌نت، كسب درآمد نمايد.
محققان Dell SecureWorks بين روزهاي 17 تا 25 ژانويه، 55208 آدرس آي‌پي يكتا را مشاهده كرده‌اند كه در اين بات‌نت مشاركت مي‌كنند. از اين تعداد 38094 آي‌پي متعلق به سيستم‌هاي ويندوز 32 بيتي و 17114 آي‌پي متعلق به سيستم‌هاي ويندوز 64 بيتي بوده است. ده كشور برتر تحت تأثير اين بات‌نت عبارتند از ژاپن، هند، روسيه، ايتاليا، ايالات متحده آمريكا، برزيل، تايوان، روماني، ونزوئلا و آلمان.

ID: IRCNE2015012415
Date: 2015-01-31

According to “ZDNet”, Microsoft's newest email app for iPhones and iPads "breaks" corporate and enterprise security in multiple ways, a developer claims.
The company's Outlook for iOS app, released Thursday, does not "obey the rules of common company security rules," because it takes and stores a user's credentials in its cloud, according to René Winkelmeyer, writing on his blog.
Microsoft released the email management and cloud-based storage access app months after its Acompli buy, which helped the software giant turn the code into a fully-fledged app.
But after digging around in the app's push notifications, he found that his user credentials had been uploaded without the app informing him first.
He claimed that Microsoft could potentially have "full access to my [personal information management] data."
"What I saw was breathtaking," he wrote.
Some commenters on his blog warned that even after deleting the app, their credentials would not be flushed from the cloud.
"All the email and calendar data that was already on the device before I deleted the app was back again," one user said. Another user added: "I went back to check my list of mobile devices and, yup, the 'Outlook' profile had magically reappeared."
Winkelmeyer said users should "block the app from accessing your companies mail servers" until the service is fixed.
We've reached out to Microsoft for comment, but did not immediately hear back.

ID: IRCNE2015012414
Date: 2015-01-31

According to “ComputerWorld”, a peer-to-peer botnet called ZeroAccess came out of a six-month hibernation this month after having survived two takedown attempts by law enforcement and security researchers.
At its peak in 2013, ZeroAccess, also known as Sirefef, consisted of more than 1.9 million infected computers that were primarily used for click fraud and Bitcoin mining.
That was until security researchers from Symantec found a flaw in the botnet's resilient peer-to-peer architecture. This architecture allowed the bots to exchange files, instructions and information with each other without the need for central command-and-control servers, which are the Achilles' heel of most botnets.
By exploiting the flaw, Symantec managed to detach over half a million computers from ZeroAccess in July 2013 and launched an effort to clean them up in cooperation with ISPs and CERTs.
In December that same year the FBI, Europol, Microsoft and several security vendors launched a second operation that further crippled the botnet and led to those behind it capitulating. The botnet operators actually sent an update to the infected machines that contained the message "WHITE FLAG."
"We believe [that action] symbolizes that the criminals have decided to surrender control of the botnet," Richard Domingues Boscovich, assistant general counsel with the Microsoft Digital Crimes Unit, said at the time in a blog post.
It didn't last long. Cybercriminals reactivated the botnet and used it between March 21 and July 2, 2014, but then -- silence. Until now.
The botnet was reactivated on January 15, when it "again began distributing click-fraud templates to compromised systems," researchers from Dell SecureWorks said in a blog post Wednesday.
To perpetrate click fraud, malware displays ads on infected computers and clicks on them, masking the clicks as legitimate user actions in order to generate advertising income for the botnet operators.
The Dell SecureWorks researchers observed 55,208 unique IP addresses participating in the botnet between January 17 and January 25 -- 38,094 corresponding to compromised 32-bit Windows systems and 17,114 to 64-bit systems. The top ten affected countries are Japan, India, Russia, Italy, the U.S., Brazil, Taiwan, Romania, Venezuela and Germany.

شماره: IRCNE2015012413
تاريخ: 08/11/93

يك خطا در يك جزء بسيار معمول اغلب توزيع‌هاي لينوكس مي‌تواند به مهاجم اجازه دهد كه كنترل راه دور يك سيستم را پس از ارسال يك ايميل خرابكار در دست بگيرد.
به گزارش شركت امنيتي Qualys كه اين مسأله را روز سه‌شنبه كه بسياري از توزيع‌هاي لينوكس اصلاحيه دريافت كردند افشا كرد، اين آسيب‌پذيري كه Ghost نام گرفته است، در كتابخانه GNU C كه تحت عنوان glibc شناخته مي‌شود قرار دارد. Glibc يك كتابخانه C است كه فراخواني‌هاي سيستم را تعريف مي‌كند.
Red Hat، Debian، Ubuntu و Novell، ترميم دريافت كرده‌اند. به مديران سيستم‌ها توصيه شده است كه در اولين فرصت ممكن اصلاحيه‌ها را اعمال نمايند.
اين نقص نخستين بار در سال 2000 در glibc ظاهر شد. به گفته Qualys، در حقيقت اين آسيب‌پذيري در 21 مي 2013 و بين نسخه‌هاي 2.17 و 2.18 اصلاح شده بود. ولي در آن زمان اين نقص به عنوان يك خطر امنيتي شناسايي نشد. در نتيجه اغلب توزيع‌هاي لينوكس از جمله Debian 7، Red Hat Enterprise Linux نسخه‌هاي 6 و 7، CentOS نسخه‌هاي 6 و 7 و Ubuntu 12.04 بلافاصله اصلاح نشدند.
Qualys اين مشكل را در طول يك مميزي كد كشف كرد. هنوز مشخص نيست كه آيا مهاجمان از اين آسيب‌پذيري پيش از كشف آن سوء استفاده كرده‌اند يا خير.
نقص امنيتي Glibc يك سرريز بافر است كه مي‌تواند به صورت محلي و يا از راه دور در تابع gethostbyname فعال گردد.
تحليلگران Qualys يك كد سوء استفاده توليد كرده‌اند كه از طريق آن يك ايميل دستكاري شده خاص به يك ميل سرور Exim كه نسخه آسيب‌پذير glibc را اجرا مي‌كند ارسال مي‌گردد و يك ارتباط راه دور remote shell كه كنترل كامل دارد را در اختيار آنها قرار مي‌دهد.
Qualys زماني اين آسيب‌پذيري را افشا كرده است كه بيش از نيمي از سيستم‌هاي لينوكس، اصلاحيه مربوطه را نصب كرده‌اند.

شماره: IRCNE2015012412
تاريخ: 08/11/93

شركت ادوبي در سه روز گذشته شروع به قرار دادن اصلاحيه فلش‌پلير براي كاربراني كرده است كه به‌روز رساني خودكار را فعال كرده‌اند. اين اصلاحيه يك آسيب‌پذيري را كه توسط هكرها مورد سوء استفاده قرار گرفته بود ترميم مي‌نمايد.
كد سوء استفاده از اين آسيب‌پذيري با كيت سوء استفاده Angler مجتمع شده است. اين كيت ابزاري است كه توسط مجرمان سايبري براي اجراي حملات drive-by-download و به طور خاص از طريق تبليغات مخرب كه بر روي وب‌سايت‌هاي معتبر نمايش داده مي‌شوند مورد استفاده قرار مي‌گيرد.
اين آسيب‌پذيري كه تحت عنوان CVE-2015-0311 شناسايي مي‌شود، كاربراني را كه فلش‌پلير را در موزيلا و تمامي نسخه‌هاي IE در سيستم‌هاي ويندوز 8.1 و نسخه‌هاي قديمي‌تر ويندوز فعال كرده‌اند، تحت تأثير قرار مي‌دهد. پلاگين فلش‌پلير با كروم نيز مجتمع مي‌گردد، اما مكانيزم sandbox امنيتي اين مرورگر از اين سوء استفاده جلوگيري مي‌كند.
ادوبي در راهنمايي امنيتي روز شنبه خود نوشت كه كاربراني كه به‌روز رساني خودكار را براي فلش‌پلير فعال كرده‌اند، نسخه 16.0.0.296 را از روز 24 ژانويه به تدريج دريافت مي‌كنند.
اين شركت همچنين اعلام كرد كه نسخه جديد فلش‌پلير را در هفته براي دانلود در دسترس قرار خواهد داد. حتي اگرچه هنوز اين عرضه به طور رسمي اعلام نشده است، اما نسخه جديد هم اكنون نيز در سايت ادوبي در دسترس قرار دارد.
اين به‌روز رساني پس از عرضه يك نسخه ديگر فلش‌پلير در هفته گذشته كه يك آسيب‌پذيري ديگر را اصلاح مي‌كرد، انجام شده است. آسيب‌پذيري مذكور با شناسه CVE-2015-0310 شناسايي مي‌شود.
كاربران همچنين مي‌توانند با فعال كردن ويژگي click-to-play در مرورگرها كه از اجراي خودكار محتواي مبتني بر پلاگين بدون مجوز كاربر جلوگيري مي‌كند، از خود محافظت نمايند.

ID: IRCNE2015012413
Date: 2015-01-28

According to “ComputerWorld”, A fault in a widely used component of most Linux distributions could allow an attacker to take remote control of a system after merely sending a malicious email.
The vulnerability, nicknamed "Ghost," is in the GNU C Library known as glibc, according to security vendor Qualys, which disclosed the issue on Tuesday as many Linux distributions released patches. Glibc is a C library that defines system calls.
Red Hat, Debian, Ubuntu and Novell have issued fixes. It is advised administrators should patch as soon as possible.
The bug first appeared in glibc in 2000. It actually was fixed on May 21, 2013, in between versions 2.17 and 2.18, Qualys CTO Wolfgang Kandek wrote in ablog post.
But at the time, the flaw wasn't recognized as a security risk, Kandek wrote. Most stable and long-term support Linux distributions weren't immediately modified, including Debian 7, Red Hat Enterprise Linux 6 and 7, CentOS 6 and 7 and Ubuntu 12.04.
Qualys found the problem during a code audit. It's unclear whether attackers exploited the vulnerability before it was found by the company.
The flaw in Glibc exposes a buffer overflow that can be triggered locally and remotely in the "gethostbyname" functions. Applications using glibc get access to a DNS resolver, which converts hostnames into an IP address, Kandek wrote.
Qualys analysts developed a proof-of-concept exploit where they sent a specially crafted email to an Exim mail server running the vulnerable version of glibc and achieved a remote shell, giving them full control.
The company is not releasing the exploit until about half of all affected machines are patched, Kandek wrote.

ID: IRCNE2015012412
Date: 2015-01-28

According to “ComputerWorld”, Adobe Systems started pushing a critical Flash Player patch to users who have auto-update enabled over the weekend in order to fix a vulnerability that has been exploited by attackers since last week.
An exploit for the vulnerability has been integrated into the Angler Exploit Kit, a tool used by cybercriminals to launch mass drive-by-download attacks, primarily through malicious ads displayed on legitimate websites.
The vulnerability, tracked as CVE-2015-0311, affects users with Flash Player enabled in Mozilla Firefox and in all versions of Internet Explorer running on Windows 8.1 and earlier. The Flash Player plug-in bundled with Google Chrome also has the vulnerability, but the browser's security sandbox mechanism prevents its exploitation.
"Users who have enabled auto-update for the Flash Player desktop runtime will be receiving version 16.0.0.296 beginning on January 24," Adobe said in a security advisory Saturday.
The company also said that it will make the new Flash Player version available for manual download this week. Even though the release hasn't officially been announced yet, the new version is already available on its distribution site.
The update comes after Adobe released another Flash Player version last week to address a different zero-day, or exploited but unpatched, vulnerability. That one was tracked as CVE-2015-0310.
Users can also protect themselves by enabling the click-to-play feature in browsers which prevents plug-in-based content like Flash from running automatically without the user's consent.

شماره: IRCNE2015012411
تاريخ: 06/11/93

روز پنجشنبه چند به‌روز رساني اضطراري براي فلش‌پلير عرضه شد كه يك آسيب‌پذيري را كه به طور فعال توسط مهاجمان مورد سوء استفاده قرار گرفته است، ترميم مي‌كنند. اما همچنان يك آسيب‌پذيري ديگر اصلاح نشده باقي مانده است.
شركت ادوب، فلش‌پلير نسخه 16.0.0.287 را براي سيستم‌هاي ويندوز و مك، فلش‌پلير نسخه 11.2.202.438 را براي سيستم‌هاي لينوكس و فلش‌پليرExtended Support Release نسخه 13.0.0.262 را عرضه كرده است. اين به‌روز رساني‌ها يك آسيب‌پذيري شناخته شده با شناسه CVE-2015-0310 را برطرف مي‌كنند.
ادوب در يك راهنمايي امنيتي نوشت كه اين شركت از سوء استفاده گسترده از اين آسيب‌پذيري در نسخه‌هاي قديمي‌تر فلش‌پلير آگاه است.
روز چهارشنبه يك محقق فرانسوي در بلاگ خود گزارش داد كه مجرمان سايبري كه از كيت سوء استفاده Angler استفاده مي‌كنند، يك آسيب‌پذيري اصلاح نشده در فلش‌پلير را هدف قرار داده‌اند. اما به نظر مي‌رسد كه اين آسيب‌پذيري، CVE-2015-0310 نبوده و همچنان اصلاح نشده باقي مانده است.
اين محقق اعلام كرده است كه كيت Angler همچنان در مورد فلش‌پلير جديد 16.0.0287 در سيستم‌هاي ويندوز و مك كار مي‌كند. علاوه بر اين، مهاجمان اكنون اشتباهي را در پياده‌سازي خود تصحيح كرده‌اند و كاربران فايرفاكس را كه از فلش‌پلير استفاده مي‌كنند نيز هدف قرار داده‌اند.
وي گفت كه درصورت نصب و فعال‌سازي فلش، هر نسخه‌اي از IE يا فايرفاكس با هر نسخه‌اي از ويندوز تحت تأثير اين آسيب‌پذيري قرار دارند. اما گوگل كروم كه در آن فلش‌پلير در sandbox امنيتي مرورگر اجرا مي‌شود، هدف اين حملات قرار ندارد.
البته به گفته اين محقق امنيتي، آسيب‌پذيري CVE-2015-0310 نيز كه روز پنجشنبه اصلاح شد، در حملاتي كه با استفاده از كيت Angler انجام مي‌شوند مورد استفاده قرار مي‌گيرد.
ادوب اعلام كرد كه در حال تحقيق در مورد آسيب‌پذيري ديگري است كه همه نسخه‌هاي فلش‌پلير را تحت تأثير قرار مي‌دهد.
متخصصين امنيتي توصيه مي‌كنند كه بهتر است تا عرضه اصلاحيه مربوطه، پلاگين فلش‌پلير را به طور كلي غيرفعال نماييد.

شماره: IRCNE2015012410
تاريخ: 06/11/93

وردپرس يك سيستم مديريت محتوا و بلاگينگ متن‌باز مشهور است كه هم بر روي سرور و ميزبان وردپرس و هم بر روي هر ميزباني كه مورد نظر كاربر باشد قابل استفاده است. وردپرس، پلاگين Jetpack را براي كاربراني كه از ميزباني به جز وردپرس استفاده مي‌كنند توصيه كرده است كه چندين سرويس براي كمك به كاربران در مديريت و امن‌سازي سايت را ارائه مي‌دهد. اكنون وردپرس در حال قطع كردن سايت‌هايي است كه پلاگين Jetpack را به‌روز رساني نكرده‌اند.
وردپرس در ايميل ارسالي خود براي مديران سايت‌هاي تحت تأثير نوشته است: «بهار گذشته، ما يك آسيب‌پذيري در Jetpack كشف كرديم و تلاش كرديم به كاربران كمك نماييم كه سايت‌هاي خود را به يك نسخه امن به‌روز رساني نمايند. سايت شما از يك نسخه قديمي و به شدت ناامن پلاگين Jetpack (1.9.2) استفاده مي‌كند. براي امن نگه داشتن سايت شما، ما آن را از WordPress.com قطع كرده‌ايم.»
پلاگين Jetpack نسخه 1.9 نخستين بار در اكتبر 2012 عرضه شد و تا كنون چندين بار به‌روز رساني شده است. در آوريل 2014، به‌روز رساني 2.9.3 اين پلاگين عرضه شد كه شامل يك به‌روز رساني امنيتي حياتي بود كه يك آسيب‌پذيري را ترميم مي‌كرد كه تمامي نسخه‌هاي Jetpack از 1.9 به بالا را تحت تأثير قرار مي‌داد. اين آسيب‌پذيري مي‌تواند به مهاجم اين امكان را مي‌دهد كه كنترل‌هاي دسترسي را دور بزند و مطالب بدون مجوز منتشر نمايد.
Jetpack يك پلاگين ارزشمند براي كاربران وردپرس است كه از ميزبان‌هاي مورد نظر خود استفاده مي‌كنند، چرا كه ويژگي‌هاي آمار، رسانه‌هاي اجتماعي و مديريت سايت را در اختيار آنها قرار مي‌دهد. به طور خاص از جنبه امنيت، Jetpack 3.3 كه در 16 دسامبر 2014 عرضه شد، كاربران را قادر مي‌سازد به‌روز رساني‌هاي پلاگين‌ها را به طور خودكار مديريت نمايند.
خطر پلاگين‌هاي خارج از رده وردپرس چندان كم نيست. در دسامبر 2014، بيش از 100 هزار سايت وردپرس از راه يك پلاگين آسيب‌پذير اصلاح نشده، به بدافزار SoakSoak آلوده شدند.
وردپرس گام‌هايي براي كمك به به‌روز نگاه داشتن برنامه هسته‌اي وردپرس برداشته است. با به‌روز رساني وردپرس 3.7 در اكتبر 2013، سايت‌هاي وردپرسي كه از ميزبان مربوط به خود استفاده مي‌كنند به طور خودكار به‌روز رساني مي‌شوند تا آسيب‌پذيري‌هاي امنيتي بحراني در وردپرس را ترميم نمايند.