Number: IRCNE2014112369
Date: 2014/11/05

According to “techworld”, a new version of the The Rovnix Trojan that has spent 2014 quietly spreading across the Internet has infected at least 130,000 PCs in the UK to pilfer credit card data, security firm BitDefender has warned.
To date, Rovnix has largely been a nuisance for Windows PCs, causing a range of disruption from pop-up ads, programme interference, data theft and even blue-screen system crashes. Typically, the user will also receive bogus scareware error messages imploring them to pay money to make the issue go away.
According to BitDefender, 87 percent of the recent infections it had detected were in the UK, with smaller percentages noticed in Germany, Italy and the US.
“The campaign targeting the UK proves that the Rovnix botnet is still going strong,” said Bitdefender chief security strategist, Catalin Cosoi.
Eccentrically, Rovnix’s C&C Domain Generation Algorithm (DGA) had been set up to create 5-10 domains per quarter using the US Declaration of Independence to fuel its word list.
“They are obtained by concatenating words or their first half as long as the domain name is composed of a minimum of 12 and a maximum of 23 characters,” said Cosoi.

ID: IRCNE2014112368
Date: 2014-11-08

According to “ZDNet”, Microsoft has released Microsoft Antimalware for Azure Cloud Services and Virtual Machines to Microsoft Azure customers.
The free security extension is installed by default, but in a disabled state, on all guest operating system families, specifically Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2. It is not installed by default in the Azure Virtual Machines platform, i.e. the Infrastructure as a Service offering, but may be added through the Azure Management Portal and Visual Studio Virtual Machine configuration under Security Extensions.
The Antimalware service uses the same engine and signatures as Microsoft's Forefront, System Center and Defender antimalware offerings. It has access to the same updates, on-demand and real-time scanning. While the software is free, running it "...may result in increased data, network, or compute resource usage resulting in additional license or subscription costs."
The service is programmable through APIs, PowerShell and using the Visual Studio virtual machines configuration in Server Explorer. These allow enterprises to control the configuration of the Antimalware service to a high degree. Once installed and running, if configured with Azure Diagnostics, the service logs events to the Azure Storage account. These events can then be piped to HDInsight (Microsoft's Hadoop distribution) or an SIEM (Security Information and Event Management) system.
A Microsoft white paper Microsoft Antimalware for Azure Cloud Services and Virtual Machines explains the service in more detail and includes PowerShell sample scripts for configuring the service and for extracting events from it.

Number: IRCNE2014112367
Date: 2014/11/05

According to “zdnet”, Microsoft has released their advance notification for the November 2014 Patch Tuesday updates. There will be a total of 16 updates issued next Tuesday, November 11, five of them rated critical.
Nearly all of the updates affect Windows. One is for Office, one for Exchange, one for Microsoft SharePoint Foundation 2010 Service Pack 2. Some of the updates also affect Internet Explorer and the .NET Framework.
The two Office vulnerabilities affect Word 2007, the Word Viewer, the Office Compatibility Pack and Office 2007 IME (Japanese). Current versions of Office are not affected.
Four of the bulletins, all rated Critical, affect both the Windows Technical Preview (i.e. Windows 10) and the Windows Server Technical Preview. The updates will be available through the normal Windows Update process and Microsoft encourages users to apply them.
One of the critical vulnerabilities is unusual, in that it is listed as a Privilege Elevation bug. Such bugs are usually rated less severely. This update will be released for all versions of Windows, but some versions (Windows 7 for example) are listed as not vulnerable. For these cases Microsoft says the update "provides additional defense-in-depth hardening that does not fix any known vulnerability."
Microsoft will also release a new version of the Windows Malicious Software Removal Tool and probably some as-yet undisclosed number of non-security updates to various Windows versions..

Number: IRCNE2014112365
Date: 2014/11/05

According to “techworld”, a cyberespionage group that has built its operations around a malware program called BlackEnergy has been compromising routers and Linux systems based on ARM and MIPS architectures in addition to Windows computers.
Security researchers from antivirus vendor Kaspersky Lab released a report Monday detailing some of the custom modules that the group has developed for BlackEnergy, a tool originally created and used by cybercriminals to launch distributed denial-of-service attacks.
Variants of the BlackEnergy plug-ins developed by the cyberespionage group were discovered for both Windows and Linux systems. They enhance the malware program with capabilities like port scanning, password stealing, system information gathering, digital certificate theft, remote desktop connectivity and even hard disk wiping.
Different selections of plug-ins are deployed from command-and-control servers for every victim, depending on the group's goals and the victim's systems, the Kaspersky researchers said.
In one case, attackers downloaded and executed a BlackEnergy plug-in called dstr that destroyed data on an organization's Windows computers.
In another incident, an organization that also had data from some of its Windows machines destroyed found that it was no longer able to access its Cisco routers via telnet. When they investigated, they found several "farewell" scripts left on the routers by the BlackEnergy group, the Kaspersky researchers said.
The group seems particularly interested in targeting organizations that run industrial control systems, especially from the energy sector. Victims identified by Kaspersky include power generation operators, power facilities construction companies, suppliers and manufacturers of heavy power-related materials, and energy sector investors.

Number: IRCNE2014112366
Date: 2014/11/05

According to “zdnet”, the newest version of the OpenBSD operating system, version 5.6, replaces the ubiquitous OpenSSL library with LibreSSL, a fork of OpenSSL created by the OpenBSD team.
OpenSSL remains the dominant code base for SSL/TLS secure communications, rivaled only by Microsoft's CryptoAPI for Windows. But OpenSSL took a big credibility hit early this year with the revelation of the Heartbleed bug, a severe bug which exposed lax development and testing procedures in the OpenSSL project.
In fact, OpenSSL did not have a good reputation for code quality and usability by developers, but the issue gained no urgency until Heartbleed made it well-known.
To address these problems the OpenBSD project, most famous for the OpenBSD operating system and OpenSSH secure shell, create a fork of the OpenSSL code and called the project LibreSSL. LibreSSL has several goals, including API compatibility with OpenSSL and simplification through the removal of features considered off-mission.
OpenBSD use is well-behind that of Linux and commercial UNIX implementations, but the LibreSSL project can live on its own in Linux systems and may become popular if it can be demonstrated that it is compatible and works well.

شماره: IRCNE2014112364
تاريخ: 14/08/93

فناوري هاي امنيتي اپل براي Mac OS X هم چنان كرم iWorm را تشخيص نمي دهند. اين كرم، بدافزاري است كه اواخر ماه سپتامبر كشف شده است و هزاران كاربر مكينتاش را آلوده كرده است.
شركت اپل يك به روز رساني براي موتور آنتي ويروس XProtect خود منتشر كرد تا كرم iWorm را تشخيص دهد اما با اين به روز رساني آنتي ويروس XProtect تنها مي تواند زمانيكه نصب كننده كرم iWorm راه اندازي مي شود را تشخيص دهد.
Wardle، مدير تحقيقات Synack اظهار داشت كه شركت اپل تنها يك امضاء را منتشر كرده است و مشكل را برطرف نكرده است. در صورتي كه كاربران از آنتي ويروس هاي ديگر كه امضاي درست را دارند استفاده كنند به اين كرم آلوده نخواهند شد.
كرم iWorm يك راه نفوذ مخفي است كه مي تواند اطلاعات رايانه ها را به سرقت ببرد و بنا به گزارشات شركت امنيتي Dr. Web تاكنون بيش از 18000 رايانه را آلوده كرده است. اين كرم از هيچ آسيب پذيري بر روي Mac OS X سوء استفاده نمي كند بلكه تنها كاربران را به گونه اي فريب مي دهد تا آن ار بر روي رايانه خود نصب كنند.
Wardle گفت: متاسفانه اين كرم قادر است تا راهكارهاي تشخيص بدافزار اپل را به راحتي دور بزند. اين كرم نشان مي دهد كه بدافزارها براي سيستم هاي OS X يك مشكل محسوب مي شوند و اينگونه نيست كه رايانه هاي ميكنتاش از گزند آن ها در امان باشند.

شماره: IRCNE2014112363
تاريخ: 14/08/93

بنا به گزارشات يك آسيب پذيري جدي در OS X Yosemite كشف شده است كه "Rootpipe" خوانده مي شود و به مهاجمان اجازه مي دهد تا دسترسي root داشته باشند.
اين آسيب پذيري افزايش حق دسترسي توسط يك هكر سوئدي به نام Emil Kvarnhammar كشف شده است و شركت اپل از او خواسته بود كه تا ژانويه 2015 جزئيات آن را منتشر نكند.
Kvarnhammar گفت: Rootpipe يك آسيب پذيري افزايش حق دسترسي از ادمين به root است.
او ادامه داد: با شركت اپل توافق شده است كه تا اواسط ژانويه سال 2015 جزئيات اين آسيب پذيري منتشر نشود. اين امكان براي شركت اپل وجود دارد كه تا آن زمان اصلاحيه مورد نظر را منتشر نمايد و كاربران فرصت كافي براي اعمال به روز رساني را خواهند داشت.
اين هكر سوئدي اواسط اكتبر اين آسيب پذيري را در نسخه هاي پيشين سيستم عامل اپل كشف كرده است. در همان روز هشدارهايي را براي شركت اپل ارسال كرده است تا اين مشكل را برطرف نمايند. شركت اپل به روز رساني هايي را براي Mountain Lion، Mavericks، OS X Server نسخه هاي 2، 3 و 4 و iTunes منتشر كرد و 144 آسيب پذيري مجزا را در آن ها برطرف كرد اما هم چنان اين آسيب پذيري بدون اصلاحيه باقي ماند. برخي از اين اصلاحيه ها مربوط به آسيب پذيري هايي بوده است كه يك سال قبل گزارش شده است.
توصيه مي شود تا از حساب كاربري ادمين استفاده نشود. هم چنين بايد از FileVault استفاده نماييد. هم چنين سعي شود تا مجوزهاي ادمين را از حساب كاربري كه به طور روزانه از آن استفاده مي كنيد حذف نماييد.

شماره: IRCNE2014112361
تاريخ: 11/08/93

آسيب پذيري هاي بحراني Shellshock كه ماه گذشته در پوسته Bash Unix كشف شد، باعث شد تا محققان بررسي هاي خود را براي يافتن آسيب پذيري هاي قديمي مشابه آغاز نمايند.
اين هفته دو آسيب پذيري اجراي دستور از راه دور در عامل دانلود wget و كلاينت tnftp براي سيستم هاي مانند يونيكس اصلاح شد. اين اصلاحيه ها پيرو كشف آسيب پذيري هاي اجراي كد از راه دور در كتابخانه اي كه توسط strings، objdump، readelf و ساير ابزارهاي خط فرمان مورد استفاده قرار مي گيرد انجام شد.
GNU Wget يك ابزار براي دانلود فايل ها و منابع مبتني بر وب بر روي سيستم لينوكسي كه از واسط خط فرمان استفاده مي كند است. علاوه بر اين wget به صورت دستي توسط اسكريپت هاي مشتريان و وظائف زمانبندي شده فراخواني مي شود.
HD Moore، سرپرست تحقيقات در Rapid7 كه اين آسيب پذيري را كشف كرده است گفت: نسخه هاي پيش از 1.16 ابزار Wget هنگام اجرا در حالت هاي بازگشتي با يك FTP، نسبت به يك حمله symlink آسيب پذير است.
Moore توضيح داد: اين آسيب پذيري به مهاجم اجازه مي دهد تا از يك سرور FTP مخرب براي ايجاد فايل ها، دايركتوري ها و symlinkهاي دلخواه بر روي فايل سيستم هاي كاربر سوء استفاده نمايد. حمله symlink باعث مي شود تا محتوي فايل از جمله فايل هاي باينري بازنويسي شود و بتوان با مجوزهايي برابر با كاربري كه در حال اجراي wget است به كل فايل سيستم دسترسي يافت. در نهايت، سوء استفاده از اين آسيب پذيري منجر به اجراي كد از راه دور مي شود.
كاربران بايد از wget نسخه هاي پس از 1.16 استفاه نمايند. هم چنين مي توان به صورت دستي و با افزودن خط "retr-symlinks=on" به تنظيمات فايل /etc/wgetrc or ~/.wgetrc تاثيرات اين آسيب پذيري را كاهش داد.
هم چنين اين هفته آسيب پذيري در Tnftp برطرف شد كه به يك سرور مخرب اجازه مي دهد تا دستورات دلخواه را بر روي سيستم كاربر اجرا نمايد. اين آسيب پذيري با عنوان CVE-2014-8517 شناسايي شده است.
Tnftp يك پورت بين پلت فرمي از كلاينت اصلي BSD FTP است. Tnftp يك كلاينت FTP پيش فرض در NetBSD، FreeBSD، DragonFly BSD و Mac OS X مي باشد.

شماره: IRCNE2014112362
تاريخ: 14/8/93

از اين پس فيس‌بوك سعي نخواهد كرد كه جلوي كاربران Tor را كه مي‌خواهند به اين شبكه اجتماعي دسترسي پيدا كنند بگيرد.
تا كنون سياست‌هاي امنيتي فيس‌بوك از دسترسي افراد به اين سايت از طريق چيزي كه به آن «وب تاريك» مي‌گويند جلوگيري مي‌كرد.
كاربران قادر خواهند بود اين سايت را از طريق يك مرورگر امن و با استفاده از شبكه Tor مشاهده كنند تا محل كاربر نامشخص باقي بماند. Tor با اضافه كردن چندين لايه رمزنگاري داده و بازپخش اين اطلاعات از طريق كامپيوترهاي تصادفي در سراسر جهان كار مي‌كند.
به گفته فيس‌بوك، اين تغيير در سياست به اين معناست كه كاربران مي‌توانند بدون از دست دادن محافظت‌هاي رمزنگاري، به اين سايت دسترسي پيدا كنند.
كاربران مي‌توانند از طريق https://facebookcorewwwi.onion/ به‌صورت ناشناس به فيس‌بوك دسترسي پيدا كنند و از اين آدرس براي جلوگيري از افشاي اطلاعات مكان يا ساير اطلاعات خود استفاده كنند.
پيش از اين فيس‌بوك اين نوع ترافيك را به علت ترس از حمله از طريق يك بات‌نت مسدود كرده بود.
يك مهندس نرم‌افزار ساختار امنيتي فيس‌بوك به نام «الك موفت» در وبلاگ خود نوشت كه Tor برخي فرضيات مكانيزم‌هاي امنيتي فيس‌بوك را به چالش مي‌كشد.
براي مثال از منظر سيستم ما در صورتي‌كه فردي در يك لحظه از استراليا متصل شود و چند لحظه بعد در سوئد يا كانادا مشاهده شود، بدين معناست كه يك حساب هك شده از طريق يك بات‌نت در حال استفاده است. در حاليكه براي Tor اين يك مسأله كاملاً عادي است.
اين دسترسي همچنين از امنيت SSL در لايه بالايي Tor استفاده مي‌كند، چرا كه صرفنظر از هر نگراني امنيتي، معماري فيس‌بوك براي قبول اين ارتباط به اين مسأله نياز دارد.

شماره: IRCNE2014112360
تاريخ: 11/8/93

گوگل قصد دارد پشتيباني از پروتكل قديمي SSL 3.0 را در مرورگر كروم حذف نمايد.
اين تصميم به دنبال كشف يك نقص امنيتي خطرناك طراحي توسط محققان امنيتي گوگل در SSL 3.0 رخ داد. اين آسيب‌پذيري كه POODLE نام گرفته است، به مهاجم MitM اجازه مي‌دهد كه اطلاعات متني حساس مانند كوكي‌هاي احراز هويت را از يك ارتباط HTTPS رمز شده توسط SSLv3 بازيابي نمايد.
اگرچه POODLE بزرگترين مسآله امنيتي است كه تا كنون در SSL 3.0 كشف شده است، اما تنها ضعف اين پروتكل نيست. SSL 3.0 در اواسط دهه 1990 طراحي شد و رمزنگاري خارج از رده‌اي را پشتيباني مي‌كند كه اكنون از ديدگاه رمزنگاري امن نيست.
امروزه ارتباطات HTTPS نوعاً از TLS نسخه‌هاي 1.0، 1.1 يا 1.2 استفاده مي‌كنند. البته بسياري از مرورگرها و سرورها، پشتيباني از SSL 3.0 را در طول سال‌ها حفظ كرده‌اند.
اين موقعيت، همان چيزي است كه مدت‌هاست متخصصان امنيت انتظار ديدن آن را داشته‌اند و اكنون به لطف POODLE اين اتفاق مي‌افتد. تأثير اين نقص امنيتي با اين واقعيت چندين برابر مي‌شود كه مهاجماني كه مي‌توانند به ارتباطات HTTPS نفوذ كنند، مي‌توانند آن را از TLS به SSL 3.0 تنزل دهند.
بر اساس مطالعه منتشر شده در ماه اكتبر در پروژه SSL Pulse، 98 درصد از مشهورترين سايت‌هاي HTTPS علاوه بر يكي از نسخه‌هاي TLS، از SSL 3.0 هم پشتيباني مي‌كنند. به همين دليل براي مرورگرها ساده‌تر است كه پشتيباني SSL 3.0 را حذف كنند تا اينكه براي پيكربندي مجدد منتظر صدها هزار سرور بمانند.
به گزارش يك مهندس امنيتي گوگل، كروم 39 كه اكنون نسخه بتاي آن عرضه شده و در چند هفته آينده ارائه خواهد شد، ديگر از بازگشت به SSL 3.0 پشتيباني نخواهد كرد تا مهاجمان اجازه تنزل از TLS به SSL 3.0 را نداشته باشند.
همچنين برنامه‌ريزي شده است كه در كروم 40 نيز SSL 3.0 به طور كلي غيرفعال گردد.