شماره: IRCNE2014072266
تاريخ: 93/5/4

شركت امنيتي Hoax-Slayer در مورد يك ايميل سرقت هويت جديد كه كاربران LinkedIn را هدف قرار داده است هشدار داد. اين تهديد سعي مي‌كند دريافت كننده را با پيغامي مبني بر غيرفعال شدن حساب LinkedIn وي به علت عدم فعاليت، به كليك بر روي لينكي ترغيب كند.
اين ايميل سرقت هويت تصريح مي‌كند كه براي اينكه سرويس‌هاي آنلاين مربوط به LinkedIn شما دچار اختلال نگردند، بايد به حساب خود وارد شويد تا بدين وسيله اين آدرس ايميل را تأييد نماييد.
دريافت كنندگاني كه بر روي لينك داخل ايميل كليك مي‌كنند، به يك صفحه لاگين جعلي مشابه صفحه لاگين LinkedIn منتقل مي‌شوند كه براي اين طراحي شده است كه آدرس‌هاي ايميل و كلمات عبور كاربران را جمع‌آوري نمايد.
استفاده از عنوان «به روز رساني اطلاعات كاربري"، فريب مورد علاقه بسياري از مجرمان سايبري است. در مورد هر پيغام اينچنيني محتاط باشيد. درصورت دريافت چنين پيغامي، بر روي هيچ لينكي كليك نكنيد و فايل‌هاي پيوست آن ايميل را باز نكنيد.
كاربران LinkedIn بايد در مورد ايميل‌هايي كه ادعاي ارسال شدن از طرف اين شركت را دارند محتاط باشند. LinkedIn يك منبع غني از اطلاعات شخصي است كه مي‌تواند بعداً براي حملات مهندسي اجتماعي مورد سوء استفاده قرار گيرد.

شماره: IRCNE2014072259
تاريخ: 93/04/30

يك شركت امنيتي اظهار داشت كه يك مشكل بحراني طراحي در اكتيو دايركتوري مايكروسافت وجود دارد كه باعث مي شود مهاجم بتواند رمز عبور شبكه كاربر را تغيير دهد اما شركت مايكروسافت اين ادعا را رد كرد و اعلام كرد اين مساله قبلا شناسايي شده است و راه حل هاي برطرف كردن آن نيز موجود است.
محققان اين شركت بر روي پروتكلNTLM متمركز شده اند. پروتكل NTLM يك پروتكل تاييد هويت است كه تمامي نسخه هاي ويندوز پيش از ويندوز XP SP3 به طور پيش فرض از آن استفاده مي كنند و نسخه هاي جديد ويندوز نيز در تركيب با Kerberos با اين پروتكل سازگار است.
اين پروتكل نسبت به حملات دور زدن الگوريتم درهم ساز آسيب پذير است. در اين حملات مهاجم اعتبارنامه هاي ورودي را بدست مي آورد و با استفاده از محاسبات رياضي اين اعتبارنامه ها (الگوريتم درهم ساز) مي تواند به سرويس ها و رايانه هاي ديگر دسترسي يابد.
حملات دور زدن الگوريتم درهم ساز يك ضعف قديمي در سيستم هاي SSO مي باشد. سيستم عامل هاي ديگري كه از SSO استفاده مي نمايند نيز تحت تاثير اين حملات قرار دارند.
غيرفعال كردن SSO اين مشكل را برطرف مي كند اما مستلزم آن است كه كاربر شبكه براي دسترسي به هر سيستمي بايد هر بار رمز عبور خود را وارد نمايد.
اگرچه برخي شركت ها استفاده از پروتكل NTLM را محدود كرده اند اما مهاجم مي تواند كلاينت را مجبور نمايد تا با استفاده از يك پروتكل ضعيف مانند RC4-HMAC كه از درهم ساز NTLM استفاده مي كند، در اكتيو دايركتوري تاييد هويت شود. سپس درهم ساز NTLM توسط Kerberos پذيرفته مي شود و يك تيكت تاييد هويت تازه را منتشر مي كند.
شركت مايكروسافت پروتكل Kerberos را به منظور فرار از مشكلات امنيتي NTLM پياده سازي كرد اما اين پروتكل با RC4-HMAC كار مي كند كه اجازه سازگاري با سيستم هاي قديمي را مي دهد. شركت مايكروسافت اعلام كر د كه مشكلات مربوط به NTLM در گزارش فني سال 2012 تاييد شده است.
در ماه مي، شركت مايكروسافت اصلاحيه اي براي اين مشكل منتشر كرد. هم چنين اين شركت به سازمان ها توصيه كرد تا از كارت هاي هوشمند استفاده نمايند يا پشتيباني از Kerberos RC4-HMAC را بر روي تمامي كنترل كننده هاي دامنه غيرفعال نمايند. اما به نظر مي رسد كه اين راه حل يك راه حل عملياتي نيست.

شماره: IRCNE2014072260
تاريخ: 93/4/30

به گزارش كسپراسكاي، حملات سرقت هويت از داخل فيس‌بوك از نقطه اوج خود در سال 2013 پايين آمده‌اند، اما همچنان يك حمله از هر ده حمله از اين نوع را تشكيل مي‌دهند.
تحليل اخير اين شركت كه نمودارهاي مربوط به سه‌ماهه اول سال 2014 را بررسي كرده است نشان مي‌دهد كه حملات سرقت هويت از داخل فيس‌بوك كمتر از 11 درصد از كل حملات سرقت هويت را تشكيل مي‌دهد و اين سايت را پس از ياهو كه منبع اصلي اين حملات است قرار مي‌دهد. فيس‌بوك در سراسر سال 2013 به طور ميانگين منبع 22 درصد از حملات سرقت هويت بود كه اين ميزان در سال جاري به نصف رسيده است.
حجم حملات براي كاربراني كه از كسپراسكاي استفاده مي‌كنند حدود 20 هزار در روز است و به مدت يك هفته در اوايل سال 2014 اين ميزان به 120 هزار حمله در روز رسيده بود. اين ميزان در برابر تعداد 1.2 ميلياردي حساب‌هاي فيس‌يوك ناچيز به نظر مي‌آيد، اما اين عدد فقط مربوط به كاربراني است كه از محصولات كسپراسكاي استفاده مي‌كنند و عدد اصلي قطعاً بالاتر خواهد بود.
اغلب موارد سرقت هويت كه توسط كسپراسكاي مسدود شده‌اند در ايالات متحده اتفاق افتاده‌اند (حدود 7500 مورد در روز)، پس از آن با فاصله زياد آلمان و كانادا قرار دارند. البته بايد تعداد كاربران كسپراسكاي در هريك از اين كشورها و نيز ميزان محبوبيت فيس‌بوك در آنها نيز در نظر گرفته شود.
همچنين در كشورهاي مختلف تمايل كلي كاربران به باز كردن يك لينك مشكوك كم و زياد مي‌شود. به گزارش كسپراسكاي، در هندوستان حدوداً از هر 5 كاربر يك نفر لينك‌هاي سرقت هويت فيس‌بوك را دنبال مي‌كنند. اين تعداد در ايالات متحده از هر ده نفر يك نفر و در روسيه از هر صد نفر يك يا دو نفر است.

Number: IRCNE2014072259
Date: 2014-07-20

According to “techworld”, Microsoft's widely used software for brokering network access has a critical design flaw, an Israeli security firm said, but Microsoft contends the issue has been long-known and defenses are in place.
The company's research focuses on NTLM, an authentication protocol that Microsoft has been trying to phase out for years. All Windows versions older than Windows XP SP3 used NTLM as a default, and newer Windows versions are compatible with it in combination with its successor, Kerberos.
NTLM is vulnerable to a so-called "pass-the-hash" attack in which an attacker obtains the login credentials for a computer and can use the mathematical representation of those credentials -- called a hash -- to access other services or computers.
The pass-the-hash attack is a long-known weakness around single sign-on systems (SSO) since the hash must be stored somewhere on a system for some amount of time. Other operating systems that accommodate SSO are also affected by the threat.
Disabling SSO would solve the problem, but it would also mean that users on a network would have to repeatedly enter their password in order to access other systems, which is inconvenient.
Although some enterprises try to limit the use of the NTLM protocol in favor of Kerberos, an attacker can force a client to authenticate to Active Directory using a weaker encryption protocol, RC4-HMAC, that uses the NTLM hash. That NTLM hash is then accepted by Kerberos, which issues a fresh authentication ticket.
Microsoft implemented Kerberos in order to move away from some of NTLM's security issues, but Kerberos works with RC4-HMAC to allow for compatibility with older systems.
The company couldn't immediately be reached for comment, but it acknowledged weaknesses in NTLM in a 2012 technical paper.
In May, Microsoft released a patch which contained improvements that make it harder to steal NTLM hashes. The company has also suggested that organizations use smart cards or disable Kerberos RC4-HMAC support on all domain controllers, but it is possible that could break some functionality.

ID: IRCNE2014072260
Date: 2014-07-20

According to “TechWorld”, Phishing attacks from inside Facebook have fallen back from the historic peak of 2013 but still constitute 1 in 10 of all attacks of this type blocked by Kaspersky’s security software, the firm has reported.
The firm's latest analysis compares the figures for Q1 2014, which show blocks running at just under 11 percent, putting it behind the Yahoo, now the main source. That compares with the Facebook average of 22 percent of blocks for the whole of 2013, which means blocks have halved since last year.
The volume of attacks for users running Kaspersky was now around 20,000 per day, with a one-week surge in early 2014 reaching 120,000 per day. This sounds small next to the 1.2 billion Facebook accounts but this is only one security firm's measurement - anyone using another security product or nothing at all will obviously not show up.
As it happens, most blocks – up to 7,500 - happened in the US, followed distantly by Germany and Canada; Russia barely reached the 1,000 per day level although we should factor in the number of users Kaspersky has in each of these markets as well as Facebook’s relative popularity.
It is also the Case that users in some countries are more or less likely to follow a suspect link, triggering the protection. According to Kaspersky, around one in five users in India (as a percentage of its user base there) followed Facebook phishing links, compared to one in ten in the US and an extraordinarly low one or two in a hundred in Russia.

شماره: IRCNE2014072258
تاريخ: 93/04/29

يك آسيب پذيري جديد در پلاگين WPTouch وردپرس، پلاگين هاي دانلود شده فعال كه توسط ميليون ها كاربر وردپرس استفاده مي شود را تحت تاثير قرار مي دهد.
از ماه مي، شركت امنيتي Sucuri چندين حفره امنيتي جدي را در پلاگين هاي ورد پرس شناسايي كرده است. اگر شما كاربر وردپرس هستيد . از پلاگين ها آن استفاده مي كنيد، بهتر است در اسرع وقت آن ها را به روز رساني نماييد.
تمامي آسيب پذيري ها در نسخه هاي جديد هر پلاگين اصلاح شده اند. برخي از اين آسيب پذيري ها به مهاجم اجازه مي دهد تا از وب سايت شما به عنوان واسطي براي ارسال هرزنامه، ميزباني بدافزار و آلوده كردن وب سايت هاي ديگر استفاده نمايد.
به مديران شبكه توصيه مي شود تا پلاگين هاي وردپرس را به آخرين نسخه آن به روز رساني نمايند. آخرين نسخه پلاگين هاي آُسيب پذير عبارتند از: WPTouch نسخه 3.4.3،Disqus نسخه 2.77، All In One SEO Pack نسخه 2.2.1 و MailPoet Newsletters نسخه 2.6.9.
آخرين آسيب پذيري كشف شده در پلاگين WPTouch تلفن همراه، به مهاجمان اجازه مي دهد تا فايل هاي PHP مخرب را بدون نياز به حق دسترسي ادمين بر روي سرور هدف آپلود نمايند.
اين حفره امنيتي روز دوشنبه توسط شركت امنيتي Sucuri كشف شده است. محققان اظهار داشتند كه اين آسيب پذيري تنها نسخه هاي 3.x پلاگين WPtouch را تحت تاثير قرار مي دهد. ادمين هايي كه از نسخه هاي 2.x و 1.x اين پلاگين استفاده مي كنند، تحت تاثير قرار ندارند. هم چنين در صورتي مي توان از اين آسيب پذيري سوء استفاده كرد كه وب سايت شما به كاربران guest اجازه ثبت نام كردن بدهد.

شماره: IRCNE2014072257
تاريخ: 93/4/27

سيسكو افشا كرده است كه يك نقص امنيتي در وب سرور دروني بسياري از محصولات اين شركت، آنها را در برابر يك حمله سرريز بافر راه دور بدون نياز به احراز هويت آسيب‌پذير مي‌سازد كه مي‌تواند منجر به اجراي كد دلخواه گردد.
اين وب سرور ورودي‌ها را به طور مناسب اعتبارسنجي نمي‌كند. مهاجم مي‌تواند يك درخواست HTTP خاص به دستگاه ارسال كرده، دستگاه را دچار اختلال كرده و كد دلخواه خود را با حق دسترسي بالا اجرا نمايد.
در اين خصوص محصولات زير آسيب‌پذير هستند:

• مودم كابلي Cisco DPC3212 VoIP
• گيت‌وي خانگي بي‌سيم Cisco DPC3825 8x4 DOCSIS 3.0
• مودم كابلي Cisco Model DPC3010 DOCSIS 3.0 8x4
• گيت‌وي خانگي بي‌سيم Cisco Model DPC3925 8x4 DOCSIS 3.0 با EDVA
• مودم كابلي Cisco Model EPC3010 DOCSIS 3.0
• گيت‌وي خانگي بي‌سيم Cisco Model EPC3925 8x4 DOCSIS 3.0 با EDVA

بسياري از محصولات مشابه سيسكو تحت تأثير اين آسيب‌پذيري قرار ندارند. اين فهرست را مي‌توانيد در راهنمايي امنيتي اين شركت ملاحظه نماييد.
سيسكو به‌روز رساني‌هايي را براي ترميم اين آسيب‌پذيري عرضه كرده است، ولي بسياري از مشتريان قادر نيستند اين به‌روز رساني‌ها را به طور مستقيم اعمال نمايند. اين مشتريان بايد با تماس با ارائه دهنده سرويس خود متوجه شوند كه آيا به‌روز رساني‌ها اعمال شده‌اند يا خير. ساير مشتريان مي‌توانند به‌روز رساني‌ها را از طريق تماس با مركز كمك‌رساني فني سيسكو كه در راهنمايي امنيتي اين شركت آمده است به دست آورند.
گردش كاري شناخته شده‌اي براي اين آسيب‌پذيري وجود ندارد.

Number: IRCNE2014072258
Date: 2014-07-20

According to “zdnet”, a new vulnerability in WordPress plugin WPTouch highlights a series of recent discoveries that critically affect active plugins downloaded and used by millions of WordPress bloggers.
Since May, security company Sucuri has found serious security holes in WordPress plugins. If you're a WordPress user and you're running any of these plugins, you'd better update them right away.
All vulnerabilities have been patched in new versions of each plugin. The various vulns can allow an attacker to use your website for phishing lures, to send SPAM, to make you an unwitting malware host, infect other sites (on a shared server), and more.
If you're admin on a WordPress install, check to see that you have the following current versions of each affected plugin:

• WPTouch (3.4.3)
• Disqus (2.77)
• All In One SEO Pack (2.2.1)
• MailPoet Newsletters (2.6.9)

The most recent vulnerability is in mobile plugin WPTouch, allowing attackers to upload malicious PHP files or backdoors to the target server without needing admin privileges.
The security hole found by Sucuri on Monday. The researchers specified, "This disclosure only applies to 3.x versions of WPtouch. Administrators using 2.x and 1.x versions of the plugin will not be affected by the vulnerability."
Sucuri also noted, "this vulnerability can only be triggered if your website allows guest users to register."

ID: IRCNE2014072257
Date: 2014-07-18

According to "ZDNet", Cisco has disclosed that a bug in the internal web server in several of its residential products leaves them vulnerable to an unauthenticated, remote buffer overflow that could allow arbitrary code execution.
The web server fails to validate inputs properly. An attacker could send a particular HTTP request to the device, crash the device and run arbitrary code with elevated privileges.
The following products are vulnerable

• Cisco DPC3212 VoIP Cable Modem
• Cisco DPC3825 8x4 DOCSIS 3.0 Wireless Residential Gateway
• Cisco Model DPC3010 DOCSIS 3.0 8x4 Cable Modem
• Cisco Model DPC3925 8x4 DOCSIS 3.0 with Wireless Residential Gateway with EDVA
• Cisco Model EPC3010 DOCSIS 3.0 Cable Modem

Many similar Cisco products are not affected. See the list in the advisory.
Cisco has released updates to fix the vulnerability, but many customers cannot apply the updates directly. Such customers must contact their service provider to determine if the updated software is applied. Other customers, with or without a service contract, can obtain updates by contacting the Cisco Technical Assistance Center (TAC) using the contact information in the advisory.
There are no known workarounds for the vulnerability.

شماره: IRCNE2014072256
تاريخ: 24/04/93

شركت اوراكل مجموعه اي از به روز رساني ها را براي نسخه هاي مختلف 44 محصول اين شركت منتشر كرد. اين به روز رساني ها 113 آسيب پذيري را در 100 نسخه از محصولات اوراكل برطرف كرده است.
اصلي ترين محصولاتي كه اين اصلاحيه ها را دريافت مي كنند عبارتند از: Oracle Database Server ( پنج آسيب پذيري)، Oracle Fusion Middleware (29 آسيب پذيري)، Oracle Hyperion ( هفت آسيب پذيري)، Oracle E-Business Suite (پنج آسيب پذيري)، Oracle PeopleSoft (پنج آسيب پذيري)، Oracle Siebel CRM ( شش آسيب پذيري)، Oracle MySQL Executive ( 10 آسيب پذيري)، Oracle Solaris ( چهار آسيب پذيري) و Oracle Java (20 آسيب پذيري). بسياري از اين آسيب پذيري ها جدي مي باشند و مي توانند براي به خطر انداختن سيستم ها از راه دور مورد سوء استفاده قرار بگيرند.
شركت اوراكل به مشتريان خود توصيه مي كند تا در اسرع وقت تمامي به روز رساني ها را اعمال نمايند.
بيشترين آسيب پذيري در Oracle Fusion Middleware برطرف شده است. از 29 آسيب پذيري اصلاح شده، 27 آسيب پذيري مي تواند از راه دور و بدون تاييد هويت مورد سوء استفاده قرار بگيرد. ممكن است از اين آُسيب پذيري ها بر روي شبكه و بدون نياز به نام كاربري و رمز عبور بتوان سوء استفاده كرد.
محصولات ديگر كه بيشترين آسيب پذيري از راه دور را دارند عبارتند از: Java ( 20 آسيب پذيري)، Oracle Siebel CRM ( چهار آسيب پذيري) و محصولات Oracle Virtualization ( هشت آسيب پذيري) شامل Oracle Secure Global Desktop، Sun Ray و Oracle VM VirtualBox.