شماره: IRCNE2014072252
تاريخ: 22/4/93

مايكروسافت يك راهنمايي امنيتي با عنوان «Improperly Issued Digital Certificates Could Allow Spoofing» منتشر كرده است تا موضع خود را در قبال گواهينامه‌هاي جعلي صادر شده توسط مركز اطلاعات ملي هند مشخص نمايد.
مركز صدور گواهي ديجيتال متعلق به مركز اطلاعات ملي هند، تعدادي دامنه متعلق به گوگل را صادر كرده است كه درصورتي‌كه برنامه‌اي به اين گواهينامه‌ها اعتماد كند، پتانسيل حملات كلاهبرداري و man-in-the-middle را ايجاد مي‌نمايند. گوگل اعلام كرد كه اين گواهينامه‌ها مورد اعتماد محصولات اين شركت نيستند، اما اين موضوع در مورد محصولات مايكروسافت صحيح نيست.
مايكروسافت در راهنمايي امنيتي خود نوشته است كه ليست گواهينامه‌هاي قابل اعتماد خود را براي تمامي نسخه‌هاي پشتيباني شده ويندوز به‌روز رساني كرده است و گواهينامه‌هاي مذكور را از آن حذف كرده است. قطعاً اين بدان معناست كه كاربران ويندوز XP اين تغييرات را دريافت نخواهند كرد.
يك به‌روز رسان خودكار براي سيستم‌هايي كه از ويندوز 8، ويندوز 8.1، ويندوز RT، ويندوز RT 8.1، ويندوز سرور 2012، ويندوز سرور 2012 R2، ويندوز فون 8 يا ويندوز فون 8.1 استفاده مي‌كنند، اين تغييرات را اعمال خواهد كرد. براي كاربراني كه از ويندوز ويستا، ويندوز 7، ويندوز سرور 2008 يا ويندوز سرور 2008 R2 نيز يك به‌روز رسان خودكار سال پيش ارائه شده بود كه اين كار را انجام مي‌دهد.
كاربراني كه اين به‌روز رسان را نصب نكرده‌اند بايد از دستورات ارائه شده در راهنمايي امنيتي مايكروسافت پيروي كنند.
اين راهنمايي امنيتي فهرست دامنه‌هايي كه به اين شكل صادر شده‌اند را منتشر كرده است. 17 دامنه متعلق به گوگل شامل google.com، m.gmail.com و gstatic.com از آن جمله است. همچنين 27 دامنه متعلق به ياهو است كه از آن جمله مي‌توان به mail.yahoo.com، profile.yahoo.com و me.yahoo.com اشاره كرد.
به‌روز رساني خبر:
كاربراني كه به روز رساني خودكار سيستم آنها فعال نيست، مي توانند با استفاده از دو لينك زير، به روزرساني هاي مرتبط با سيستم عامل خود را دريافت نمايند.

https://support.microsoft.com/kb/2813430
https://support.microsoft.com/kb/2677070

لازم به ذكر است كاربراني كه از ويندوز سرور نسخه 2003 استفاده مي نمايند، در حال حاضر هيچگونه به روز رساني براي اين سيستم عامل ارايه نشده است.
به منظور اطمينان از نصب و به روزرساني موفقيت آميز گواهينامه هاي سرقت شده، در سيستمهايي كه از ويژگي به روزرساني خودكار استفاده مي نمايند، مي توانيد با مراجعه به لاگ مربوط به برنامه كاربردي در event viewer ، خروجي زير را بررسي نماييد.

Source: CAPI2
Level: Information
Event ID: 4112
Description: Successful auto update of disallowed certificate list with effective date: Thursday, July 3, 2014 (or later).

همچنين در سيستمهايي كه داراي ويژگي به روزرساني خودكار نمي باشند، كنسول Certificates MMC snap-in لاگ مربوط به اضافه شدن گواهي سرقت شده در فهرست گواهي هاي نامعتبر را نمايش مي دهد:

Certificate
Issued by
Thumbprint

NIC Certifying Authority
CCA India 2007
‎48 22 82 4e ce 7e d1 45 0c 03 9a a0 77 dc 1f 8a e3 48 9b bf

NIC CA 2011
CCA India 2011
‎c6 79 64 90 cd ee aa b3 1a ed 79 87 52 ec d0 03 e6 86 6c b2

NIC CA 2014
CCA India 2014
‎d2 db f7 18 23 b2 b8 e7 8f 59 58 09 61 50 bf cb 97 cc 38 8a

ID: IRCNE2014072252
Date: 2014-07-13

According to “ZDNet”, Microsoft has issued a security advisory entitled "Improperly Issued Digital Certificates Could Allow Spoofing" to announce its countermeasures to the release of false domains by the certificate authority of the National Informatics Centre (NIC), an agency of the government of India.
We first wrote of these events yesterday following Google's response to them. For reasons still unexplained, the NIC's CA issued a number of domains that belonged to Google, creating the potential for spoofing and man-in-the-middle attacks if a program trusted the certificates. Google explained that its own products did not trust the Government of India Controller of Certifying Authorities (CCA), under which the NIC operates subordinate CAs. But, they noted, Microsoft's Trusted Root Store did include the CCA.
The Microsoft advisory repeats that the root store had trusted the NIC subordinate CAs and thanks Adam Langley and the Google Chrome Security Team for informing them of it.
It adds that they have updated "...the Certificate Trust list (CTL) for all supported releases of Microsoft Windows to remove the trust of certificates that are causing this issue." Note that this would indicate that Windows XP users will not receive the change.
For systems and devices running Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows Phone 8 or Windows Phone 8.1, an automatic updater is included which will apply this change. For users running Windows Vista, Windows 7, Windows Server 2008, or Windows Server 2008 R2, an automatic updater was provided last year, which will do the same.
Users who have not installed the updater should follow instructions in the advisory.
The advisory lists the domains that were improperly issued. There are 17 Google domains, including google.com, m.gmail.com and gstatic.com. There are 27 Yahoo domains, including mail.yahoo.com, profile.yahoo.com and me.yahoo.com. Finally, static.com, a cloud PaaS (Platform as a Service) is included. (Since Google domains ending in gstatic.com were included, static.com may be an error on someone's part.)

شماره: IRCNE2014072251
تاريخ: 21/04/93

با توجه به يافته هاي محققان، ممكن است اطلاعات كاربران اپل كه بر روي دستگاه هاي تلفن همراه خود از سرويس جي ميل استفاده مي كنند در معرض خطر قرار گيرند.
Avi Bashan، مدير امنيت اطلاعات از Lacoon Mobile Security گفت: دليل اين مشكل عدم پياده سازي فناوري امنيتي توسط گوگل است. اين فناوري امنيتي مانع مشاهده و تغيير ارتباطات رمزگذاري شده بين كاربر و گوگل توسط مهاجم مي شود.
وب سايت ها براي رمزگذاري ترافيك داده هايي كه از پروتكل هاي SSL/TLS استفاده مي كنند، از گواهينامه هاي ديجيتالي استفاده مي كنند. اما در برخي موارد اين گواهينامه ها مي توانند توسط مهاجمان جعل شوند و در نتيجه مي توانند ترافيك مورد نظر را مشاهده كرده و آن را رمزگشايي كنند. اين تهديد مي تواند از طريق گواهينامه "pinning" از بين برود.
برخلاف اندرويد، گوگل اين كار را براي iOS انجام نداده است و اين بدان معناست كه يك مهاجم مي تواند حملات MitM را اجرا كند و ارتباطات رمزگذاري شده را بخواند. گوگل اين مشكل را تاييد كرده است اما هم چنان آن را برطرف نكرده است.
مشخص نيست كه چرا گوگل از گواهينامه “pinning” براي iOS استفاده نكرده است. اما حدود سه سال پيش يك مهندس امنيت گوگل كه بر روي اين قبيل مسائل امنيتي كار مي كرد سناريويي را مطرح كرد كه مديريت گواهينامه هاي ديجيتال بسيار پيجيده است.
Lacoon سناريوي حمله اي را توضيح مي دهد كه مهاجم كاربر را به گونه اي فريب مي دهد تا يك فايل مديريت پيكربندي دستگاه iOS كه حاوي يك گواهينامه ديجيتال root مخرب است را نصب نمايد. اين گواهينامه يك گواهينامه جعلي مي باشد كه به كاربر اجازه مي دهد تا به سايت جعلي جي ميل متصل شود.
Bashan نوشت: ما از اين يافته ها تعجب كرديم زيرا گوگل اين گواهينامه ها را براي دستگاه هاي اندرويد پياده سازي كرده است اما اين امكان وجود دارد كه عدم پياده سازي اين گواهينامه ها براي iOS يك اشتباه بوده است.

شماره: IRCNE2014072250
تاريخ: 21/4/93

هفته گذشته گوگل از صدور دامنه‌هاي جعلي گوگل توسط مؤسسه اطلاعات ملي (NIC) هند آگاه شد كه چندين گواهينامه CA مورد اعتماد مركز صدور گواهينامه هند (CCA) را در اختيار دارد.
به گفته يك مهندس ارشد گوگل، كاربران كروم و ساير محصولات گوگل در معرض خطر كلاهبرداري توسط اين دامنه‌ها قرار ندارند. ولي مركز صدور گواهينامه‌هاي هند مورد اعتماد مايكروسافت است و اين بدان معناست كه اغلب برنامه‌هاي ويندوز كه از SSL استفاده مي‌كنند، به شكل پيش‌فرض به اين گواهينامه‌ها اعتماد مي‌نمايند.
گوگل بلافاصله به مركز اطلاعات ملي و مركز صدور گواهينامه‌هاي هند و همچنين به مايكروسافت اطلاع‌رساني كرده است. مايكروسافت گواهينامه مركز اطلاعات ملي هند را ابطال كرده است. مركز صدور گواهينامه‌هاي هند اطلاعيه‌اي در وب‌سايت خود قرار داده است و در آن اعلام كرده است كه بنا بر مسائل امنيتي، 3 گواهينامه CA صادر شده براي NICCA به حالت تعليق درآمده‌اند و CRL هاي مرتبط به همين منظور به روز رساني شده‌اند.
به اين ترتيب مركز اطلاعات ملي هند و گواهينامه‌هاي صادر شده توسط آن اكنون غير قابل اعتماد هستند.
گواهينامه‌هاي مركز صدور گواهينامه‌هاي هند جزو گواهينامه‌هاي مورد اعتماد اپل، فايرفاكس، كروم و اندرويد نبوده‌اند. كاربران كروم سيستم‌هاي ويندوز به شكل پيش‌فرض توسط certificate pinning كه به طور خاص دامنه‌هاي گوگل را تحت حفاظت قرار مي‌دهد، محافظت شده هستند. گوگل همچنين CRLSet ها را براي مسدود كردن دامنه‌هاي مشكل‌دار به‌روز رساني كرده است.

شماره: IRCNE2014072249
تاريخ: 21/04/93

كاربران سيستم هاي مكينتاش كه از سافاري استفاده مي كنند نمي توانند به سايت هايي كه از ادوب فلش استفاده مي كنند دسترسي يابند مگر آن كه پلاگين هاي فلش پلير را به روز رساني نمايند.
در راهنمايي امنيتي كه روز پنج شنبه منتشر شد، شركت اپل اعلام كرد كه كاربراني كه از نسخه هاي به روز نشده فلش براي مشاهده فايل هاي فلش در سافاري استفاده مي كنند با پيام هايي شامل "پلاگين مسدود است"، "هشدار امنيتي فلش" و "فلش به روز نشده" مواجه مي شوند و قادر نخواهند بود محتوي مورد نظر را مشاهده كنند.
روز سه شنبه شركت ادوب يك به روز رساني بحراني براي فلش پلير منتشر كرد تا يك حفره امنيتي را برطرف نمايند كه ميتواند به هكرها اجازه دهد تا كوكي هايي را كه براي تاييد هويت كاربران بر روي وب سايت هاي محبوب استفاده مي شوند را سرقت نمايند. اما بسياري از كاربران در اعمال به روز رساني ها سهل انگاري مي كنند در نتيجه اجبار آن ها براي اعمال اصلاحيه ها تنها راهي است كه اين مشكل را برطرف مي كند.
كاربران سافاري كه اين گيام را دريافت مي كنند مي توانند با كليك بر روي دكمه دانلود فلش نسبت به ارتقاء اين نرم افزار اقدام نمايند. كاربران فلش مي توانند براي دريافت اطلاعات بيشتر در خصوص به روز رساني هاي امنيتي و دريافت لينك هاي دانلود آخرين نسخه اين نرم افزار به صفحهAdobe's Security Bulletin مراجعه كنند.

شماره: IRCNE2014072248
تاريخ:21/04/93

مجرمان سايبري در تلاش هستند تا با تغييراتي در تروجان Gameover Zeusيك بات نت جديد را راه اندازي نمايند. تروجان Gameover برنامه پيچيده اي بود كه زيرساخت كنترل و فرمان آن اوايل ماه ژوئن غيرفعال شد.
بدافزار Gameover براي سرقت اعتبارنامه هاي لاگين و هم چنين سرقت اطلاعات شخصي و مالي كاربران هنگام دسترسي آن ها به وب سايت هاي بانكي و ساير وب سايت هاي محبوب طراحي شده است.
از كار انداختن بات نت اصلي نياز به روش هاي خاص و كمك شركت هاي امنيتي داشت. زيرا برخلاف بسياري از برنامه هاي تروجان كه براي كنترل كردن و فرمان دادن از تعداد محدودي سرور و نام دامنه استفاده مي كنند، تروجان Gameover داراي معماري نظير به نظير بود و به رايانه هاي آلوده اجازه مي داد تا يكديگر را به روز رساني نمايند.
اين بدافزار نيز داراي يك مكانيزم پشتيبان بود كه مبتني بر الگوريتم نام دامنه طراحي شده بود و اطمينان مي داد كه رايانه ها مي توانند دستورات را حتي زماني كه از شبكه نظير به نظير جدا مي شوند، مي توانند دريافت كنند. از طريق اين مكانيزم، بدافزار در زماني خاص نام هاي دامنه تصادفي را توليد مي كند و سعي مي كند تا به آن دسترسي يابد. هكرها قادر مي باشند تا پيش بيني كنند كه بات ها چه نام دامنه هايي را توليد مي كنند و مي توانند يكي از آن دامنه ها را براي انتشار دستورات ثبت كنند.
روز پنج شنبه و تنها يك ماه پس از غيرفعال شدن بات نت Gameover Zeus، محققان Malcovery Security چندين پست الكترونيكي هرزنامه اي كه يك برنامه تروجان را منتشر مي كرد كشف كردند. به نظر مي رسد كه اين بدافزار بر اساس تروجان Gameover Zeus طراحي شده است.
محققان Malcovery به همراه FBI و Dell SecureWorks تاييد كردند كه بات نت اصلي Gameover Zeus هم چنان خاموش است.
علاوه بر شباهت هايي كه در DGA اين بدافزار و تروجان Gameover Zeus وجود دارد، فهرست URLها و رشته هايي كه توسط برنامه بدافزاري جديد استفاده مي شود نيز همانند تروجان Gameover Zeus مي باشد.
اكتشافات اخير نشان مي دهد كه مجرماني كه مسئول توزيع بات نت Gameover Zeus بودند قصد تسليم شدن ندارند و مي خواهند اين بات نت را به شيوه ديگري فعال نمايند.

شماره: IRCNE2014072247
تاريخ: 21/04/93

شركت اوراكل قصد دارد تا براي اصلاح آسيب پذيري هايي كه برخي از محصولات اين شركت را تحت تاثير قرار مي دهد، 115 اصلاحيه امنيتي منتشر كند. اين محصولات شامل پايگاه داده flagship، Java SE، Fusion Middleware و برنامه هاي كاربردي كسب و كار مي شود.
اين به روز رساني ها شامل برطرف كننده هايي براي 20 ضعف در Java SE مي شود كه تمامي آن ها مي توانند توسط مهاجم راه دور بدون نياز به اعتبارنامه هاي لاگين مورد سوء استفاده قرار گيرند.
29 اصلاحيه مربوط به بسته Fusion Middleware اوراكل مي باشد كه مي توانند بدون نياز به تاييد هويت بر روي شبكه مورد سوء استفاده قرار بگيرد. مولفه هايي كه از Fusion Middleware تحت تاثير قرار مي گيرد شامل BI Publisher، GlassFish Server، HTTP Server، JDeveloper، WebCenter Portal و WebLogic Server مي باشد.
شش اصلاحيه نيز مربوط به پايگاه داده اوراكل مي شود كه دو آسيب پذيري مي توانند از راه دور و بدون نياز به اعتبارنامه هاي لاگين مورد سوء استفاده قرار بگيرد. و هفت اصلاحيه ديگر آسيب پذيري هاي Hyperion را برطرف مي كند.
اين به روز رساني هايي نيز شامل برطرف كننده هايي براي ضعف هاي امنيتي برخي برنامه هاي كاربردي اوراكل از جكله E-Business Suite، Siebel CRM، PeopleSoft، Oracle Retail Applications و Primavera مي باشد.
Oracle Virtualization نيز 15 اصلاحيه دريافت خواهد كرد كه هشت آسيب پذيري مي توانند بر روي اينترنت و بدون نياز به اعتبارنامه هاي لاگين مورد سوء استفاده قرار گيرد. در نهايت، 10 اصلاحيه براي MySQL منتشر خواهد شد.

ID: IRCNE2014072250
Date: 2014-07-12

According to “ZDNet”, Last week Google became aware of fake Google domains issued by the National Informatics Centre (NIC) of India, which holds several intermediate CA certificates trusted by the Indian Controller of Certifying Authorities (India CCA).
According to Google security engineer Adam Langley, users of Chrome and other Google products were not in danger of being spoofed by these domains. But the India CCA is included in the Microsoft trusted root store, which means that most Windows programs that use SSL would, by default, trust the certificates.
Google immediately notified the Indian NIC and CCA as well as Microsoft. Microsoft has revoked the NIC's certificate. A notice on the India CCA home page says "Due to security reasons 3 CA Certificates issued to NICCA have been suspended and the corresponding CRLs have been updated for this purpose. Further updation [sic] will be notified."
Langley goes on to describe the additional TLS/SSL security measures used by Google that protected users from these certificates. As a result, illustrated in the error messages below, the NIC and certificates issued by it are now untrusted.
The India CCA certificates were not in the other major trusted root stores (Apple, Firefox, Chrome OS, and Android), so those systems did not trust them to begin with. Chrome users on Windows were protected by default by certificate pinning, which specifically protects Google domains. Google has also updated their CRLSets to block the false domains.

Number: IRCNE2014072249
Date: 2014-07-12

According to “cnet”, Mac users who browse the Web via Safari won't be able to access Adobe Flash-enabled sites unless they upgrade their Flash Player.
In an advisory issued Thursday, Apple said that people with out-of-date versions of Flash who try to view Flash content in Safari may see an error message such as "Blocked plug-in," "Flash Security Alert," or "Flash out-of-date," preventing them from viewing the content.
On Tuesday, Adobe issued a critical update for Flash Player to fix a security hole that could allow hackers to steal the cookies used to authenticate users on many popular websites. But people can be lax about updating their software, so sometimes forcing a security update is the only way to keep us from running into trouble.
Safari users who receive a message about Flash being out of date can click the Download Flash button to upgrade to the latest version. Flash users can learn more about the security update and find download links to the latest version at Adobe's Security Bulletin page for this issue.

Number: IRCNE2014072248
Date: 2014-07-12

According to “computerworld”, cybercriminals are trying to create a new botnet based on what is likely a modification of Gameover Zeus, a sophisticated Trojan program whose command-and-control infrastructure was taken over by law enforcement agencies at the beginning of June.
The Gameover Zeus malware is designed to steal log-in credentials, as well as personal and financial information from users when they access banking and other popular websites.
Disrupting the original botnet required special techniques and the assistance of security vendors, because unlike most Trojan programs, which use a limited number of servers and domain names for command and control, Gameover had a peer-to-peer architecture that didn't offer a single point of failure and allowed infected computers to update each other.
The malware also had a backup mechanism that relied on a domain name generation algorithm (DGA) to ensure that computers can receive commands even when they got disconnected from the peer-to-peer network. Through this mechanism the malware generated random-looking domain names at certain time intervals and tried to access them. Attackers were able to predict which domain names the bots will generate on a certain day, and could register one of those domains in advance to issue commands.
On Thursday, more than a month after the takedown, researchers from Malcovery Security spotted several email spam campaigns distributing a Trojan program that appears to be heavily based on the Gameover Zeus binary.
"Malcovery analysts confirmed with the FBI and Dell SecureWorks that the original GameOver Zeus is still 'locked down'," the Malcovery researchers said Thursday in a blog post.
In addition to the DGA similarity, the list of URLs and strings used by the new Trojan program to decide what sites to target matches the one used by the old Gameover botnet.
"This discovery indicates that the criminals responsible for GameOver's distribution do not intend to give up on this botnet even after suffering one of the most expansive botnet takeovers/takedowns in history," the Malcovery researchers said.