شماره: IRCNE2014062221
تاريخ:28/03/93

شركت مايكروسافت يك به روز رساني براي تمامي محصولات ضد بدافزاري خود منتشر كرد تا يك مشكل انكار سرويس را در موتور آن ها اصلاح نمايد.
در راهنمايي امنيتي اين شركت آمده است كه زماني كه موتور اين محصولات يك فايل دستكاري شده خاص را اسكن مي كند، انكار سرويس اتفاق مي افتد. مشكلات انكار سرويس اغلب به عنوان مشكلات كم اهميت در نظر گرفته مي شوند اما در مورد اين مشكل، مهاجمي كه با موفقيت از اين آسيب پذيري سوء استفاده نمايد مي تواند مانع اسكن شدن سيستم هاي آلوده با ابزار Microsoft Malware Protection Engine شود تا زماني كه آن فايل دستكاري شده خاص به صورت دستي حذف شده و سرويس ضد بدافزار مجددا راه اندازي شود.
محصولات آسيب پذيري در هر دو نسخه كلاينت و سرور عبارت است از:

• Microsoft Forefront Client Security
• Microsoft Forefront Endpoint Protection 2010
• Microsoft Forefront Security for SharePoint Service Pack 3
• Microsoft System Center 2012 Endpoint Protection
• Microsoft System Center 2012 Endpoint Protection Service Pack 1
• Microsoft Malicious Software Removal Tool (May 2014 or earlier versions)
• Microsoft Security Essentials
• Microsoft Security Essentials Prerelease
• Windows Defender for Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2
• Windows Defender for Windows RT and Windows RT 8.1
• Windows Defender for Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2
• Windows Defender Offline
• Windows Intune Endpoint Protection

به روز رساني موتور ضد بدافزار مايكروسافت به صورت خودكار انجام مي گيرد در نتيجه نيازي نيست تا كاربران اقدامات خاصي انجام دهند.

Number: IRCNE2014092308
Date: 2014-09-08

According to “techworld”, a botnet that infects and exploits poorly-maintained Linux servers has been used to launch a spate of large DDoS attacks targeting DNS and other infrastructure, Akamai’s Prolexic division has warned.
Dubbed the ‘IptabLes and IptabLex botnet’ the attack target versions of Apache Struts and Tomcat, as well as some running Elasticsearch that have not been patched against a clutch of vulnerabilities.
Once compromised, the attack elevates privileges to allow remote control of the server from which the malicious code is dropped and run, after which it awaits direction by the bot’s command and control.
The bot had been used to launch a number of DDoS attacks during 2014, including a significant one that reached a peak of 119Gbps, on entertainment websites.
Corralling Linux servers for DDoS is a relatively new tactic and this particular campaign appeared to be in its early stages and prone to instability, Akamai said, urging admins to patch and harden vulnerable Linux servers as soon as possible.
"We have traced one of the most significant DDoS attack campaigns of 2014 to infection by IptabLes and IptabLex malware on Linux systems," said Akamai senior vice president and general manager, Security Business, Stuart Scholly.
"This is a significant cybersecurity development because the Linux operating system has not typically been used in DDoS botnets. Linux admins need to know about this threat to take action to protect their servers."

Number: IRCNE2014062221
Date: 2014-06-18

According to “zdnet”, Microsoft has issued an update to all their antimalware products to fix a denial of service bug in the engine they share.
The advisory describing the update and vulnerability says that the denial of service is invoked when the engine scans a specially-crafted file. Denial of service bugs are often considered less-serious, but with this one: "[a]n attacker who successfully exploited this vulnerability could prevent the Microsoft Malware Protection Engine from monitoring affected systems until the specially crafted file is manually removed and the service is restarted."

The affected products run on both clients and servers:

• Microsoft Forefront Client Security
• Microsoft Forefront Endpoint Protection 2010
• Microsoft Forefront Security for SharePoint Service Pack 3
• Microsoft System Center 2012 Endpoint Protection
• Microsoft System Center 2012 Endpoint Protection Service Pack 1
• Microsoft Malicious Software Removal Tool (May 2014 or earlier versions)
• Microsoft Security Essentials
• Microsoft Security Essentials Prerelease
• Windows Defender for Windows 8, Windows 8.1, Windows Server 2012, and Windows Server 2012 R2
• Windows Defender for Windows RT and Windows RT 8.1
• Windows Defender for Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2
• Windows Defender Offline
• Windows Intune Endpoint Protection

Updates to engines are typically deployed automatically, especially on consumer systems, so there is not likely any action that users need to take.

شماره: IRCNE2014062220
تاريخ:24/03/93

محققان امنيتي يك نوع جديدي از بدافزار بانكي را كشف كردند كه قابليت هاي آن مانند بدافزار بانكي زئوس مي باشد. اين بدافزار كه "Dyreza" يا "Dyre" ناميده مي شود از حملات MitM استفاده مي كند و به هكر اجازه مي دهد تا ترافيك وب رمز نشده را پيگيري كند در حالي كه كاربر تصور مي كند كه يك ارتباط امن با سايت بانكي خود برقرار كرده است.
اگرچه بدافزار Dyreza شباهت هايي با بدافزار رئوس دارد اما محققان براين باورند كه اين بدافزار يك نوع جديد از تروجان بانكي است و از كد منبع زئوس استفاده نمي كند.
در طول حمله اين بدافزار، كاربر فكر مي كند كه اعتبارنامه هاي تاييد شده آن براي بانك معتبر ارسال مي شود اما در واقع اين بدافزار ترافيك كاربر را به سمت سرورهاي خود هدايت مي كند. كاربر به اشتباه تصور مي كند كه از طريق SSL به سرور بانك معتبر متصل شده است.
اين بدافزار از طريق پيام هاي هرزنامه اي در حال انتشار است. اسكنر URL پيام هايي كه از دامنه هاي مشكوك ارسال مي شود را مسدود مي كند درنتيجه مهاجمان براي آن كه پيام هاي ارسالي آن ها مسدود نشود، اين بدافزار را بر روي يك دامنه معتبر ميزباني مي كنند.
به نظر مي رسد كه مهاجمان زيرساخت هاي ديگري را براي تسهيل انتقال پول از حساب قرباني در نظر گرفته اند.

شماره: IRCNE2014062219
تاريخ:24/03/93

تعدادي از وب سايت هاي معروف كه داده ها را با پروتكل SSL رمزگذاري مي كنند هم چنان نسبت به حفره اخير OpenSSL آسيب پذيري مي باشند. اين حفره به مهاجمان اجازه مي دهد تا ارتباطات را پيگيري و رمزگشايي نمايند.
روز پنجم ژوئيه، توسعه دهندگان كتابخانه رمزگذاري OpenSSL به منظور برطرف كردن چندين آسيب پذيري، به روز رساني هاي امنيتي فوري را منتشر كردند كه از جمله اين آسيب پذيري ها، آسيب پذيريCVE-2014-0224 است كه به مهاجمان اجازه مي دهد تا ارتباطات رمزگذاري شده را در موقعيتي خاص شنود نمايند.
پروتكل OpenSSL يكي از محبوب ترين كتابخانه هاي رمزگذاري براي پياده سازي SSL/TLS بر روي سرورهاي وب مي باشد.
به منظور سوء استفاده از آسيب پذيريCVE-2014-0224 براي رمزگشايي و تغيير ترافيك SSL، مهاجم بايد موقعيتي براي حمله"man-in-the-middle" بين كلاينت و سروري كه هر دو از OpenSSL استفاده مي كنند، داشته باشد. از آن گذشته سرور بايد در حال اجراي نسخه 1.0.1 از OpenSSL باشد.
با توجه به يافته هاي محققان حدود 14 درصد از سايت هايي كه توسط پروژه SSL Pulse مانتيور شده اند در حال اجراي نسخه هاي از OpenSSL مي باشند كه به حفرهCVE-2014-0224 آسيب پذير هستند.
پروژه SSL Pulse پياده سازي SSL را بر روي سايت هاي HTTPS مانيتور مي كند. اين سايت ها از بين فهرست 1 ميليون وب سايت پر بيننده كه توسط شركت Alexa تهيه شده، انتخاب شده است.
در اين ميان 36 درصد از وب سايت ها در حال اجراي نسخه 0.9.x و 1.0.0 بودند كه نسبت به اين حفره آسيب پذير مي باشند. اين سرورها بايد به نسخه هاي اصلاح شده به روز رساني شوند زيرا ممكن است هدف حملات مهاجمان قرار بگيرند.
خبر خوب آن است كه بيشتر مرورگر ها از OpenSSL استفاده نمي كنند و اين بدان معناست كه بيشتر كاربران مرورگر تحت تاثير اين آسيب پذيري قرار ندارند. با اين وجود، مرورگرهاي اندوريد از OpenSSL استفاده مي كنند و نسبت به اين حملات آسيب پذيري هستند. علاوه بر اين، بسياري از ابزارهاي خط فرمان و برنامه هاي شبيه سازي از OpenSSL استفاده مي كنند.

Number: IRCNE2014062220
Date: 2014-06-16

According to “techworld”, security researchers said they've spotted a new type of banking malware that rivals the capabilities of the infamous Zeus malware.
The malware, which is being called "Dyreza" or "Dyre," uses a man-in-the-middle attack that lets the hackers intercept unencrypted web traffic while users mistakenly think they have a secure connection with their online banking site.
Although Dyreza has similarities with Zeus, "we believe this is a new banker trojan family and not yet another offspring from the Zeus source code," according to a writeup by CSIS, a Danish security company.
During an attack by Dyreza, a user thinks their authentication credentials are going to a legitimate bank, but the malware actually redirects the traffic to their own servers, wroteRonnie Tokazowski, a senior researcher at PhishMe, another security company that has studied the attack. Users mistakenly think they have connected over SSL to their bank's server.
The malware is being distributed through spam messages. To help evade URL scanners that might block messages with known suspicious domains, the attackers have been hosting the malware on legitimate domains.
It appears the attackers have also set up other infrastructure to facilitate the transfer of money from victims' accounts.

Number: IRCNE2014062219
Date: 2014-06-16

According to “techworld”, some of the Internet's most visited websites that encrypt data with the SSL protocol are still susceptible to a recently announced vulnerability that could allow attackers to intercept and decrypt connections.
On June 5, developers of the widely used OpenSSL crypto library released emergency security patches to address several vulnerabilities, including one tracked as CVE-2014-0224 that could allow attackers to spy on encrypted connections if certain conditions are met.
OpenSSL is the most popular cryptographic library for implementing SSL/TLS support on Web servers.
In order to exploit CVE-2014-0224 to decrypt and modify SSL traffic, attackers would need to have a "man-in-the-middle" position between a client and a server that both use OpenSSL. Furthermore, the server would need to run an OpenSSL version from the 1.0.1 branch.
According to scans performed Thursday by Ivan Ristic, who runs the SSL Labs at security vendor Qualys, about 14 percent of sites monitored by the SSL Pulse project run a version of OpenSSL that allows exploiting the CVE-2014-0224 flaw.
The SSL Pulse project monitors the strength of SSL implementations on HTTPS-enabled sites from the list of top 1 million most visited sites as published by Internet statistics firm Alexa -- 154,406 sites as of June 2nd.
An additional 36 percent of websites from the SSL Pule data set run OpenSSL versions from the 0.9.x or 1.0.0 branches that also contain the flaw.
Those servers should be upgraded too because it's possible that there are other yet-to-be-discovered ways to exploit the problem, Ristic said in a blog post Friday.
"The good news is that most browsers don't rely on OpenSSL, which means that most browser users won't be affected," Ristic said. "However, Android browsers do use OpenSSL and are vulnerable to this attack. Additionally, many command-line and similar programmatic tools use OpenSSL.

شماره: IRCNE2014062209
تاريخ:17/03/93

بدافزار گروگان گير جديدي توسط محققان ESET كشف شده است كه قادر است فايل هاي ذخيره شده بر روي كارت حافظه SD دستگاه هاي اندرويد را رمزگذاري نمايد.
اين تهديد جديد با عنوان Android/Simplock.A شناسايي شده است. اين اولين گروگان گيري نيست كه براي دستگاه هاي اندرويد كشف مي شود اما اولين بدافزار گروگان گيري است كه مي تواند با رمزگذاري فايل ها، آن ها را به عنوان گروگان نگه دارد.
بدافزار Android/Simplock.A كارت SD را به منظور يافتنن فايل با هر پسوندي از تصوير، سند يا ويدئو از قبيل jpeg، jpg، gif، pdf ، doc، txt، avi،mkv ، 3gp ، mp4 اسكن مي كند و پس از يافتن فايل ها با استفاده از روش AES آن ها را رمزگذاري مي كند. اين بدافزار سپس پيامي را به زبان روسي مبني بر پرداخت 21.40 دلار از طريق سرويس MoneXy براي قرباني ارسال مي كند.
استفاده از رمزگذاري براي گروگان نگه داشتن فايل ها روشي است كه توسط نيوسندگان بدافزار Cryptolocker ايجاد شده است. Cryptolocker يك برنامه گروگان گير ويندوز است كه بيش از 250000 رايانه را در سه ماهه آخر سال 2013 آلوده كرد.
تهديد جديد در قالب يك برنامه با عنوان "Sex xionix" ظاهر مي شود اما اين برنامه در گوگل پلي وجود ندارد در نتيجه احتمال توزيع آن بسيار كم است. مساله جالب ديگر در رابطه با اين بدافزار آن است كه اين بدافزار از يك آدرس دامنه C&C با پسوند .onion استفاده مي كند. دامنه .onion تنها در درون شبكه Tor براي دسترسي به خدمات پنهان استفاده مي شود.

خبر تكميلي:
با وجود آنكه در اين نرم افزار مخرب، كدهاي مربوط به رمزگشايي فايل‌ها مشاهده مي شود اما گروه امنيتي ESET اعلام كرده‌اند كه هيچگونه تضميني وجود ندارد تا كلاه برداران كد رمزگشايي را براي قرباني ارسال كنند و به كاربران توصيه مي‌كند تا از تمامي فايل‌هاي گوشي خودbackup برداشته و از به روزرساني برنامه‌هاي غيرقابل اطمينان جلوگيري كنند.
براي محافظت از اين بدافزار، به روز رساني آنتي ويروس هاي مربوط به سيستم عامل اندرويد پيشنهاد مي گردد. اين نرم افزارهاي امنيتي قادر به شناسايي اين بدافزار بوده و سيستم را در مقابل اين حملات ايمن مي سازند.‎

شماره: IRCNE2014062217
تاريخ:24/03/93

محققان شركت امنيتي ترند ميكرو اطلاعاتي جديدي در خصوص بدافزار بانكي BKDR_VAWTRAK كشف كردند. آن ها دريافتند اين بدافزار براي محدود كردن حق دسترسي هاي نرم افزار امنيتي از خط مشي محدود ساختن نرم افزار ويندوز (SRP) استفاده مي كند.

ويژگي SRP براي اولين بار در ويندزو XP و سرور 2003 معرفي شد و عموما از طريق خط مشي گروهي مديريت مي شود. اين ويژگي به مديران شبكه اجازه مي دهد تا برنامه ها ي اجرايي را در فرهست سفيد و سياه قرار دهند و يا آن ها را براي اجرا با حق دسترسي هاي خاص محدود نمايند.

اين براي اولين بار نيست كه ويژگي SRP توسط بدافزار ها مورد استفاده قرار مي گيرد. شركت ترند ميكرو فهرستي از 53 محصول و شركت را گردآوري كرده است كه شامل بدافزارهايي هستند كه از ويژگي SRP سوء استفاده مي كنند.

شماره: IRCNE2014062218
تاريخ: 93/03/24

آسيب پذيري ديگري مربوط به OpenSSl كشف شده است كه به مهاجم اجازه مي دهد ترافيك رمز شده SSl/TLS ميان كلاينت و سرور را تغيير دهد و يا رمزگشايي نمايد. به منظور اجراي حمله موفق، در صورتيكه كلاينت و سرور آسيب پذير به اين نوع از نقطه ضعف باشند، مهاجم نيازمند شنود ارتباط ميان كلاينت هدف و سرور (MITM) مي باشد. اين آسيب پذيري با كد CVE-2014-0224 در نسخه هاي Openssl1.0.1 و جديدتر و 1.0.2-beta1 شناخته شده است.
به دليل ضعف در الگوريتم رمزنگاري Openssl و با سو استفاده از آسيب پذيري شناسايي شده در ارتباط handshake ميان كلاينت و سرور و الزام آنها به استفاده از كليد رمز قابل حدس (CWE-325)، مي توان حمله توقف در سرويس دهي را به دليل امكان ارسال متناوب پيام هاي CCS (ChangeCipherSpec) در ارتباط SSl/TLS اجرا نمود.

نسخه هاي آسيب پذير:

• تمامي كلاينت هايي كه از تمامي نسخه هاي OpenSSl استفاده مي نمايند.
• آسيب پذيري مذكور در نسخه هاي 1.0.1 و يا جديدتر و 1.0.2-beta1 شناسايي شده است.
• مرورگرهاي مطرح همچون Chrome، Firefox، IE و Safari در خطر نبوده ولي نسخه اي از مرورگرها مانند Chrome بر روي Android كه از OpenSSL استفاده مي نمايند آسيب پذير مي باشند.

رفع آسيب پذيري:
به منظور رفع آسيب پذيري شرح داده شده در اين گزارش، مي بايست سريعا از به روز رساني هاي ارايه شده بر روي وب سايت Openssl استفاده نمود:

• · ارتقا به نسخه هاي 0.9.8za ، 1.0.0m و 1.0.1h