Number: IRCNE2014062215
Date: 2014-06-11

According to “zdnet”, on Tuesday, Microsoft released seven security bulletins and updates addressing a total of 66 vulnerabilities.

In total, 59 of them are in a single update, a Cumulative Update for Internet Explorer. That update and another affecting Windows and Office are rated critical. One of those IE vulnerabilities had been publicly disclosed.

The remaining updates are for vulnerabilities with a maximum severity of Important. Each update addresses a single vulnerability.

Microsoft also released numerous non-security updates today. The vast majority are for Windows 8 and 8.1, a few for Windows RT and Windows Server 2012 and two for Windows 7 and Windows Server 2008 R2.

A new version of the Microsoft Malicious Software Removal Tool is also available, and runs automatically when users run Windows Update. The new version adds detection and removal for Win32/Necurs, a sophisticated rootkit that puts great effort into combating security software.

ID: IRCNE2014062214
Date: 2014-06-11

According to “ZDNet”, Adobe has issued an update to Flash Player on Windows, Mac, Linux and Android.
The bugs affect versions 13.0.0.214 and earlier for Windows and Macintosh and versions 11.2.202.359 and earlier for Linux. The new version for Windows and Mac is 14.0.0.125. The new Linux version is 11.2.202.378.
Adobe AIR and the AIR SDK are also updated, as they usually are when Flash is updated.
The advisory says almost nothing about the vulnerabilities themselves, other than that they "...could potentially allow an attacker to take control of the affected system."
Windows, Mac, and Linux users can an update at Adobe's website. Google Chrome users on all platforms that have Flash embedded will receive their update as part of a Chrome update.
Microsoft Windows 8.x and RT users will receive updates for the Flash Player embedded in their Modern UI Internet Explorer 10 and 11 through Microsoft Windows Update.

شماره: IRCNE2014062213
تاريخ:18/03/93

يك محقق امنيتي اظهار داشت: اوايل هفته گذشته خاموش شدن يك بات نت بدافزاري بزرگ باعث شد تا توزيع بدافزار Cryptolocker كه يكي از پيچيده ترين بدافزارهاي گروگان گيري است، متوقف شود.

Keith Jarvis، محقق امنيتي در شركت Dell گفت: از جمعه گذشته تاكنون فعاليت و آلودگي جديدي از اين بدافزار مشاهده نشده است.

هم چنين Morten Kjaersgaard مدير عامل شركت دانماركي Heimdal Security در يك پست الكترونيكي نوشت: در حال حاضر اطلاعات ما نشان مي دهد كه تعداد ماشين هايي كه جديدا به بدافزار Cryptolocker آلوده شده اند به طور قابل توجهي كاهش يافته است و رد حال حاضر نزديك به صفر مي باشند.

بدافزار گروگان گير عنواني است كه به بدافزارهايي كه اخاذي مي كنند اطلاق مي شود. اين بدافزار ها به محض آن كه بر روي يك رايانه شخصي نصب مي شوند، فايل هاي موجود بر روي آن را رمزگذاري مي كنند و سپس سعي مي كنند تا قرباني را متقاعد نمايند تا براي رمزگشايي فايل هايش و دسترسي به آن ها مبلغي را به مجرمان بپردازد. بدافزار Cryptolocker موفق ترين بدافزار گروگان گير بوده است و توانسته است بيشترين درآمد را از قربانيانش بدست آورد.

CERT ايالات متحده هشداري را در خصوص غيرفعال شدن بات نت بزرگ بدافزاري منتشر كرده است كه در آن لينك هايي قرار دارد كه بواسطه آن مي توان به ابزارهاي حذف بدافزار شركت هايي مانند مايكروسافت، سايمانتك و ترند ميكرو دسترسي يافت.

شماره: IRCNE2014062212
تاريخ:18/03/93

محققان ژاپني حفره ديگري را در OpenSSL كشف كردند كه بيش از 16 سال است كه فعال بوده و در اختيار مجرمان سايبري قرار داشته است.

Masashi Kikuchi يكي از محققان امنيتي در Lepidum اظهار داشت كه چگونه آسيب پذيري هاي تزريق CCS قبل از سال 1998 فعال بوده است. كدهاي سوء استفاده، يك پروتكل استفاده شده در انتهاي يك ارتباط SSL با نام ChangeCipherSpec را تحت تاثير قرار مي دهند.

هكرهايي كه از وجود اين نقص باخبر بودند توانسته اند با استفاده از حملات MitM، داده هاي رمزگذاري شده بين سرورهايOpenSSL و كلاينت را ردگيري و رمزگشايي نمايند.

Kikuchi گقت: بزرگترين دليلي كه باعث شده است تا اين حفره ها پس از 16 سال شناسايي شوند آن است كه بررسي كدها ناكافي بوده است. اگر بازديد كنندگان كد از تجربه كافي برخوردار بودند، بايد با همان روشي كه كدهاي خود را بازبيني مي كنند، كد OpenSSL را مورد بازبيني قرار مي دادند.

تيم ارتقاء دهنده OpenSSL يك حفره امنيتي را در اين محصول اعلام كردند و هم چنين يك راهنمايي امنيتي را منتشر كرده و از كاربران خواسته اند تا براي اصلاح اين مشكل نرم افزار خود را ارتقاء دهند.

Adam Langley، مهندس نرم افزار گوگل اظهار داشت: خبر خوب آن است كه در اين حملات به يك موقعيت MitM نياز است. به تمامي كاربران OpenSSL توصيه مي شود تا به آخرين نسخه به روز رساني نمايند.

Number: IRCNE2014062213
Date: 2014-06-08

According to “computerworld”, the takedown earlier this week of a major malware-spewing botnet has crippled the distribution of Cryptolocker, one of the world's most sophisticated examples of ransomware, a researcher said today.

"Since last Friday, we've seen no new activity and no new infections," said Keith Jarvis, a security researcher at Dell SecureWork's Counter Threat Unit (CTU.

"Our intelligence now shows that the number of new Cryptolocker-infected machines has dropped off significantly and is currently relatively stable around zero," said Morten Kjaersgaard, the CEO of Danish company Heimdal Security, in an email.

"Ransomware" is the term for extortion malware that, once installed on a hijacked Windows PC, encrypts files and then tries to convince users to pay to decrypt them so they can again be opened.Cryptolocker has been the most successful so far in extorting money from victims.

US-CERT (United States Computer Emergency Readiness Team), part of the Department of Homeland Security, has published an alert about the takedown that includes links to several sources of malware-cleaning utilities from the likes of Microsoft, Symantec and Trend Micro.

Number: IRCNE2014062212
Date: 2014-06-08

According to “itpro”, Japanese researchers have uncovered another vital flaw in OpenSSL that has been active and available to criminals for more than 16 years.

In a blog entry, Masashi Kikuchi, one of the security researchers at Lepidum, outlined how the flaw, named the CCS Injection Vulnerability, has been active since before 1998. The exploit affects a protocol used at the end of an SSL communication named the ChangeCipherSpec.

Hackers with knowledge of the bug have been able to intercept and then decrypt data travelling between OpenSSL servers and clients, conducting so-called “man-in-the-middle” attacks.

“The biggest reason why the bug hasn’t been found for over 16 years is that code reviews were insufficient, especially from experts who had experiences with TLS/SSL implementation,” wrote Kikuchi.

“If the reviewers had enough experience, they should have been verified the OpenSSL code in the same way they do their own code. They could have detected the problem [earlier].”

The team behind OpenSSL have acknowledged the security flaw and published an advisory asking users to upgrade their software to avoid the bug.

“The good news is that these attacks need a man-in-the-middle position against the victim and that non-OpenSSL clients (Internet Explorer, Firefox, Chrome and Safari) aren't affected,” wrote Google software engineer Adam Langley in a post on the exploit. “None the less, all OpenSSL users should be updating,”

شماره: IRCNE2014062211
تاريخ: 17/3/93

سيسكو خبر از تبليغات خرابكارانه روي دامنه‌هاي متعلق به ديزني، فيس‌بوك، روزنامه گاردين و برخي كمپاني‌هاي ديگر داد كه كاربران را گرفتار بدافزاري مي‌كنند كه فايل‌هاي كامپيوتر را رمزگذاري مي‌كند و تا زماني كه كاربر پول پرداخت نكند، آنها را آزاد نمي‌كند.
تحقيقات سيسكو يك روش پيچيده و مؤثر براي آلوده كردن تعداد زيادي كامپيوتر به بدافزار گروگان‌گير را كشف كرده است.
سيسكو محصولي به نام Cloud Web Security (CWS) دارد كه مشترياني را كه در حال مرور وب هستند نظارت مي‌كند و درصورتي‌كه بخواهند به دامنه‌هاي مشكوك وارد شوند، گزارش مي‌دهد. CWS روزانه ميلياردها درخواست صفحه وب را نظارت مي‌كند.
اين شركت خاطرنشان كرد كه براي بيش از 17% از كاربران CWS، درخواست‌هاي ورودي به 90 دامنه را مسدود كرده است كه بسياري از آنها سايت‌هاي وردپرس بوده‌اند.
تحقيقات بيشتر نشان داده است كه بسياري از كاربران CWS پس از مشاهده تبليغات بر روي دامنه‌هاي پرترافيك مانند apps.facebook.com، awkwardfamilyohotos.com، theguardian.co.uk و go.com، به كار خود پايان داده‌اند.
البته تبليغات خاص كه بر روي اين دامنه‌ها مشاهده شده‌اند مورد بررسي قرار گرفته‌اند. چنانچه بر روي اين تبليغات كليك شود، قربانيان وارد يكي از 90 دامنه ذكر شده مي‌شوند.
سبك حمله كه تحت عنوان تبليغ بدافزاري شناخته مي‌شود، مدتهاست كه به يك مشكل بدل شده است. شبكه‌هاي تبليغاتي گام‌هايي را براي تشخيص و شناسايي تبليغات خرابكارانه كه بر روي شبكه آنها قرار مي‌گيرد برداشته‌اند، ولي بررسي‌هاي امنيتي بي عيب نيستند.
به طور معمول تبليغات خرابكارانه به سراغ وب‌سايت‌هايي مي‌روند كه از حضور اين تبليغات ناآگاه هستند. كاربران انتظار دارند كه زماني كه به سراغ سايت معتبري مي‌روند، اين سايت قابل اعتماد باشد. اما به علت وجود لينك‌هاي متعدد به سايت‌هاي مختلف در عمل اينطور نيست.
90 دامنه‌اي كه اين تبليغات خرابكار ترافيك را به سوي آن هدايت مي‌كنند نيز هك شده‌اند. در مورد سايت‌هاي وردپرس به نظر مي‌رسد كه مهاجمان از حملات brute force براي دسترسي به كنترل پنل سايت استفاده كرده‌اند. سپس يك كيت سوء استفاده به نام Rig اضافه شده است كه به سيستم قرباني حمله مي‌كند.
كيت سوء استفاده Rig كه نخستين بار در ماه آوريل توسط Kahu Security كشف شد، بررسي مي‌كند كه آيا كاربر از يك نسخه آسيب‌پذير فلش استفاده مي‌كند يا خير. درصورت مثبت بودن نتيجه، بلافاصله سيستم وي مورد سوء استفاده قرار مي‌گيرد.
در مرحله بعدي حمله، يك برنامه گروگان‌گير به نام Cryptowall نصب مي‌شود. اين برنامه فايل‌هاي كاربر را رمز مي‌كند و از وي درخواست پول مي‌نمايد. پيچيدگي اين عمليات به اين صورت تكميل مي‌شود كه وب‌سايتي كه كاربر مي‌تواند از طريق آن پول را پرداخت كند، يك وب‌سليا پنهان است كه از The Onion Router يا شبكه TOR استفاده مي‌كند.
براي دسترسي به اين وب‌سايت، كاربر بايد TOR را نصب كند كه Cryptowall وي را در اين مورد راهنمايي مي‌كند. كساني كه در پرداخت پول تأخير كنند، با افزايش مبلغ آن مواجه خواهند شد.
با توجه به استفاده از TOR و زنجيره پيچيده حملات، سيسكو هنوز نتوانسته است مهاجمان پشت اين حمله را شناسايي كند.

شماره: IRCNE2014062210
تاريخ:17 /03/93
بنا به گزارشات چندين آسيب پذيري در OpenSSL برطرف شده است. قابل توجه ترين آسيب پذيري مربوط به آسيب پذيري MitM در SSL/TLS بوده است.

تمامي نسخه هاي كلاينت OpenSSL آسيب پذيري مي باشند. تنها نسخه هاي 1.0.1 و 1.0.2-beta1 از سرورهاي OpenSSL آسيب پذير است.

به كاربران توصيه مي شود تا موارد زير را اجرا نمايند:

• كاربران OpenSSL 0.9.8 DTLS بايد به نسخه 0.9.8za ارتقاء دهند.
• كاربران OpenSSL 1.0.0 DTLS بايد به نسخه 1.0.0m ارتقاء دهند.
• كاربران OpenSSL 1.0.1 DTLS بايد به نسخه 1.0.1h ارتقاء دهند.

شركت گوگل نسخه جديدي از كروم را براي اندرويد منتشر كرده است كه نسخه OpenSSLآن 1.0.1h مي باشد.

موارد ديگري كه در OpenSSL برطرف شده است عبارتند از:

• آسيب پذيري قطعه نامعتبر DTLS: سرريز بافر به طور بالقوه مورد سوء استفاده قرار مي گيرد تا كدي دلخواه بر روي سيستم اجرا شود.
• حفره بازگشت DTLS: منجر به انكار سرويس مي شود.
• ارجاع مجدد اشاره گر NULL در SSL_MODE_RELEASE_BUFFERS: منجر به انكار سرويس مي شود.
• تزريق نشست يا انكار سرويس SSL_MODE_RELEASE_BUFFERS: منجر به تزريق داده بين بخشي يا انكار سرويس مي شود.
• انكار سرويس ناشناس ECDH: منجر به انكار سرويس مي شود.

شماره: IRCNE2014062208
تاريخ:17/03/93

شركت مايكروسافت پيش هشدارهاي سه شنبه اصلاحيه ماه ژوئن را منتشر كرد. اين شركت هفت بولتن و به روز رساني امنيتي را منتشر خواهد كرد. دو به روز رساني حداقل حاوي يك آُسيب پذيري بحراني مي باشند.

بولتن يك يك مشكل بحراني اجراي كد در IE مي باشد كه تمامي نسخه هاي IE را از جمله IE 11 در ويندوز 8.1 تحت تاثير قرار مي دهد. نسخه هاي Server Core از ويندوز سرور تحت تاثير اين آسيب پذيري قرار ندارند.

بولتن دو غيرعادي است زيرا بخشي از محصولات آفيس و ويندوز را تحت تاثير قرار مي دهد. يك آسيب پذيري اجراي كد از راه دور است و براي تمامي نسخه هاي ويندوز در رده امنيتي بحراني قرار دارد. هم چنين اين آسيب پذيري براي كنسول Microsoft Live Meeting 2007 و تمامي نسخه هاي Microsoft Lync به استثناي Lync Server در رده اميتنتي بحراني قرار دارد. اين مشكل براي آفيس 2007 و 2010 در رده امنيتي مهم قرار گرفته است. آفيس 2013 تحت تاثير قرار ندارد.

مابقي آسيب پذيري ها داراي رده امنيتي مهم مي باشند. بولتن سه تنها آفيس 2007 و Microsoft Office Compatibility Pack Service Pack 3 را تحت تاثير قرار مي دهد.

بولتن چهار و پنج اطلاعاتي در خصوص افشاي مشكلات در ويندوز و سرور Lync را ارائه مي دهد. بولتن شش يك مشكل انكار سرويس در تمامي نسخه هاي ويندوز است و بولتن هفت يك مشكل جاسوسي كردن است كه ويندوز 7، 8.x و سرور 2012 را تحت تاثير قرار مي دهد.

ID: IRCNE2014062211
Date: 2014-06-07

According to “ComputerWorld”, Malicious advertisements on domains belonging to Disney, Facebook, The Guardian newspaper and others are leading people to malware that encrypts a computer's files until a ransom is paid, Cisco Systems has found.
The finding comes shortly after technology companies and U.S. law enforcement banded together in a large operation to shut down a botnet that distributed online banking malware and so-called "ransomware," a highly profitable scam that has surged over the last year.
Cisco's investigation unraveled a technically complex and highly effective way for infecting large number of computers with ransomware, which it described in detail on its blog.
"It really is insidious," said Levi Gundert, a former Secret Service agent and now a technical lead for threat research and analysis at Cisco, in a phone interview Friday.
Cisco has a product called Cloud Web Security (CWS) which monitors its customers web surfing and reports if they are browsing to suspected malicious domains. CWS monitors billions of web page requests a day, Gundert said.
The company noticed that it was blocking requests to 90 domains, many of those WordPress sites, for more than 17 percent of its CWS customers, he said.
Further investigation showed that many of the CWS users were ending up on those domains after viewing advertisements on high-traffic domains such as "apps.facebook.com," "awkwardfamilyphotos.com," "theguardian.co.uk" and "go.com," a Disney property, among many others.
Certain advertisements that appeared on those domains, however, had been tampered with. If clicked, they redirected victims to one of the 90 domains.
The style of attack, known as "malvertising," has long been a problem. Advertising networks have taken steps to try and detect malicious advertisements placed on their network, but the security checks aren't foolproof.
Occasionally, bad advertisements slip in, which are shown on a vast array of websites that have signed up with the network or its affiliates. The websites where the ads appear are often unaware they're being abused.
"It goes to show that malvertising is a real problem," Gundert said. "People expect when they go to a Tier 1 website that it is a trustworthy place to visit, but because there are so many third-party external links, that's not really true."
The 90 domains the malicious advertisements pushed traffic to had also been hacked, Gundert said. In the case of the WordPress sites, it appears the attackers used brute-force attacks -- which involves guessing login credentials -- to access the site's control panels. Then, an exploit kit called Rig was inserted, which attacked the victim's computer, Gundert said.
The Rig exploit kit, first spotted in April by Kahu Security, checks if users are running an unpatched version of Flash, Java or the Silverlight multimedia program. If someone's computer isn't patched, "you're instantly exploited," Gundert said.
In the next stage of the attack, a ransomware program called "Cryptowall," a relative of the infamous Cryptolocker malware, is installed. It encrypts the user's files, demanding a ransom. In another sign of the operation's sophistication, the website where users can pay the ransom is a hidden website that uses The Onion Router, or the TOR network.
To navigate to a TOR hidden website, a user must have TOR installed, which Cryptowall helpfully provides instructions for how to install. Those who delay paying the ransom find it increases as time passes.
Because of the use of TOR and the technically complex attack chain, Cisco hasn't yet been able to identify a group behind the attacks.