شماره: IRCNE2014052201
تاريخ: 5/3/93

به علت وقوع هكي كه منجر به افشايداده‌هاي شخصي كاربران eBay شامل نام، كلمه عبور رمز شده، آدرس، تاريخ تولد، شماره تلفن و آدرس ايميل شده است، نزديك به 150 ميليون كاربر سايت eBay بايد كلمه عبور خود را تغيير دهند. اين نشت داده‌ها حدود سه ماه پيش رخ داده است، اما هشدارهاي آن به تازگي منتشر شده است. در اين هك مهاجمان موفق شده‌اند به شبكه شركتي eBay دسترسي غيرمجاز پيدا كنند.
بنا بر اعلام eBay، مهاجمان از تعداد كمي از حساب‌هاي كاربري كارمندان در فاصله زماني اواخر فوريه تا اوايل مارس سوء استفاده كرده‌اند تا به اين شبكه دسترسي پيدا كنند. البته اين شركت اضافه كرد كه دو هفته پيش متوجه وفوع اين حادثه شده است.
بررسي‌هاي eBay نشان داده است كه اين حمله منجر به فعاليت غيرمجاز براي كاربران eBay نشده است. همچنين هيچ نشانه‌اي دال بر دسترسي غيرمجاز به اطلاعات مالي يا كارت اعتباري نيز مشاهده نشده است.
eBay تصريح كرده است كه در اين حادثه، PayPal مورد سوء استفاده قرار نگرفته است، چرا كه داده‌هاي PayPal به صورت جداگانه و بر روي شبكه امني نگهداري مي‌شوند.
به اين ترتيب eBay ضمن عذرخواهي از كاربران خود خواسته است كه كلمات عبور خود را تغيير دهند.
تحقيقات در مورد اين حادثه همچنان ادامه دارد.

شماره: IRCNE2014052200
تاريخ: 5/3/93

اپل در مورد يك نقص طراحي در iMessage هشدار داد كه زماني كه كاربران پيشين iOS از اكوسيستم خارج مي‌شوند و فراموش مي‌كنند iMessage را غيرفعال نمايند، از دريافت اس‌ام‌اس توسط آنها جلوگيري مي‌كند.
اين مشكل iMessage زماني ايجاد مي‌شود كه كاربران iOS به يك اكوسيستم ديگر (مانند سيستم عامل اندرويد گوگل) سوئيچ مي‌كنند و سرويس iMessage خود را خاموش نمي‌كنند. اين مسأله ريشه در قابليت iMessage براي ارسال پيام از طريق واي‌فاي و سرورهاي اپل به جاي ارسال اس‌ام‌اس از طريق معمول ارتباطات بي‌سيم دارد.اين كار هزينه‌هاي شبكه كاربران را كاهش مي‌دهد، اما درصورت باقي ماندن iMessage در مود عملكرد، از آنجاييكه همچنان اين شماره تلفن به عنوان يك شماره متصل به يك iPhone شناسايي مي‌شود، باعث ابهام در عملكرد سيستم مي‌گردد.
به اين ترتيب اس‌ام‌اس‌هاي ارسال شده براي اين كاربران هرگز دريافت نمي‌شوند و در ابر iMessage سرگردان باقي مي‌مانند.
اپل در اين مورد نوشت كه اخيراً يك مشكل سمت سرور iMessage را برطرف كرده است كه براي برخي كاربران مسأله‌ساز شده بود و در به‌روز رساني آتي نرم‌افزار نيز ترميمي عرضه خواهد كرد.

ID: IRCNE2014052201
Date: 2014-05-26

According to “ComputerWorld”, EBay is asking users to change their passwords after attackers gained unauthorized access to eBay's corporate network, compromising a database containing encrypted passwords and other personal data.
The attackers compromised a "small number of employee log-in credentials" between late February and early March to gain access to the network, the company said in a statement Wednesday, adding that it only discovered the attack about two weeks ago.
After conducting extensive tests, eBay found no evidence the attack resulted in unauthorized activity for eBay users. Likewise, no evidence of any unauthorized access to financial or credit card information, which is stored separately in encrypted formats, was found, it added.
Data of eBay subsidiary PayPal wasn't compromised, eBay said, adding that PayPal data is stored separately on a secure network.
The eBay database contained customer names, encrypted passwords, email addresses, physical addresses, phone numbers and dates of birth, but no financial or other confidential information, eBay said. There is no evidence of increased fraudulent account activity on eBay, it said.
Nevertheless it would be wise for users change their passwords, the company said. "Changing passwords is a best practice and will help enhance security for eBay users," eBay said, adding that it regrets any inconvenience or concern that the password reset may cause.
The company is working with law enforcement and leading security experts to investigate the matter, and said it is "applying the best forensics tools and practices to protect customers."

ID: IRCNE2014052200
Date: 2014-05-26

According to “ZDNet”, Apple has acknowledge an iMessage design flaw that prevents former iOS users from receiving SMS messages when they leave the ecosystem and forget to disable iMessage before doing so.
The iMessage problem is caused when iOS users switch over to a different ecosystem — such as Google's Android operating system — without turning the iMessage service off first. The problem stems from the ability of iMessage to send messages via Wi-Fi and Apple servers rather than as a standard SMS sent via a wireless carrier. It saves users network costs but causes the bug due to confusing miscommunication in the software if iMessage is left operational and a phone number is still recognized as linked to an iPhone.
Texts to these users from other devices are therefore never delivered, and are left floating in the iMessage cloud instead, as the iMessage protocol is still used for numbers no longer linked to an iPhone.
In a statement to Re/code, the iPad and iPhone maker commented:
We recently fixed a server-side iMessage bug which was causing an issue for some users, and we have an additional bug fix in a future software update. For users still experiencing an issue, please contact AppleCare.

شماره: IRCNE2014052199
تاريخ: 3/3/93

حملات هدفمند از چندين مرحله تشكيل مي‌شوند كه به زنجيره قتل APT شناخته مي‌شوند. مهاجمان به عنوان بخشي از فاز مسلح كردن خود، اغلب Payloadي را در يك فايل قرار مي‌دهند كه زماني كه نصب مي‌گردد، در فاز دستور و كنترل (C2) به مهاجم متصل مي‌شود. يك payload بسيار معمول مورد استفاده بسياري از بدافزارهاي سرقت كلمه عبور، نرم افزار ثبت ضربات صفحه كليد (keylogger) است. هدف از ثبت ضربات صفحه كليد اين است كه ضربات صفحه كليد كاربر ضبط شود و اطلاعات اعتباري وي و لينك‌ها به منابع داخلي و خارجي جمع‌آوري گردد.
اخيراً بدافزار مارمولك كه يك نرم افزار ايراني ثبت ضربات صفحه كليد است با MD5 برابر با F09D2C65F0B6AD55593405A5FD3A7D91 شناسايي شده است.
نخستين ظهور اين keylogger به يك فروم در خاورميانه باز مي‌گردد. اگرچه ممكن است برخي keylogger ها ضربات صفحه كليد را براي مقاصد قانوني ثبت نمايند، اما اين نرم‌افزار قربانيان خود را با يك payload پنهان گمراه مي‌سازد. به نظر مي‌رسد كه توليد كننده اين بدافزار با قرار دادن آن در فروم مذكور، قصد حمله به ساير اعضاي اين فروم را داشته است كه اين كار تكنيكي مرسوم است.
نويسندگان بدافزارها اغلب براي جلوگيري از شناسايي شدن، از ابزارهاي ارزان و ساده‌اي استفاده مي‌كنند كه بدافزار را با يك برنامه runtime فشرده سازي يا رمزگذاري، تغيير مي‌دهد. البته در اين مورد خاص، فايل‌هاي مرتبط توسط يك نسخه تغيير يافته از ابزار مشهور UPX پنهان شده‌اند.
اين فايل در هنگام اجرا يك كپي از خود با نام Mcsng.sys در فولدر Sysytem32 ايجاد مي‌كند. اين بدافزار همچنين پروسه‌اي را اجرا مي‌كند كه فايل 1stmp.sys را در فولدر system32\config جايگذاري كرده و مي‌نويسد.
اگرچه پسوند اين فايل .sys (فايل سيستمي) است، اما در حقيقت اين فايل سيستمي نيست. هدف اين فايل اين است كه به عنوان يك فايل لاگ عمل كند كه محتوي ضربات صفحه كليد كاربر است كه به صورت رمز شده ذخيره شده‌اند. هربار كه يك كليد فشرده مي‌شود، اين پروسه ضربات صفحه كليد را ثبت مي‌كند، آن را رمز كرده و به 1stmp.sys اضافه مي‌كند.
اگرچه الگوريتم رمزگذاري مورد استفاده براي اين كار ساده است، ولي از رمزگذاري انتخابي با دو تكنيك استفاده مي‌كند: هر بايت درصورتي‌كه فرد باشد با استفاده از تكنيك 1 رمز مي‌شود و درصورتي‌كه زوج باشد، با استفاده از تكنيك 2 رمزگذاري مي‌گردد.
پس از رمزگشايي نه تنها ضربات صفحه كليد قابل مشاهده هستند، بلكه اطلاعات زماني ثبت اين اطلاعات نيز قابل مشاهده است. پس از ثبت و رمز گذاري ضربات صفحه كليد، اين بدافزار اين اطلاعات را براي نويسنده خود ايميل مي‌كند. اين بدافزار همچنين نام كامپيوتر و نام كاربر را نيز براي سازنده خود مي‌فرستد. لاگ رمز شده به آدرس marmoolak@red-move.tk ارسال مي‌گردد كه بر روي دامنه‌اي ميزباني مي‌شود كه به ميزباني بدافزارها مشهور است.
مك‌آفي اين تروجان keylogger و نسخه‌هاي مختلف آن را با عنوان Keylog-FAG مي‌شناسد. براي جلوگيري از آلوده شدن توسط انواع keylogger ها، بايد آنتي‌ويروس خود را به‌روز نگه داريد و از منابع نامطمئن دانلود نكنيد.

شماره: IRCNE2014052198
تاريخ: 3/3/93

يك نقص امنيتي حياتي در IE 8 از زمان شناسايي آن در اكتبر 2013 همچنان اصلاح نشده باقي مانده است.
گزارش Zero-Day Initiative حاكي است كه اين آسيب‌پذيري به مهاجم اجازه مي‌دهد هنگامي كه وب‌سايتي را مشاهده مي‌كنيد كه براي آلوده كردن كامپيوتر شما طراحي شده است، كد خرابكار را در IE8 اجرا كند.
مايكروسافت در ماه اكتبر در مورد اين آسيب‌پذيري مطلع شد، ولي قادر به ترميم آن نبوده است. البته مشخص نيست كه اين مسأله به اين علت است كه IE8 آخرين مرورگري است كه ويندوز XP را پشتيباني مي‌كند يا اينكه سخت بودن راه حل آن دليل عدم ترميم اين آسيب‌پذيري است.
به گفته اين شركت هنوز سوء استفاده فعالي از اين آسيب‌پذيري مشاهده نشده است كه اين بدان معناست كه اگرچه اين حفره باز است، اما هيچ كس براي حمله به كاربران از آن استفاده نكرده است.
يك سخنگوي مايكروسافت اظهار كرد كه اين شركت تمامي ترميم‌هاي امنيتي را با بيشترين سرعت ممكن ساخته و تست مي‌كند. برخي ترميم‌ها پيچيده‌تر از سايرين هستند و اين شركت بايد هر ترميم را در برابر تعداد زيادي از برنامه‌ها و پيكربندي‌هاي مختلف تست نمايد.

شماره: IRCNE2014052197
تاريخ: 3/3/93

اپل در پي كشف چندين آسيب‌پذيري كه مي‌توانند كاربران را در معرض خطر حملات راه دور قرار دهند، دو به‌روز رساني نرم‌افزاري براي مرورگر وب Safari عرضه كرده است.
به‌روز رساني‌هاي Safari 6.1.4 و Safari 7.0.4 براي كاربران OS X Lion v10.7.5، OS X Lion Server v10.7.5، OS X Mountain Lion v10.8.5 و OS X Mavericks v10.9.3 قابل اعمال است.
بر اساس راهنمايي امنيتي اپل، كساني كه اين به‌روز رساني‌ها را نصب نكنند، سيستم‌هاي خود را در معرض حملات اجراي كد از راه دور قرار مي‌دهند كه در آن يك كاربر غيرمجاز مي‌تواند كنترل سيستم آنها را در اختيار بگيرد.
اپل هشدار داد كه مشاهده يك وب‌سايت كه با نيت خرابكارانه دستكاري شده است مي‌تواند باعث خروج غيرمنتظره از برنامه يا اجراي كد دلخواه گردد.
اپل در سايت خود نوشت كه يك سايت خرابكار مي‌تواند به صورتي پيغام‌هايي را براي يك فريم يا پنجره متصل ارسال كند كه origin check گيرنده را دور بزند.
اين به‌روز رساني‌ها از طريق سايت پشتيباني اپل قابل دانلود هستند.

ID: IRCNE2014052199
Date: 2014-05-24

According to “McAfee”, targeted attacks have several stages, sometimes called the APT kill chain. At McAfee Labs we prefer the model described by Lockheed Martin:
As part of the weaponizing phase, attackers often put a payload into a file that, once installed, will connect in the C2 (command and control) phase to the attacker. A very common payload used by many password-stealing malware is a keylogger. The purpose of keylogging is to capture the users’ keystrokes, and gather credentials and links to internal and external resources. The stolen credentials can later be used to weaponize another file or serve as part of the actions phase of the APT kill chain.
One example we recently ran into is the malware Marmoolak, an Iranian keylogger with the MD5 F09D2C65F0B6AD55593405A5FD3A7D91. We traced the first appearance of this keylogger to a Middle-East forum.
Although some keyloggers may capture keystrokes for legitimate purposes, this one misleads its victims by including a hidden payload. By placing this keylogger on this forum, we believe the developer intended to attack other members of this forum, a popular tactic in that region.
To prevent detection, malware authors often use cheap and easy packer’s, which modify the malware witha runtime compression or encryption program. In this case the files were hidden by a modified version of the well-known packer UPX.
On execution, the file adds a copy of itself into the System32 folder as Mcsng.exe. The malware also launches a process that drops and writes the file 1stmp.sys in the %system32%\config folder.
Although the file extension suggests it is a .sys (system) file, it is not. Its purpose is to function as a log file that contains the encrypted keystrokes of the user. Every time a key is pressed, the process records the keystroke, encrypts it and appends it to 1stmp.sys.
Although the encryption algorithm is simple, it uses “selective encryption,” with two techniques: Each byte is encrypted by technique 1 if it is odd and technique 2 if it is even.
After decrypting we can see not only keystrokes, but also the time stamps when they were logged. After the keystrokes are logged and encrypted, the malware mails its content to its author. The malware also sends computer name and user name data to its master.
In this case the encrypted log is sent to the email address Marmoolak@red-move.tk. This address is hosted on a domain that is very popular in Iran for hosting malware.
McAfee detects this Trojan keylogger and its variants as Keylog-FAG! To avoid infection from this and other keyloggers, keep your antivirus system updated and do not download content from untrusted sources.

ID: IRCNE2014052198
Date: 2014-05-24

According to “CNet”, a critical security flaw in Microsoft's Internet Explorer 8 has gone unfixed since October 2013, according to a new report from the Zero-Day Initiative.
The report, which was issued because of ZDI's policy to reveal zero-day flaws that go unfixed for more than 180 days, says that the vulnerability allows an attacker to run malicious code in IE 8 when you visit a website designed to infect your computer.
Microsoft learned of the zero-day -- the term given to a previously unknown, unpatched flaw -- in October but has been unable to fix it. Whether that's because IE 8 is the last version of the browser to support Windows XP, which Microsoft officially no longer supports, or because the flaw itself is hard to fix, Microsoft would not say.
The company said that it has not seen an active exploit of the zero-day flaw, meaning that although the hole remains wide open, nobody has been using it to attack people.
"We build and thoroughly test every security fix as quickly as possible. Some fixes are more complex than others, and we must test every one against a huge number of programs, applications and different configurations," said a Microsoft spokesperson.

ID: IRCNE2014052197
Date: 2014-05-24

According to “ITPro”, Apple has released a pair of software updates for its Safari web browser following the discovery of multiple vulnerabilities that could leave users at risk of remote attacks.
The Safari 6.1.4 and Safari 7.0.4 updates are applicable to users of OS X Lion v10.7.5, OS X Lion Server v10.7.5, OS X Mountain Lion v10.8.5 and OS X Mavericks v10.9.3.
According to an Apple Security advisory, those who fail to install the updates could leave their systems exposed to arbitrary code execution attacks, whereby an unauthorised third party could take control of the users’ machine.
“Visiting a maliciously crafted website may lead to an unexpected application termination or arbitrary code execution,” Apple warned.
There is also a risk users could experience postmessage issues if the security flaws remain unaddressed.
“A malicious site [could] send messages to a connected frame or window in a way that might circumvent the receiver's origin check,” the site stated.
The updates are available to download now via Apple’s support site.