ID: IRCNE2014022111
Date: 2013-02-22

According to "zdnet", Microsoft has released a non-critical, non-security update to fix a bug in the Windows Update system in certain versions of Windows.
Microsoft found problems in the Windows servicing store which may prevent the successful installation of future updates, service packs, and software. This update is a tool which checks the system for these problems and tries to resolve them. Errors in Windows Update with the following codes are addressed by this update: 0x80070002, 0x8007000D, 0x800F081F, 0x80073712, 0x800736CC, 0x800705B9, 0x80070246, 0x8007370D, 0x8007370B, 0x8007370A, 0x80070057, 0x800B0100, 0x80092003, 0x800B0101, 0x8007371B, 0x80070490.
On Windows 7, Windows Server 2008 R2, Windows Server 2008, and Windows Vista the tool is called the System Update Readiness Tool. The various versions of the update may be downloaded directly from KB947821. Installation instructions are on that page.
On Windows 8.1, Windows 8, Windows Server 2012 R2 or Windows Server 2012 you can use the included Deployment Image Servicing and Management (DISM) tool. Follow instructions in KB947821.

ID: IRCNE2014022109
Date: 2014-02-22

According to “ZDNet”, Adobe has released critical updates for Flash Player on Windows, Mac and Linux. Versions 12.0.0.44 and earlier for Windows and Macintosh and versions 11.2.202.336 and earlier versions for Linux are vulnerable to up to three vulnerabilities.
One of these, CVE-2014-0502, is being exploited in the wild.
The new version of Adobe Flash Player on Windows and Mac is 12.0.0.70. The new version for Linux is 11.2.202.341. A Google Chrome update to version 33.0.1750.117 today includes the fixed Flash plugin bundled with that product. Microsoft has released an update for Windows 8.0 and 8.1 for the bundled Flash Player plugin in Internet Explorer 10 and 11.
Users may obtain the newest version of Adobe Flash Player from Adobe at get.adobe.com/flashplayer. Do not trust Flash Player installations or patches from any other source.

Number: IRCNE2014022108
Date: 2014/02/18

According to “cnet”, it may be news to you that some Asus wireless routers leave your computer and networked drives open to hackers, but Asus has known about the problems for months, reports indicate.
The vulnerabilities make it possible for hackers to access directories on networked drives using Asus' proprietary AiCloud option. Enabling features such as "Cloud Disk," "Smart Access," and "Smart Sync" appear to enable the vulnerability, security researcher Kyle Lovett told Ars Technica.
Enabling the file-sharing tool Samba in the router also exposes the vulnerability to hackers.
Lovett told CNET that following his report of a related vulnerability in June that exposes hard drives of computers connected to the affected Asus routers, he reported to Asus representative Nick Mijuskovic the newer flaw to Asus in both September and November to no avail.
"I only received a reply of we'll look into it," Lovett wrote in an e-mail.
Asus did not immediately respond when asked for comment. CNET will update the story when we hear back from the company.
Two weeks ago, suspected hackers posted a list of more than 13,000 IP addresses gleaned from vulnerable Asus routers.
The vulnerability affects nearly a dozen Asus routers, including the RT-AC66R, RT-AC66U, RT-N66R, RT-N66U, RT-AC56U, RT-N56R, RT-N56U, RT-N14U, RT-N16, and RT-N16R. Apparently, Asus has released a firmware update that patches the vulnerabilities, but owners of those routers will have to manually install the update by going to the Asus site and following their instructions.

Number: IRCNE2014022107
Date: 2014/02/18

According to “zdnet”,It's been best-practice for a very long time: all users and processes should run with the fewest privileges necessary. This limits the damage that can be done by an attacker if the user or process is compromised.
Unfortunately, running users without admin rights on Windows XP was generally impractical. It is a much more reasonable and manageable approach on Windows Vista, 7 and 8, but many organizations still run users as administrator because it makes things easier in the short term.
A new study from Avecto demonstrates the real world import of running with "least privilege". In 2013, Microsoft released 106 security bulletins and updates to address the 333 vulnerabilities identified in them. 200 of the 333 total vulnerabilities would be mitigated if the user were not running as administrator. 147 of the vulnerabilities were designated critical; 92 percent (135) of these would be mitigated.
The greatest impact comes with remote code execution vulnerabilities. Such vulnerabilities are necessary in the large majority of meaningful attacks. 100 percent of critical remote code execution vulnerabilities would be mitigated with non-administrator rights.
Non-administrator users can still be compromised, but it's much less likely that they would be and, if they were, the impact would likely be greatly limited. Least privilege is most effective as part of a more comprehensive security architecture.

Number: IRCNE2014022106
Date: 2014/02/18

According to “zdnet”,SecureMac is reporting a new Mac trojan they call OSX/CoinThief.A. The malware targets Mac users and spies on web traffic to steal Bitcoins. They say the malware is in the wild and have received multiple reports of stolen Bitcoins.
The software was distributed through an app called "StealthBit" which, until recently, was available for download from Github. The source code version did not match the precompiled version, the latter of which contained the malicious payload. StealthBit purports to be an app to send and receive payments on Bitcoin Stealth Addresses.
The malware installs browser extensions for Safari and Google Chrome and a separate background program, all of which monitor all web traffic looking for login credentials for Bitcoin websites and wallet sites. It reports these credentials to a remote server.

Number: IRCNE2014022105
Date: 2014/02/18

According to “zdnet”,the Internet Storm Center (ISC) at the SANS Institute is reporting a burst of scanning on ports used by Symantec Endpoint Protection Manager (SEPM) versions 11.0 and 12.1. The scanning appears aimed at building a list of systems vulnerable to a recently-disclosed vulnerability in the product.
Symantec disclosed the vulnerability on February 10 and released updates to SEPM. The fixed versions of the management console are 11.0 RU7 MP4a (11.0.7405.1424) or 12.1 RU4a (12.1.4023.4080).
The vulnerability results from erroneous parsing of XML data sent to the console, causing the console to send unsanitized queries to an internal database.
The console listens on TCP ports 8443 and 9090. Both ports are regularly scanned from across the Internet for vulnerabilities.
Symantec has also released an IPS signature to block HTTPS attacks using this vulnerability.

شماره: IRCNE2014022108
تاريخ: 29/11/92

گزارش ها حاكي از آن است كه برخي از مسيرياب هاي Asus به هكرها اجازه مي دهند تا به درايوهاي موجود بر روي شبكه دسترسي داشته باشند.
يك محقق امنيتي با نام Kyle Lovett گفت: آسيب پذيري موجود در مسيرياب هاي Asus اين امكان را براي هكرها فراهم مي كند تا با استفاده از گزينه AiCloud اختصاصي Asus به دايركتوري درايوهاي شبكه دسترسي يابند. فعال كردن گزينه هاي "Cloud Disk"، "Smart Access" و "Smart Sync" باعث فعال شدن اين آسيب پذيري مي شود.
هم چنين فعال كردن ابزار اشتراك گذاري فايل Samba در اين مسيرياب ها منجر به افشاي اين آسيب پذيري براي هكرها مي شود.
دو هفته پيش هكرها فهرستي از بيش از 13000 آدرس IP جمع آوري شده از مسيرياب هاي آسيب پذير Asus منتشر كردند. اين آسيب پذيري برخي از مسيرياب هاي Asus را تحت تاثير قرار مي دهد. مسير ياب هاي آسيب پذير شامل RT-AC66R، RT-AC66U، RT-N66R، RT-N66U، RT-AC56U، RT-N56R، RT-N56U، RT-N14U، RT-N16 و RT-N16R مي شوند. ظاهرا شركت Asus به منظور اصلاح اين آسيب پذيري يك به روز رساني براي ميان افزار خود منتشر كرده است اما صاحبان مسيرياب هاي Asus بايد با مراجعه به سايت Asus و پيروي از دستورالعمل ها به صورت دستي اين به روز رساني را اعمال نمايند.

شماره: IRCNE2014022107
تاريخ: 29/11/92

بهترين روش عملياتي براي محدود نمودن آسيب ناشي از حمله مهاجمان و هكرها آن است كه تمامي كاربران و فرآيندها از كمترين حق دسترسي لازم استفاده نمايند.
متاسفانه اجراي كاربران بدون داشتن حقوق دسترسي ادمين بر روي ويندوز xp غيرعملي است. اين رويكرد بر روي ويندوز ويستا، 7 و 8 منطقي تر است و قابليت مديريت كردن دارد اما بسياري از سازمان ها هم چنان از كاربران با حق دسترسي ادمين استفاده مي كنند زيرا اين روند در كوتاه مدت كارها را راحت تر مي كند.
در سال 2013 شركت مايكروسافت 106 بولتن امنيتي و به روز رساني را به منظور برطرف كردن 333 آسيب پذيري شناسايي شده منتشر كرد. يك مطالعه جديد نشان مي دهد كه اگر كاربران از كمترين حق دسترسي لازم استفاده كرده بودند، 200 آسيب پذيري كاهش مي يافت. در اين ميان 147 آسيب پذيري در رده امنيتي بحراني قرار داشتند كه در صورت رعايت حق دسترسي 92 درصد از اين آسيب پذيري ها تقليل پيدا مي كرد. هم چنين بيشترين تاثير آسيب پذيري ها مربوط به آسيب پذيري هاي اجراي كد از راه دور بوده است. كه با رعايت اعمال حقوق دسترسي غير ادمين تمامي اين آسيب پذيري ها از بين مي رفتند.
كاربران غير ادمين نيز در معرض خطر حملات سايبري قرار دارند اما بايد توجه داشت كه در صورت وقوع چنين حملاتي، صدمات ناشي از آن محدود مي شود. كمترين حق دسترسي تاثير گذارترين بخش معماري جامع امنيت مي باشد.

شماره: IRCNE2014022106
تاريخ: 29/11/92

SecureMac گزارش داد كه يك تروجان جديد مكينتاش با نام OSX/CoinThief.A يافت شده است. اين بدافزار كاربران مكينتاش را مورد هدف قرار مي دهد و براي سرقت Bitcoinها بر روي ترافيك وب جاسوسي مي كند. در حال حاضر اين بدافزار در حال فعاليت خرابكارانه است و چندين سرقت Bitcoin گزارش شده است.
نرم افزار آلوده از طريق يك برنامه كاربردي با نام "StealthBit" توزيع مي شود كه اخيرا از طريق Github براي دانلود در دسترس بود. نسخه كد منبع با نسخه قبلي همخواني ندارد و آخرين نسخه از اين برنامه حاوي بارگذاري مخرب مي باشد. StealthBit برنامه اي است كه وجوه ارسالي و دريافتي را بر روي Bitcoin Stealth Addresses انجام مي دهد.
اين بدافزار افزونه هاي مرورگر سافاري و گوگل كروم و يك برنامه پشت صحنه مجزا را نصب مي كند و بدين ترتيب تمام ترافيك هاي وب را براي يافتن اعتبارنامه هاي ورودي وب سايت هاي Bitcoin و سايت هاي كيف پول جستجو مي كند. سپس اين اعتبارنامه ها را براي يك سرور راه دور ارسال مي كند.

شماره: IRCNE2014022105
تاريخ: 29/11/92

مركز ISC در موسسه SANS گزارش داد كه پورت هاي استفاده شده توسط SEPM نسخه هاي 11.0 و 12.1 در حال اسكن شدن مي باشند. به نظر مي رسد اين اسكن با هدف تهيه فهرستي از سيستم هاي آسيب پذير نسبت به آخرين آسيب پذيري افشاء شده در اين محصول صورت مي گيرد.
سايمانتك روز دهم فوريه يك آسيب پذيري را در محصول SEPM خود افشاء كرد و به منظور برطرف شدن آن روز هجدهم فوريه يك به روز رساني را منتشر خواهد كرد. نسخه هاي اصلاح شده كنسول مديريتي 11.0 RU7 MP4a (11.0.7405.1424) يا 12.1 RU4a (12.1.4023.4080) مي باشند.
اين آسيب پذيري ناشي از تجزيه نادرست داده هاي XML ارسال شده به كنسول مي باشد و باعث مي شود تا كنسول درخواست هاي نامشخص را براي پايگاه داده داخلي ارسال نمايد.
اين كنسول پورت هاي TCP با شماره هاي 8443و 9090 را شنود مي كند. هر دو پورت از طريق اينترنت براي يافتن سيستم هاي آسيب پذير اسكن مي شوند.
سايمانتك براي مسدود نمودن حملات HTTPS ناشي از سوء استفاده از اين آسيب پذيري، يك امضاي IPS را منتشر كرده است.