‫ اخبار

شماره:IRCNE2014092315

تاريخ:93/06/22

اخيرا گروهي از هكرها با استفاده از يك برنامه راه نفوذ مخفي سيستم هاي Mac OS X را هدف حمله قرار داده اند.

محققان شركت امنيتي FireEye در پستي در وبلاگ نوشتند: كد راه نفوذ مخفي سيستم هاي مكينتاش از راه نفوذ مخفي ويندوز كه در چند سال اخير در حملات هدفمند مورد استفاده قرار گرفته است و چندين مرتبه ارتقاء يافته است، استخراج شده است.

اين برنامه مخرب XSLCmd ناميده مي شود و قادر است فايل ها را فهرست كرده و انتقال دهد و بدافزارهاي ديگري را بر روي رايانه آلوده نصب نمايد.انواع OS X مي توانند ضربات صفحه كليد را ثبت نمايند و هم چنين از صفحه تصوير برداري نمايند.

هنگامي كه اين بدافزار بر روي سيستم مكينتاش نصب مي شود خودش را در آدرس هاي /Library/Logs/clipboard و $HOME/Library/LaunchAgents/clipboard كپي مي كند. يك فايل com.apple.service.clipboardd.plist را نيز ايجاد مي كند تا اطمينان يابد پس از بوت شدن مجدد سيستم اين فايل اجرا مي شود.

هم چنين اين بدافزار حاوي كدي است كه نسخه OS X را تشخيص مي دهد اما قادر به تشخيص نسخه هاي بالاتر از 10.8 نيست. ممكن است زماني كه اين بدافزار نوشته شده است نسخه 10.8 بالاترين نسخه مكينتاش بوده است.

راه نفوذ مخفي XSLCmd ايجاد شد و بدين ترتيب توسط گروه هاي جاوسوسي سايبري با نام GRFE كه از سال 2009 فعال مي باشند مورد استفاده قرار مي گيرد. اين گروه تاكنون سازمان هاي زيادي را هدف حملات خود قرار داده است از جمله مي توان سازمان دفاعي امريكا، شركت هاي جهاني مهندسي و الكترونيك و موسسات و NGOها را نام برد.

در گذشته گروه GRFE به گروه هكري سوء استفاده كننده از آُسيب پذيري هاي zero-day شهرت داشته است. اين گروه از آسيب پذيري هايي سوء استفاده مي كنند كه در زمان حمله اصلاحيه اي براي آن ها وجود ندارد.

اين نوع جديد بدافزار XSLCmd از آخرين برنامه هاي راه نفوذ مخفي براي Mac OS X مي باشد كه در چندين سال اخير توسط مجرمان سايبري عليه اين سيستم ها استفاده شده است.

شماره:IRCNE2014092313

تاريخ:93/06/22

شركت سيسكو و VMware به طور همزمان اصلاحيه هاي امنيتي را براي رفع آسيب پذيري هاي جدي در نرم افزار مجازي سازي VMware و سرورهاي سيسكو كه در مركز داده استفاده مي شوند منتشر كردند.

شركت سيسكو يك آسيب پذيري انكار سرويس را در سيستم هاي UCS سري E اصلاح كرده است. اين آسيب پذيري در سرويس SSH سيسكو IMC قرار دارد. IMC يك ميكرو كنترلر خاص است كه در مارد برد سرور تعبيه شده است و به ادمين هاي سيستم اجازه مي دهد تا سرورها را خارج از سيستم عامل نظارت و مديريت نمايند.

سيسكو نسخه 2.3.1 ميان افزار سيسكو IMC را براي UCS سري E منتشر كرد. مشتريان بايد از ابزار Host Upgrade براي به روز رساني اين ميان افزار استفاده نمايند.

يك مهاجم مي تواند با ارسال يك بسته دستكاري شده خاص به سرور SSH آسيب پذير از اين آسيب پذيري سوء استفاده نمايد و باعث شود IMC قادر به پاسخگويي نباشد. اين حمله باعث مي شود تا كل سرور در دسترس نباشد.

هم چنين VMware اصلاحيه هاي امنيتي را براي محصولات NSX و vCNS خود منتشر كرد. اين اصلاحيه ها يك آسيب پذيري افشاي اطلاعات بحراني را برطرف مي نمايد.در راهنمايي امنيتي اين شركت اشاره نشده است كه چه نوع اطلاعاتي مي توانند افاشء شوند اما هر دو محصول NSX و vCNS براي مجازي سازي سرويس هاي شبكه استفاده مي شوند.

شماره:IRCNE2014092312

تاريخ:93/06/22

روز دوشنبه شركت سيسكو اعلام كرد كه تبليغات مخربي كه به صورت پاپ آپ بر روي وب سايت هايي مانند آمازون، يوتيوب و ياهو به نمايش گذاشته مي شود ، بخشي از كمپين گسترش بدافزار مي باشد. هنگام مشاهد اين پاپ آپ ها، تبليغات مخرب باعث مي شوند تا كاربر به سمت سايت هاي ديگر هدايت شود.

شركت سيسكو شبكه اي از تبليغات كه در حال ميزباني تبليغات مخرب هستند را شناسايي نكرده است. اگرچه شبكه تبليغات سعي مي كند تا تبليغات مخرب را فيلتر كند، اما اگر تبليغ مخربي فيلتر نشود، براي سايت هايي با ترافيك بالا به معناي استخري از قربانيان بالقوه مي شود كه مي تواند آن ها را آلوده نمايد.

برخي از اين تبليغات مخرب بر روي شبكه هاي يوتيوب، ياهو و آمازون ديده شده است. 74 دامنه اين تبلغيات را ميزباني مي كنند.

هنگامي كه قرباني توسط يك تبليغ مخرب به صفحه ديگري هدايت مي شود، رايانه فرد يك قطعه بدافزار را دانلود مي كند كه تشخيص آن براي نرم افزارهاي امنيتي دشوار است. اين دانلود مي تواند شامل نرم افزارهاي معتبري مانند مديا پلير باشد. براي آن كه سيستمي به اين بدافزار آلوده شود بايد قرباني فايل دانلود شده را باز نمايد.

اين حملات مبتني بر روش هاي مهندسي اجتماعي است كه كاربر را قانع مي كند كه بسته هاي نرم افزاري كه آلوده به بدافزار هستند را دانلود و نصب نمايد.

شماره: IRCNE2014092311

تاريخ: 19/06/93

شركت مايكروسافت چهار بولتن امنيتي و به روز رساني را منتشر كرد. در اين به روز رساني هاي در مجموع 42 آسيب پذيري اصلاح شده اند.

بولتن MS14-052: به روز رساني هاي امنيتي براي IE – اين به روز رساني 37 آسيب پذيري را برطرف مي نمايد كه يكي از آن ها در ماه فوريه به طور عمومي افشاء شده بود. بقيه 36 آسيب پذيري مربوط به تخريب حافظه مي باشند. بدترين آسيب پذيري به مهاجم اجازه مي دهد تا كدي را در سيستم كاربر اجرا كند. تمامي نسخه هاي ويندوز و نسخه هاي Server Core تحت تاثير اين آسيب پذيري ها قرار دارند.

بولتن MS14-053: آسيب پذيري در چارچوب كاري .NET مي تواند منجر به انكار سرويس شود. اين آسيب پذيري تمامي نسخه هاي چارچوب كاري .NET به جز نخه 3.5 بسته سرويس 1 را تحت تاثير قرار مي دهد. تمامي نسخه هاي ويندوز از جمله نسخه هاي Server Core به جز نسخه هاي non-R2 ويندوز سرور 2008 تحت تاثير اين آسيب پذيري مي باشند.

بولتن MS14-054: آسيب پذيري در Windows Task Scheduler مي تواند منجر به افزايش سطح دسترسي ها شود. يك مهاجم كه به سيستم لاگين كرده است و برنامه مخربي را اجرا كرده است مي تواند سطح دسترسي حساب كاربري محلي سيستم را افزايش دهد. اين آسيب پذيري تنها نسخه هاي RT، 8.x و ويندوز سرور 2012 و 2012 R2 را تحت تاثير قرار مي دهد.

بولتن MS14-055: آسيب پذيري در Microsoft Lync Serverمي تواند منجر به انكار سرويس شود. يك مهاجم كه درخواست هاي دستكاري شده خاص را براي Microsoft Lync Server نسخه 2010 و 2013 ارسال مي كند مي تواند يك حمله انكار سرويس را در سرور ايجاد نمايد.

شركت مايكروسافت 11 به روز رساني غيرامنيتي و نسخه جديدي از ابزار Windows Malicious Software Removal را نيز منتشر كرده است.

انتشار اصلاحيه براي ويندوز، IE و Lync Server در دومين سه‌شنبه سپتامبر

چندين آسيب پذيري فلش در ويندوز مايكروسافت

چندين آسيب پذيري درIE مايكروسافت

شمارهIRCNE2014092310 :

شماره:IRCNE2014092309

تاريخ:93/06/18

شركت ادوب اعلام كرد كه انتشار اصلاحيه آكروبات و Reader كه مطابق با جدول زمانبندي مي بايست در روز سه شنبه نهم سپتامبر منتشر شود، به تعويق افتاد و در روز 15 سپتامبر منتشر خواهد شد.

اين به روز رساني شامل نسخه هاي جديد آكروبات و Reader براي ويندوز و مكينتاش است. در نسخه هاي جديد تعدادي آسيب پذيري بسيار مهم در اين نرم افزار برطرف شده است.

نسخه هايي كه تحت تاثير اين آسيب پذيري ها قرار دارند Acrobat X نسخه 10.1.11 و نسخه هاي پيش از آن و Reader و Acrobat XI نسخه 11.0.08 مي باشند.

شماره:IRCNE2014092309

اخيراً نوع جديدي از حملات مربوط به مودم خانگي شناسايي شده است كه در آن مهاجمين برزيلي با استفاده از حملات مبتني بر وب، مهندسي اجتماعي و وب سايت هاي مخرب، تغيير تنظيمات DNS مودم هاي خانگي را مورد هدف قرار داده اند. در اين نوع از حملات تنظيمات DNS سرور توسط مهاجم بر روي شبكه كاربر به نحوي تغيير داده مي شود كه كاربر به سمت صفحات جعلي(فيشينگ) بانك هاي برزيلي جهت سرقت حساب ها و اطلاعات مالي قربانيان هدايت مي گردد.
مورد هدف قرار گرفتن مودم هاي خانگي نوع جديدي از حملات نبوده به طوريكه در سال 2011-2012 حدود بيش از 4.5 ميليون مودم DSL را تحت تاثير خود قرار داده و با سوء استفاده از يك آسيب پذيري راه دور تنظيمات DNS را تغيير داده اند. اما روش مبتني بر وب كه اخيراً توسط مهاجمين مورد استفاده قرار گرفته، روش نسبتاً جديدي بوده و با توجه به افزايش تعداد قربانيان آن به نظر مي رسد كه به سرعت انتشار پيدا كند.
در اين روش حمله مهاجم با استفاده از مهندسي اجتماعي و پست الكترونيك مخرب كاربر را به كليك بر روي لينك تشويق مي كند. روزانه افراد بسياري بر روي اين لينك ها كليك مي كنند كه بيشتر آنها در كشور برزيل، آمريكا، چين و پرتغال قرار داشته اند.
وب سايتي كه كاربران با كليك بر روي لينك به آن هدايت مي شوند پر از عكس ها و مطالبي است كه كاربر را تشويق به ديدن آنها نموده در حاليكه در پس زمينه اسكريپتي در حال اجرا شدن مي باشد. همچنين با توجه به تنظيمات كاربر ممكن است گاهي نام كاربري و رمز عبور دسترسي به access point بي سيم توسط وب سايت مورد نظر از قرباني پرسيده شود. اسكريپت موجود در وب سايت نيز سعي در حدس زدن رمز عبور نموده و تركيب هاي مختلفي مانند "admin:admin"، "root:root"و غيره را جهت دستيابي به پنل كنترل تجهيزات شبكه كاربر امتحان مي كند. هر اسكريپت شامل دستوراتي جهت تغيير DNS server اصلي و ثانوي مي باشد.