شماره: IRCNE2014022107
تاريخ: 29/11/92

بهترين روش عملياتي براي محدود نمودن آسيب ناشي از حمله مهاجمان و هكرها آن است كه تمامي كاربران و فرآيندها از كمترين حق دسترسي لازم استفاده نمايند.
متاسفانه اجراي كاربران بدون داشتن حقوق دسترسي ادمين بر روي ويندوز xp غيرعملي است. اين رويكرد بر روي ويندوز ويستا، 7 و 8 منطقي تر است و قابليت مديريت كردن دارد اما بسياري از سازمان ها هم چنان از كاربران با حق دسترسي ادمين استفاده مي كنند زيرا اين روند در كوتاه مدت كارها را راحت تر مي كند.
در سال 2013 شركت مايكروسافت 106 بولتن امنيتي و به روز رساني را به منظور برطرف كردن 333 آسيب پذيري شناسايي شده منتشر كرد. يك مطالعه جديد نشان مي دهد كه اگر كاربران از كمترين حق دسترسي لازم استفاده كرده بودند، 200 آسيب پذيري كاهش مي يافت. در اين ميان 147 آسيب پذيري در رده امنيتي بحراني قرار داشتند كه در صورت رعايت حق دسترسي 92 درصد از اين آسيب پذيري ها تقليل پيدا مي كرد. هم چنين بيشترين تاثير آسيب پذيري ها مربوط به آسيب پذيري هاي اجراي كد از راه دور بوده است. كه با رعايت اعمال حقوق دسترسي غير ادمين تمامي اين آسيب پذيري ها از بين مي رفتند.
كاربران غير ادمين نيز در معرض خطر حملات سايبري قرار دارند اما بايد توجه داشت كه در صورت وقوع چنين حملاتي، صدمات ناشي از آن محدود مي شود. كمترين حق دسترسي تاثير گذارترين بخش معماري جامع امنيت مي باشد.

شماره: IRCNE2014022106
تاريخ: 29/11/92

SecureMac گزارش داد كه يك تروجان جديد مكينتاش با نام OSX/CoinThief.A يافت شده است. اين بدافزار كاربران مكينتاش را مورد هدف قرار مي دهد و براي سرقت Bitcoinها بر روي ترافيك وب جاسوسي مي كند. در حال حاضر اين بدافزار در حال فعاليت خرابكارانه است و چندين سرقت Bitcoin گزارش شده است.
نرم افزار آلوده از طريق يك برنامه كاربردي با نام "StealthBit" توزيع مي شود كه اخيرا از طريق Github براي دانلود در دسترس بود. نسخه كد منبع با نسخه قبلي همخواني ندارد و آخرين نسخه از اين برنامه حاوي بارگذاري مخرب مي باشد. StealthBit برنامه اي است كه وجوه ارسالي و دريافتي را بر روي Bitcoin Stealth Addresses انجام مي دهد.
اين بدافزار افزونه هاي مرورگر سافاري و گوگل كروم و يك برنامه پشت صحنه مجزا را نصب مي كند و بدين ترتيب تمام ترافيك هاي وب را براي يافتن اعتبارنامه هاي ورودي وب سايت هاي Bitcoin و سايت هاي كيف پول جستجو مي كند. سپس اين اعتبارنامه ها را براي يك سرور راه دور ارسال مي كند.

شماره: IRCNE2014022105
تاريخ: 29/11/92

مركز ISC در موسسه SANS گزارش داد كه پورت هاي استفاده شده توسط SEPM نسخه هاي 11.0 و 12.1 در حال اسكن شدن مي باشند. به نظر مي رسد اين اسكن با هدف تهيه فهرستي از سيستم هاي آسيب پذير نسبت به آخرين آسيب پذيري افشاء شده در اين محصول صورت مي گيرد.
سايمانتك روز دهم فوريه يك آسيب پذيري را در محصول SEPM خود افشاء كرد و به منظور برطرف شدن آن روز هجدهم فوريه يك به روز رساني را منتشر خواهد كرد. نسخه هاي اصلاح شده كنسول مديريتي 11.0 RU7 MP4a (11.0.7405.1424) يا 12.1 RU4a (12.1.4023.4080) مي باشند.
اين آسيب پذيري ناشي از تجزيه نادرست داده هاي XML ارسال شده به كنسول مي باشد و باعث مي شود تا كنسول درخواست هاي نامشخص را براي پايگاه داده داخلي ارسال نمايد.
اين كنسول پورت هاي TCP با شماره هاي 8443و 9090 را شنود مي كند. هر دو پورت از طريق اينترنت براي يافتن سيستم هاي آسيب پذير اسكن مي شوند.
سايمانتك براي مسدود نمودن حملات HTTPS ناشي از سوء استفاده از اين آسيب پذيري، يك امضاي IPS را منتشر كرده است.

شماره: IRCNE2014022104
تاريخ: 29/11/92

يك نوع تازه كشف شده از بدافزار بانكداري زئوس در كد تنظيمات يك عكس ديجيتالي پنهان شده است. اين تروجان براي پنهان كردن خود از روش پنهان نگاري استفاده مي كند. تروجان زئوس يكي از موثرترين ابزارهاي سرقت جزئيات بانكداري آنلاين مي باشد.
Jerome Segura، محقق امنيتي Malwarebytes نوشت: گونه اي از بدافزار زئوس با نام ZeusVM، فايل پيكربندي را دانلود مي كند كه داراي حوزه هاي بانك ها است و به بدافزار دستور مي دهد تا در طول يك تراكنش مداخله كرده و اطلاعات آن را ثبت كند. او افزود اين رفتار براي اولين بار توسط يك محقق امنيتي فرانسوي كشف شد.
پنهان نگاري سال هاست كه توسط نويسندگان بدافزار مورد استفاده قرار گرفته است. با تعبيه كدي در يك فايل با فرمتي كه مشروع و معتبر به نظر مي رسد، اين شانس وجود دارد كه اين فايل توسط نرم افزارهاي امنيتي به عنوان فايل معتبر شناخته شده و به راحتي به سيستم ها نفوذ كند.
از نظر سازندگان سايت هاي اينترنتي، تصاوير بي ضرر مي باشند. تصاوير مشكوك تصاويري هستند كه در مقايسه با يك فايل bitmap يكسان با آن سايز بزرگتري داشته باشد. داده هايي كه توسط مجرمان سايبري به فايل تصاوير اضافه مي شود با استفاده از كدگذاري Base64 و سپس الگوريتم هاي رمزگذاري RC4 و XORرمزنگاري مي شوند. زماني كه اين فايل از حالت رمز خارج مي شود در واقع گونه اي از تروجان زئوس بر روي سيستم مربوطه اجرا مي گردد.

شماره: IRCNE2014022103
تاريخ: 29/11/92

شركت موزيلا 13 راهنمايي امنيتي براي فايرفاكس منتشر كرد. با توجه به راهنمايي هاي امنيتي منشتر شده 4 آسيب پذيري در رده امنيتي بحراني قرار دارند. طبق معمول هميشه يكي از به روز رساني هاي امنيتي در گروهي از آسيب پذيري ها قرار دارد كه شركت موزيلا آن را با عنوان "به خطر افتادن ايمني حافظه" طبقه بندي مي كند.
هم چنين در اين به روز رساني ها يك خطاي حافظه استفاده پس از آزادسازي كه توسط Hewlett-Packard به شركت موزيلا گزارش شده بود، برطرف شد. خطاهاي استفاده پس از آزادسازي مهاجمان را قارد مي سازند تا با استفاده از فضاي معتبر حافظه، كد دلخواه را اجرا نمايند.
علاوه بر اين، در فايرفاكس نسخه 27 مشكل پنجره دانلود برطرف شده است. اين مشكل به طور بالقوه مي تواند منجر به حملات جعل هويت شود.

Number: IRCNE2014022104
Date: 2014/02/18

According to “computerworlduk”, a newly discovered variant of the notorious Zeus banking trojan is disguising a crucial configuration code in a digital photo, a technique known as steganography.
Zeus is one of the most effective tools to steal online banking details, hijacking login details as a person accesses his account and masking secret transfers in the background.
The variant, called ZeusVM, downloads a configuration file that contains the domains of banks that the malware is instructed to intervene in during a transaction, wrote Jerome Segura, a senior security researcher with Malwarebytes. He wrote the behavior was first noticed by a French security researcher who writes under the name Xylitol.
"The malware was retrieving a JPG image hosted on the same server as were other malware components," Segura wrote.
Steganography has long been used by writers of malicious software. By embedding code in a file format that looks legitimate, there's a chance the file will be given a green light by security software.
"From a webmaster point of view, images (especially ones that can be viewed) would appear harmless," Segura wrote.
The suspect image appears to be much larger when compared to an identical one in bitmap mode, he wrote. The data added by the cybercriminals had been encrypted using Base64 encoding and then RC4 and XOR encryption algorithms.
When decrypted, the file shows the banks targeted, including Deutsche Bank, Wells Fargo and Barclays.

Number: IRCNE2014022103
Date: 2014/02/18

According to “internetnews”, there are 13 security advisories attached to the Firefox 27 release, four of them ranked as being critical. As is common in nearly all Firefox release updates, one of the critical updates is for a group of vulnerabilities that Mozilla labels "Miscellaneous memory safety hazards."
There is also a critical fix for a use-after-free memory error reported to Mozilla by way of Hewlett-Packard's Zero Day Initiative. Use-after-free errors enable attackers to potentially leverage legitimate memory space to launch arbitrary code.
In addition, Firefox 27 provides a fix for a download dialog box window issue that potentially could have enabled a spoofing attack.

شماره: IRCNE2014022102
تاريخ:27/11/92

يك برنامه مخرب با سوء استفاده از آسيب پذيري دور زدن تاييد هويت در نسخه هاي مختلف محصولات سري E توليدكننده Linksys، مسيرياب هاي اين شركت را آلوده كرده است.
هفته گذشته محققان مركز SANS هشدار دادند كه رخدادهايي در مسيرياب هاي E1000 و E1200 به وقع پيوسته است و اين مسيرياب ها در حال اسكن كردن آدرس IP هاي ديگر بر روي پورت هاي 80 و 8080 مي باشند. روز پنج شنبه محققان ISC گزارش دادند، بدافزاري را شناسايي كردند كه عامل رخداد اخير مسيرياب هاي Linksys بوده است.
به نظر مي رسد كه اين حملات بواسطه يك كرم صورت گرفته است كه با سوء استفاده از آسيب پذيري موجود در مسيرياب هاي Linksys در حال پيدا كردن دستگاه هاي آسيب پذير ديگر بوده است.
Johannes Ullrich، كارشناس ارشد فناوري در SANS ISC اظهار داشت كه در اين مرحله ما مطلع هستيم كرمي بر روي مدل هاي مختلف مسيرياب هاي Linksys در حال گسترش مي باشد. ما فهرست نهايي مسيرياب هاي آسيب پذير را در اختيار نداريم اما مسيرياب هاي E4200، E3200، E3000، E2500، E2100L، E2000، E1550، E1500، E1200، E1000 و E900بنا به نسخه ميان افزارشان ممكن است آسيب پذير باشند.
اين كرم با نام 'The Moon' شناخته مي شود و با ارسال درخواست HNAP، نسخه ميان افزار و مدل مسيرياب را شناسايي مي كند. پروتكل HNAP پروتكا مديريتي شبكه خانگي است كه توسط شركت سيسكو طراحي شده است و اجازه مي دهد تا دستگاه هاي شبكه شناسايي، پيكربندي و مديريت شوند. اين كرم پس از شناسايي دستگاه، در صورتي كه تعيين كرد دستگاه مزبور آسيب پذير است درخواست ديگري را در قالب اسكريپت خاص CGI ارسال مي كند تا بتواند دستورات محلي را بر روي دستگاه اجرا نمايد.
اين كرم از آسيب پذيري موجود سوء استفاده مي كند تا يك فايل باينري در قالب ELF را بر روي دستگاه آسيب پذير دانلود و اجرا نمايد. زماني كه اين فايل بر روي مسير ياب جديدي اجرا مي شود، اين فايل باينري شبكه را به منظور آلوده كردن دستگاه هاي جديد اسكن مي كند.
در اين فايل باينري تعدادي رشته وجود دارد كه مشخص كننده يك سرور كنترل و فرمان است و مي تواند به عنوان يك تهديد بات نتي در نظر گرفته شود كه توسط مهاجمان از راه دور كنترل مي شود.
سخنگوي شركت Linksys از طريق يك پست الكترونيكي اعلام كرد كه اين شركت از وجود اين آسيب پذيري در برخي از مسيرياب هاي سري E باخبر است و درحال رفع مشكل مي باشد. او هم چنين به برخي از روش هاي كاهش خطر اشاره كرد. اول آنكه مسيرياب هايي كه براي مديريت از راه دور پيكربندي نشده اند نمي توانند به طور مستقيم هدف اين حمله قرار گيرند. اگر مسيريابي مي بايست از راه دور مديريت شود بايد براي كاهش خطر، دسترسي ها به واسط مديريتي را بوسيله آدرس IP محدود كرد. هم چنين تغيير پورت واسط به پورتي غير از 80 و 8080 مي تواند مانع از وقوع اين حمله شود.

ID: IRCNE2014022102
Date: 2013-02-16

According to "zdnet", a self-replicating program is infecting Linksys routers by exploiting an authentication bypass vulnerability in various models from the vendor's E-Series product line.
Researchers from SANS Institute's Internet Storm Center (ISC) issued an alert Wednesday about incidents where Linksys E1000 and E1200 routers had been compromised and were scanning other IP (Internet Protocol) address ranges on ports 80 and 8080. On Thursday the ISC researchers reported that they managed to capture the malware responsible for the scanning activity in one of their honeypots -- systems intentionally left exposed to be attacked.
The attacks seems to be the result of a worm -- a self-replicating program -- that compromises Linksys routers and then uses those routers to scan for other vulnerable devices.
"At this point, we are aware of a worm that is spreading among various models of Linksys routers," said Johannes Ullrich, the chief technology officer at SANS ISC, in a separate blog post. "We do not have a definite list of routers that are vulnerable, but the following routers may be vulnerable depending on firmware version: E4200, E3200, E3000, E2500, E2100L, E2000, E1550, E1500, E1200, E1000, E900."
The worm, which has been dubbed TheMoon because it contains the logo of Lunar Industries, a fictitious company from the 2009 movie "The Moon," begins by requesting a /HNAP1/ URL from devices behind the scanned IP addresses. HNAP -- the Home Network Administration Protocol -- was developed by Cisco and allows identification, configuration and management of networking devices.
The worm sends the HNAP request in order to identify the router's model and firmware version. If it determines that a device is vulnerable, it sends another request to a particular CGI script that allows the execution of local commands on the device.
The worm exploits this vulnerability to download and execute a binary file in ELF (Executable and Linkable) format compiled for the MIPS platform. When executed on a new router, this binary begins scanning for new devices to infect.
There are some strings in the binary that suggest the existence of a command-and-control server, which would make the threat a botnet that attackers could control remotely.
Linksys is aware of the vulnerability in some E-Series routers and is working on a fix, said Mike Duin, a spokesman for Linksys owner Belkin, in an email Friday.
Ullrich outlined several mitigation strategies in comments to his blog post. First of all, routers that are not configured for remote administration are not directly exposed to this attack. If a router needs to be administered remotely, restricting access to the administrative interface by IP address will help reduce the risk, Ullrich said. Changing the port of the interface to something other than 80 or 8080, will also prevent this particular attack, he said.

شماره: IRCNE2014022101
تاريخ: 26/11/92

مايكروسافت روز جمعه اعلام كرد كه IE 10 و IE 9 حاوي يك آسيب‌پذيري اصلاح نشده هستند كه در حال حاضر هكرها در حال سوء استفاده از آسيب‌پذيري IE 10 مي‌باشند.
يك سخنگوي مايكروسافت ديروز اعلام كرد كه اين شركت از حملات محدود و هدفمندي عليه IE 10 آگاه شده است و تحقيقات اوليه اين شركت نشان مي‌دهد كه IE 9 و IE 10 تحت تأثير آسيب‌پذيري مربوطه قرار دارند. اين بدان معناست كه تقريباً يك سوم از كاربران IE در معرض خطر قرار دارند.
اين حملات بخشي از كمپيني هستند كه اعضاي فعلي و سابق ارتش آمريكا را هدف قرار داده‌اند.
به گزارش Web analytics vendor Net Applications، حدود 15.3% از كل كاربران IE از IE 9 استفاده مي‌كنند و اين در حالي است كه كاربراني كه از IE 10 استفاده مي‌كنند حدود 15.9% از كل كاربران اين مرورگر را تشكيل مي‌دهند، كه مجموع اين دو گروه به 31.2% از كل كاربران IE مي‌رسد.
گزارش شركت Websense حاكي از اين است كه اين آسيب‌پذيري جديد كه تا كنون اصلاح نشده است، ممكن است از حدود سه هفته پيش (بيستم ژانويه) مورد سوء استفاده قرار گرفته باشد.
مايكروسافت به كاربران خود توصيه كرده است كه مرورگز خود را به IE 11 ارتقاء دهند، اما اين كار براي كاربران ويندوز ويستا امكان‌پذير نيست و اين سيستم عامل قادر به اجراي IE 10 و IE 11 نمي‌باشد. اغلب كاربران ويندوز ويستا از IE 9 استفاده مي‌كنند.
البته نكته مثبت اين است كه تعداد كمي از كاربران ويندوز از ويستا استفاده مي‌كنند و كاربران اين سيستم عامل تنها 3.6% از كل كاربران ويندوز را تشكيل مي‌دهند.
هنوز از زمان ارائه اصلاحيه براي اين آسيب‌‎پذيري اطلاعي در دست نيست.