شماره: IRCNE2013061875
تاريخ: 28/03/92

هكرها در حال استفاده از شبكه‌هاي نظير به نظير (P2P) براي انتشار بدافزارها هستند.
شركت امنيتي Damballa گزارش كرده است كه تعداد نمونه‌هاي بدافزاري كه از ارتباطات نظير به نظير استفاده مي‌كنند نسبت به يك سال گذشته پنج برابر شده است.
به گفته مدير محصولات Damballa، تهديدات پيشرفته‌اي مانند ZeroAccess، زئوس نسخه 3 و TDL-4، مهمترين نقش‌ها را در اين ميان بازي مي‌كنند. وي اظهار كرد كه ساير خانواده‌هاي بدافزاري نيز با ارتباطات نظير به نظير سازگاري يافته‌اند.
صاحبان بت‌نت‌ها مي‌دانند كه با از كار افتادن هريك از سرورهاي كنترل و دستور، دسترسي خود را به هزاران يا ميليون‌ها كامپيوتر قرباني از دست مي‌دهند. به همين دليل سعي مي‌كنند با استفاده از شبكه‌هاي غيرمتمركز نظير به نظير، به انعطاف پذيري بيشتري دست يابند. در اين روش كلاينت‌هاي بت‌نت مي‌توانند دستورات را براي يكديگر ارسال نمايند.
تشخيص و مسدود كردن ترافيك خرابكار نظير به نظير با استفاده از روش‌هاي معمول مبتني بر فهرست آدرس‌هاي شناخته شده آي‌پي و ميزبان‌هاي مرتبط با سرورهاي كنترل و دستور، كار سختي است.
يك گروه از محققين دانشگاهي و توليد كننده‌هاي امنيتي در گزارشي در مورد بت‌نت‌هاي نظير به نظير، به اين نتيجه رسيده‌اند كه نياز فوري به كشف راه‌هاي جديد براي مبارزه با ترافيك خرابكار در بت‌نت‌هاي نظير به نظير وجود دارد.

شماره: IRCNE2013061874
تاريخ:28/03/92

شركت اوراكل قصد دارد تا به منظور برطرف نمودن 40 آسيب پذيري امنيتي، اصلاحيه هايي را براي جاوا SE منتشر كند.
37 ضعف در جاوا SE مي تواند بر روي شبكه توسط مهاجمان بدون نياز به نام كاربري و رمز عبور مورد سوء استفاده قرار بگيرد.
شركت اوراكل اعلام كرد: محصولات آلوده كه در به روز رساني روز سه شنبه اصلاح خواهند شد شامل جاوا SE، تعدادي از نسخه هاي JDK، JRE و پلت فرم توسعه JavaFX مي شود. هم چنين اين شركت به مشتريان خود توصيه كرد كه در اسرع وقت اصلاحيه ها را اعمال نمايند.

ID: IRCNE2013061877
Date: 2013-06-18

According to “CNet”, some clever hacker decided to create a malicious app deceivingly similar to Bad Piggies game in the Google Play store. And, it was downloaded more than 10,000 times before people took notice.
Security company F-Secure wrote on Wednesday that it had located Bad Pigs -- which had the same artwork and app description as Bad Piggies -- and let Google know. The only apparent differences between the two apps were the names of the app and the developer -- who was "Dan Stokes" rather than Rovio. Google has pulled Bad Pigs from Google Play, according to F-Secure.
Bad Piggies is one of the trendiest game apps on Google Play. Made by Rovio, the same developers as Angry Birds, the app has done exceedingly well on both Android and iOS platforms. The game's popularity makes it all the better for hackers to create copycat malware for unsuspecting consumers.
According to F-Secure, when people downloaded Bad Pigs to their mobile devices, they may have also inadvertently downloaded malware. The game reportedly asked users for a huge amount of permissions, including the ability to change settings, access to personal information, and more.
Google Play has filters that work to detect and block against apps with malware, spyware, and Trojans, but some of these ne'er-do-wells apparently slip through the cracks. Several malicious apps have bypassed Google's security system over the past couple of years. Bad Pigs apparently debuted on Google Play on May 25, 2013.

ID: IRCNE2013061876
Date: 2013-06-18

According to "zdnet", this month's Patch Tuesday saw five updates in total — one rated "critical" and four "important." But a key Windows vulnerability discovered weeks ago by a Google engineer still hasn't been patched.
Google information security engineer Tavis Ormandy discovered a bug in Windows 2000, Windows XP, and above, including Windows Server 2003 and 2008, that affects the user privileges of the logged-on user.
He made the zero-day flaw public, citing Microsoft as being "often very difficult to work with," and "treat[ing] vulnerability researchers with great hostility."
The software giant said it was not aware of any attacks and had not issued an advisory confirming the flaw.
Microsoft on Thursday confirmed the Google-discovered bug was not included in June's Patch Tuesday.
Microsoft Trustworthy Computing group manager Dustin Childs said in an emailed statement to ZDNet, "Microsoft carefully investigates newly discovered vulnerabilities and rigorously tests security updates on the affected operating systems and applications, and delivers solutions once they are ready."

ID: IRCNE2013061875
Date: 2013-06-18

According to "ComputerWorldUK", hackers have found a devious new way to disseminate malware: They're using peer-to-peer networks.
Security firm Damballa reports that the number of malware samples that use P2P communications has increased fivefold during the past 12 months.
Advanced threats like ZeroAccess, Zeus Version 3 and TDL-4 are playing the biggest roles in this development, said Stephen Newman, vice president of products at Damballa. Meanwhile, other malware families have adopted P2P as a command-and-control channel, he said.
Botnet masters stand to lose access to thousands or millions of infected computers if their control servers get shut down, so they're looking to gain resiliency by making use of decentralized P2P networks, where botnet clients can relay commands to one another, he said.
Malicious P2P traffic is hard to detect and block using traditional approaches that rely on lists of known IP addresses and hosts associated with command-and-control servers.
In an a recent report on the resilience of P2P botnets, a group of researchers from universities and tech vendors concluded that there's an urgent need to find new ways to thwart malicious traffic on P2P botnets.

شماره: IRCNE2013061873
تاريخ:22/03/92

روز سه شنبه به روز رساني هاي امنيتي مايكروسافت به منظور برطرف نمودن 23 آسيب پذيري در IE، ويندوز و آفيس منتشر شد. هم چنين مديريت گواهينامه هاي ديجيتالي در ويندوز بهبود يافت.
تنها بولتن امنيتي مربوط به IE كه با عنوان MS13-047شناخته مي شوددر رده امنيتي بحراني قرار دارد. اين بولتن 19 آسيب پذيري گزارش شده را برطرف مي نمايد كه تمامي نسخه هاي IE از نسخه 6 تا 10 را تحت تاثير قرار مي دهد و مي تواند به مهاجمان اجازه دهد تا از راه دور كد دلخواه را بر روي كامپيوترهاي آسيب پذير اجرا نمايند.
به منظور سوء استفاده از يكي از اين آسيب پذيري ها، مهاجم نياز دارد تا يك صفحه وب دستكاري شده مخرب را راه اندازي نمايد و كاربر را براي مشاهده اين صفحه ترغيب كند. با اين حال، در ويندوز سرور 2003، ويندوز سرور 2008، ويندوز سرور2008R2 و ويندوز سرور 2012، IE در يك حالت محدود با نام Enhanced Security Configuration اجرا مي شود كه مي تواند اثرات اين آسيب پذيري را كاهش دهد.
يكي از آسيب پذيري هايي كه Kandek، مدير فناوري در شركت امنيتي Qualys درباره آن نگران است، آسيب پذيري موجود در مايكروسافت آفيس 2003 و 2011 براي سيستم هاي مكينتاش مي باشد. اين رخنه اجراي كد از راه دور در بولتن امنيتي MS13-051 برطرف شده است اما هم چنان در حملات هدفمند مورد سوء استفاده قرار مي گيرد. با اين وجود، شركت مايكروسافت اين بولتن امنيتي را در رده امنيتي مهم قرار داده است.
Kandek گفت: حتي اگر نسخه هاي جديد آفيس براي پلت فرم ويندوز تحت تاثير اين آسيب پذيري قرار ندارند اما در حال حاضر آفيس 2003 توسط افراد زيادي استفاده مي شود در نتيجه اين آسيب پذيري، يك آسيب پذيري جدي مي باشد.
بولتن امنيتي MS13-049 نيز در روز سه شنبه منتشر شد و يك آسيب پذيري انكار سرويس را در درايور TCP/IP ويندوز برطرف مي كند كه تمامي نسخه هاي ويندزو به جز ويندوز xp و ويندوز سرور 2003 را تحت تاثير قرار مي دهد. يك مهاجم مي تواند كه با استفاده از اين آسيب پذيري، بسته هاي دستكاري شده خاص را براي سيستم مورد هدف ارسال نمايد به طوري كه سيستم ديگر نتواند پاسخي را ارسال نمايد. مديران شبكه بايد توجه ويژه اي به اين مشكل داشته باشند.
بولتن امنيتي MS13-048، يك آسيب پذيري را در كرنل ويندوز برطرف مي نمايد كه نسخه 32 بيتي ويندوز xp، ويندوز سرور 2003، ويندوز ويستا، ويندوز سرور 2008، ويندوز 7 وويندوز 8 را تحت تاثير قرار مي دهد. به منظور سوء استفاده از اين آسيب پذيري، مهاجم نياز دارد تا براي اجراي يك برنامه كاربردي دستكاري شده خاص به سيستم مورد هدف دسترسي يابد يا بايد كاربر محلي را به گونه اي فريب دهد كه خود كاربر اين برنامه را اجرا نمايد.
آخرين بولتن امنيتي با نام MS13-050، يك آسيب پذيري را در سرويس Windows Print Spooler برطرف مي نمايد كه به مهاجم اجازه مي دهد تا به صورت يك كاربر محلي با دسترسي هاي بالا احراز هويت شود. سوء استفاده موفقيت آميز از اين آسيب پذيري ممكن است منجر به اجراي كد از راه دور شود.
شركت مايكروسافت نيز يك به روز رساني جداگانه به همراه يك راهنمايي امنيتي براي بهبود مديريت گواهينامه هاي ديجيتال در ويندوز منتشر كرده است. اين به روز رساني عملكرد Certificate Trust List را در ويندوز ويستا، ويندزو سرور 2008، ويندوز 7، ويندوز 8، ويندوز سرور 2012 و ويندوز RT بهبود مي بخشد.
Kandek گفت: شركت مايكروسافت براي آسيب پذيري كه اخيرا توسط مهندس امنيت گوگل، Tavis Ormandy افشاء شده است، اصلاحيه اي منتشر نكرده است. اين آسيب پذيري نمي تواند براي اجراي كد از راه دور مود سوء استفاده قرار بگيرد اما مي تواند در يك حمله زنجيره اي و در كنار آسيب پذيري هاي ديگر مورد استفاده قرار بگيرد.
Kandek اشاره كرد كه مايكروسافت اصلاحيه اي براي اين آسيب پذيري آماده كرده است اما از آن جا كه آزمون هاي مناسب بر روي آن صورت نگرفته است، اين آسيب پذيري را در ماه آينده منتشر خواهد كرد.

مطالب مرتبط:
سه شنبه اصلاحيه مايكروسافت در راه است

ID: IRCNE2013061873
Date: 2013-06-12

According to "computerworld", a new batch of security updates released by Microsoft on Tuesday address a total of 23 vulnerabilities in Internet Explorer, Windows and Microsoft Office, including one that is actively exploited by attackers. The handling of digital certificates in Windows was also improved.
Only the security bulletin for Internet Explorer, identified as MS13-047, is rated critical. This bulletin addresses 19 privately reported vulnerabilities that affect all Internet Explorer versions, from IE 6 to 10, and could allow remote attackers to execute code on computers with the privileges of the active user.
In order to exploit one of these vulnerabilities attackers need to set up a maliciously crafted Web page and trick users into visiting it. However, on Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, and Windows Server 2012, Internet Explorer runs in a restricted mode called Enhanced Security Configuration that mitigates the vulnerability.
One of the vulnerabilities that Kandek is most concerned about affects Microsoft Office 2003 and Microsoft Office for Mac 2011 -- the most recent version of Office available for Mac OS X. This remote code execution flaw was addressed in the MS13-051 security bulletin, but is already being actively exploited in targeted attacks. Despite this, Microsoft only rated the security bulletin as important and not critical.
Even though later versions of Office for the Windows platform are not affected by this vulnerability, Office 2003 is still used by a lot of people, which makes this a serious vulnerability, Kandek said.
Another security bulletin released Tuesday, MS13-049, addresses a denial-of-service vulnerability in the Windows TCP/IP driver that affects all versions of Windows except for Windows XP and Windows Server 2003. An attacker could exploit this vulnerability by sending specially crafted packets to a targeted system which could cause it to stop responding.
"Network admins will want to carefully review and prioritize MS13-049, a network based denial of service bug," Storms said.
Another security bulletin, MS13-048, addresses a vulnerability in the Windows kernel that affects only 32-bit versions of Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 and Windows 8. In order to exploit this vulnerability an attacker would need to have access to the system in order to execute a specially crafted application or would need to trick a local user to execute it.
The last security bulletin, MS13-050, addresses a vulnerability in the Windows Print Spooler service that could allow an attacker authenticated as a local user to elevate his privilege when deleting a printer connection. Successful exploitation of this vulnerability could allow the attacker to execute arbitrary code on the system with system privileges, Microsoft said.
Microsoft also issued a separate update accompanied by a security advisory as part of its efforts to improve cryptography and digital certificate handling in Windows. This update improves the Certificate Trust List (CTL) functionality in Windows Vista, Windows Server 2008, Windows 7, Windows 8, Windows Server 2012 and Windows RT.
Microsoft did not patch the zero-day vulnerability disclosed recently by Google security engineer Tavis Ormandy, Kandek said. That vulnerability is an elevation of privilege (EoP) one and cannot be used for remote code execution, but it could be used in a chained attack together with other vulnerabilities, so attackers might attempt to use it, he said.
Microsoft probably already has a patch for it, but it hasn't been tested enough so it will release it next month, Kandek said.

Related Links:
Microsoft to tackle under-attack Office bug next week

شماره: IRCNE2013061872
تاريخ:21/03/92

با توجه به يافته هاي شركت امنيتي Rapid7، كاربران كشورهاي ويتنام، هند، چين، تايوان و احتمالا كشورهاي ديگر آسيا هدف حمله بدافزاري قرار گرفتند كه از اسناد Word مايكروسافت استفاده مي كند تا برنامه راه نفوذ مخفي را نصب كند و به مهاجمان اجازه دهد تا اطلاعات كاربران را به سرقت ببرند.
در اين حملات هدفمند از اسناد Word دستكاري شده استفاده مي شود و از طريق پست الكترونيكي براي قربانيان مورد نظر فرستاده مي شود. اين اسناد از آسيب پذيري هاي شناخته شده سوء استفاده مي كند كه سيستم هايي را تحت تاثير قرار مي دهد كه مايكروسافت آفيس را به روز رساني نكرده اند.
زماني كه اين اسناد مخرب باز شوند، دو سند از آسيب پذيري هاي اجراي كد از راه دور در مولفه كنترلي ويندوز سوء استفاده مي كند. اين آسيب پذيري ها با عنوان CVE-2012-0158 و CVE-2012-1856 شناخته مي شوند و مايكروسافت آفيس نسخه هاي 2003، 2007 و 2010 را تحت تاثير قرار مي دهند. در سال 2012 شركت مايكروسافت اين آسيب پذيري ها را به عنوان بخشي از بولتن هاي امنيتي MS12-027 و MS12-060 اصلاح نمود.
اسناد مخرب يك برنامه راه نفوذ مخفي را نصب مي كند كه محققان Rapid7 آن را KeyBoy ناميدند.اين بدافزار يك سرويس جديد ويندوزي را ثبت مي كند كه MdAdum ناميده مي شود و مي تواند يك فايل DLL مخرب را با نام CREDRIVER.dll بارگذاري نمايد.
بدافزار KeyBoy اعتبارنامه هاي ذخيره شده در اينترنت اكسپلورر و موزيلا فايرفاكس را به سرقت مي برد و يك مولفه keylogger را نصب مي كند كه مي تواند اعتبارنامه هاي ذخيره شده در گوگل كروم را نير به سرقت ببرد. هم چنين اين راه نفوذ مخفي به مهاجمان اجازه مي دهد تا اطلاعات كامپيوترهاي هدف حمله، فهرست دايركتوري ها را بدست آورند و فايل هاي دلخواه را دانلود يا آپلود نمايد.
علاوه براين، اين بدافزار مي تواند يك پوسته فرمان (command shell) ويندوز را بر روي سيستم آلوده باز كند و بدين ترتيب دستورات ويندوز را از راه دور بر روي آن سيستم اجرا نمايد.

شماره: IRCNE2013061871
تاريخ: 21/03/92

ممكن است اپل قادر نباشد براي جلوگيري از سرقت تلفن شما كاري انجام دهد، ولي تغييرات جديد iOS7 از اينكه سارق بتواند تلفن شما را به‌عنوان يك تلفن نو به فروش برساند جلوگيري خواهد كرد.
اپل روز دوشنبه در كنفرانس سراسري توسعه دهندگان خود از چند پيشرفت امنيتي در iOS پرده برداشت. قفل فعال‌سازي جالب‌ترين اين ويژگي‌ها است. اين شركت چندان به توضيح جزئيات اين ويژگي‌ها نپرداخته است، اما رئيس مهندسي نرم‌افزار مك اعلام كرد كه اين ويژگي از ريست كردن غيرمجاز iPhone يا iPad جلوگيري مي‌كند.
درصورتي‌كه ابزار رديابي Find My Phone غيرفعال شده باشد يا اينكه تلفن پاكسازي شده باشد، سارق براي به كار انداختن دستگاه بايد شناسه اپل و كلمه عبور صاحب گوشي را بداند.
پيشرفت‌هاي امنيتي ديگر در iOS7 شامل فعال‌سازي به ازاي هر برنامه براي يك VPN است كه به افراد اجازه مي‌دهد كنترل بيشتري روي تنظيمات VPN مورد استفاده خود داشته باشند. به‌روز رساني سيستم عامل نيز شامل مسدود كردن پيغام مي‌باشد.

New backdoor 'KeyBoy' malware hits Asia with targeted attacks
ID: IRCNE2013061872

Date: 2013-06-11
According to "computerworld", users from Vietnam, India, China, Taiwan and possibly other countries, were targeted as part of an attack campaign that uses Microsoft Word documents rigged with exploits in order to install a backdoor program that allows attackers to steal information, according to researchers from security firm Rapid7.
The targeted attacks used specifically crafted Word documents as bait in spear-phishing emails sent to the intended victims. These documents were rigged to exploit known vulnerabilities that affect unpatched installations of Microsoft Office.
When opened, the two documents attempt to exploit remote code execution vulnerabilities in the Windows common controls component. Identified as CVE-2012-0158 and CVE-2012-1856, respectively, these vulnerabilities affect Microsoft Office 2003, 2007 and 2010, and were patched by Microsoft in 2012 as part of the MS12-027 and MS12-060 security bulletins.
The malicious documents install a backdoor program that Rapid7 researchers have dubbed KeyBoy, after a text string found in one of the samples. The malware registers a new Windows service called MdAdum that loads a malicious DLL (Dynamic Library Link) file called CREDRIVER.dll, the researchers said.
The KeyBoy malware steals credentials stored in Internet Explorer and Mozilla Firefox and installs a keylogger component that can steal credentials entered into Google Chrome. The backdoor program also allows the attackers to get detailed information about the compromised computers, browse their directories, and download or upload files from and to them, the Rapid7 researchers said.
In addition, the malware can be used to open a Windows command shell on the infected computers that can be used remotely to execute Windows commands, they said.