شماره: IRCNE200906248
شركت امنيتي Symantec اعلام كرد كه سوء استفاده از يك آسيب پذيري در ويندوز XP و ويندوز Server 2003 كه هنوز اصلاح نشده است، يك حمله جديد ايجاد كرده است كه احتمالا به زودي افزايش خواهد يافت.
بر اساس گزارش Symantec، يك سوء استفاده از نقص امنيتي DirectShow كه مايكروسافت حدود يكماه قبل راجع به آن اطلاع رساني كرده بود، به حداقل يك كيت حمله مبتني بر وب اضافه شده است. اين مساله احتمالا باعث خواهد شد كه اين نقص امنيتي در مدت زمان كوتاهي مورد حملات گسترده اي قرار بگيرد.
مايكروسافت هنوز اصلاحيه اي براي اين نقص امنيتي DirectShow كه سيستم عاملهاي ويندوز 2000، ويندوز XP و ويندوز Server 2003 را تحت تاثير قرار مي­دهد، ولي ويندوزهاي ويستا و Server 2008 از آن در امان هستند ارائه نكرده است. اين نقص امنيتي همچنين در ويندوز 7 نيز وجود ندارد.
حملاتي كه از اين نقص امنيتي استفاده مي­كنند از ماه مي تا كنون مورد بررسي قرار گرفته اند. در اين ماه مايكروسافت ضمن ارائه يك راهنمايي امنيتي در اين مورد تاكيد كرد كه شواهدي از تعداد محدودي حمله فعال را در دست دارد.
يك محقق ارشد Symantec معتقد است كه بر خلاف ساير سوء استفاده هاي اخير از آسيب پذيريهاي اصلاح نشده مايكروسافت، حملات DirectShow افراد يا سازمانهاي خاصي را هدف نگرفته است و با يك حمله هدفمند روبرو نيستيم.
چيزي كه توجه محققان را به خود جلب كرده است اين است كه سوء استفاده از نقص امنيتي DirectShow همراه يك حمله سرقت هويت انجام مي­شود. در اين مورد يك صفحه تقلبي كه ظاهر صفحات مايكروسافت را دارد، بدافزاري را ميزباني مي­كند كه سعي مي­كند كنترل سيستم فرد را بدست بگيرد. يعني در واقع مهاجمان سعي مي­كنند چندين كار را بطور همزمان انجام دهند.
اين سايت سرقت هويت به آرامي كاربر را به آدرس ديگري كه ميزبان كد حمله DirectShow مي­باشد منتقل مي­كند. اين كد حمله به صورت يك فايل .avi خرابكار طراحي شده است. چندين فايل .dll نيز روي سيستم قرباني لود مي­شوند كه اين فايلهاي dll نيز به نوبه خود، يك فايل اجرايي (.exe) رمز شده را لود مي­كنند. اين فايل اجرايي يك تروجان را دانلود و نصب مي­نمايد كه سيستم قرباني را به يك botnet در حال گسترش اضافه مي­كند.
اگرچه هنوز اصلاحيه اي براي اين حفره امنيتي در دست نيست، اما مايكروسافت به كاربران توصيه كرده است كه تجزيه گر QuickTime را در ويندوزهاي 2000، XP و Server 2003 غيرفعال نمايند. بيشتر محققان انتظار دارند كه مايكروسافت در سه شنبه اصلاحيه ماه جولاي اين نقص امنيتي را اصلاح كند.

اخبار مرتبط:
نقص امنيتي بسيار مهم ويندوز

شماره: IRCNE200906249
يكي از بلاگهاي فيس بوك كه به مباحثات مربوط به همه مسائل فيس بوك اختصاص دارد، خبر از كشف يك حفره امنيتي داده است. بلاگ FBHive فاش كرد سازندگانش راه نفوذي را كشف كرده اند كه برخي اطلاعات حساس پروفايل كاربران را در اختيار هكرها قرار مي دهد.
البته بنابر اعلام FBHive هكرها نمي توانند به عكسها يا پستهاي شما دسترسي داشته باشند و فقط مي توانند اطلاعات اوليه اي را كه در پروفايلتان وارد كرده ايد، حتي اگر آنها را اختصاصي كرده باشيد، ببينند. اين اطلاعات شامل محل (location)، جنسيت، وضعيت تأهل، ارتباطات، ديدگاه هاي سياسي، ديدگاه هاي مذهبي، تاريخ تولد و شهرتان مي شود.
وجود حفره هاي امنيتي در وب سايتهاي اجتماعي مسئله جديدي نيست: سال گذشته فيس بوك خبر از يك نشت اطلاعات داد كه در آن عكسهاي محافظت شده كاربران در وب سايت موبايلش در معرض ديد عموم قرار گرفت يا يك حفره امنيتي ديگر حدود يك سال پيش كشف شد كه اطلاعات مربط به تاريخ تولد كاربران را در معرض سوءاستفاده خرابكاران اينترنتي قرار مي داد.
طبيعتاً بلاگ FBHive جزئيات زيادي را در مورد حفره امنيتي تازه كشف شده اعلام نكرده است ولي اظهار داشته است كه اوايل اين ماه اطلاعاتي را در مورد اين مسئله در اختيار صاحبان شبكه اجتماعي فيس بوك قرار داده ولي متأسفانه آنها خيلي دير براي حل اين مشكل اقدام كرده اند. در بلاگ آنها آمده است:
" ما هكرهاي خرابكار نيستيم و مهارت هاي ما به هيچ وجه پيشرفته نيست. ما در FBHive علاقمندان به فيس بوك هستيم اما زماني كه حفره امنيتي به اين بزرگي وجود دارد و در مورد آن به فيس بوك اخطار داده شده است انتظار مي رود اصلاح آن 15 روز به طول نينجامد."
فيس بوك در ايميلي به وب سايت امنيتي CNET اعلام كرده است كه حفره امنيتي مذكور را برطرف كرده و هيچ بهره برداري از اين اطلاعات با نيتهاي بدخواهانه گزارش نشده است.

شماره: IRCNE200906247
محققاني از Computer Associates و Sophos در حال تهيه گزارش از سه بدافزار فعال هستند كه با ارسال ايميلهايي تحت پوشش اصلاحيه مايكروسافت كه البته جعلي است، و با استفاده از تاكتيكهاي مهندسي اجتماعي كاربران را فريب داده و فعاليت مي­كنند.
اولين بدافزاري كه در حال گسترش است با عنوان Important Windows XP/Vista Security Update خود را معرفي كرده و يك ابزار تقلبي حذف Conficker را پيشنهاد مي­دهد. دومين بدافزار با عنوان Outlook re-configuration سعي در فريب كاربر داشته و سومين بدافزار با عنوان Update for Microsoft Outlook/ Outlook Express (KB910721) خود را معرفي مي­كند، در حاليكه در حقيقت يك تروجان است.
ابزار تقلبي مبارزه با Conficker اكنون بيش از يك هفته است كه فعال است. Symantec در اين مورد اشاره كرده است كه نويسندگان اين ابزار تفاوت بين Troj/Brisv .A و Conficker را تشخيص نداده اند. در ماه آوريل هم يك اسپم در مورد آلودگي به Conficker منتشر شده بود.
دومين بدافزار فايل اجرايي Outlook_update.exe را اجرا مي­كند و اين كار را از طريق وب سايتهايي كه به نظر كاملا قانوني و معتبر هستند انجام مي­دهند. سومين بدافزار نيز فايل اجرايي officexp-KB910721-FullFile-ENU.exe را به ايميل پيوست مي­نمايد.

شماره: IRCNE200906246
شركت امنيتي سايمانتك در مورد كرمي كه همراه بمباران ايميلي در حال گسترش است هشدار داد. كرم مذكور از طريق پيوست ايميلي كه تظاهر مي كند يك دعوتنامه از طرف Twitter است، ارسال مي شود.
در پست سايمانتك در مورد اين موضوع آورده شده است:
"پيغام هاي بررسي شده ظاهراً از طرف يك حساب كاربري Twitter ارسال مي شوند ولي بر خلاف يك پيغام معتبر twitter، هيچ URL معتبري براي دعوتنامه در بدنه ايميل وجود ندارد ولي به جاي آن يك پيوست فايل .zip شامل يك كارت دعوت از طرف Twitter وجود دارد."
نام پيوست "Invitation Card.zip" است و سايمانتك نام W32.Ackantta.B@mm را براي آن انتخاب كرده است. كرم مذكور كه رايانه هاي داراي ويندوز را هدف قرار داده اولين بار در ماه فوريه در پيوست يك ايميل كشف شده است. بنابر اعلام سايمانتك اين كرم آدرسهاي ايميل را از رايانه هاي قربانيان جمع آوري كرده و از طريق ايميل، درايوهاي قابل حمل و فولدرهاي مشترك گسترش پيدا مي كند.

شماره: IRCNE200906245
تاريخ: 30/3/88

مايكروسافت يك نسخه بتاي عمومي از سرويس ضد بدافزار خود يعني Microsoft Security Essentials را بصورت رايگان براي مشتريان عرضه كرد.
سرويس Microsoft Security Essentials كه روي سيستم عاملهاي ويندوز XP، ويستا و ويندوز 7 اجرا مي­گردد، در كشورهاي ايالات متحده، برزيل، و فلسطين اشغالي در دسترس خواهد بود. نسخه بتاي عمومي اين نرم افزار نيز در آينده براي چيني ها عرضه خواهد شد.
اين سرويس مانند محصولات آنتي ويروس سنتي كار مي­كند كه در آنها نرم افزار كلاينت، برنامه هاي روي سيستم را كنترل و نظارت مي­كنند. در اين مورد نيز زماني كه تغييري روي سيستم ايجاد مي­شود، مثلا فايلي دانلود يا كپي شده و يا نرم افزاري سعي در تغيير فايلها داشته باشد، كلاينت ضد بدافزار مجموعه اي از امضاهاي بدافزارها را بررسي مي­نمايد. سپس اگر كد اين برنامه با كد يك بدافزار شناخته شده همخواني داشته باشد از دريافت آن جلوگيري مي­كند.
اگر بين اين كد و كد هيچ بدافزار شناخته شده اي همخواني وجود نداشته باشد، اين سيستم، سرور سرويس امضاي ديناميك را پينگ كرده و در مورد امضاهاي بدافزارهاي جديد از آن سوال مي­كند. اگر متوجه گردد كه اين برنامه امضاي يك بدافزار جديد را داراست، آن را حذف مي­كند. اما اگر سرور تشخيص دهد كه اين برنامه بدافزاري است كه تا بحال ناشناخته بوده است، نمونه كد آن را از كلاينت دريافت كرده و آن را بعنوان امضاي جديد در پايگاه داده بدافزارهاي خود ثبت مي­كند.
اين سرويس پايگاه داده خود را بطور دائم به روز رساني كرده و امضاهاي جديد را سه بار در روز براي Microsoft Update منتشر مي­نمايد.
اين سرويس همچنين تكنولوژيهايي را شامل مي­شود كه به محافظت در برابر rootkit ها و برنامه هايي كه براي پنهان كردن سوء استفاده از يك كامپيوتر طراحي شده اند كمك مي­كند.
اگر پيش از نصب اين ضد بدافزار، آنتي ويروسي روي سيستم نصب شده باشد، از نصب آن جلوگيري نمي­شود، ولي پيغامي مبني بر عدم نياز به دو نرم افزار امنيتي نمايش داده مي­شود.
اين سرويس جديد از ويژگيهايي مانند فايروال مديريت شده، تنظيم بازدهي، backup و restore و به اشتراك گذاري پرينتر برخوردار نيست.

شماره: IRCNE200906244
متخصصان شركت امنيتي Finjan اعلام كردند توانسته اند از يك شبكه زيرزميني هدايت كننده شبكه رايانه هاي خرابكار، پرده برداري كنند. مجرمان اينترنتي با پرداخت بين 5 تا 100 دلار به اين شبكه قادر بودند تا 1000 رايانه شخصي را در اختيار گرفته و با بدافزار هايي به منظور سرقت اطلاعات و يا ارسال هرزنامه آلوده سازند.
شبكه Golden Cash بر روي صفحه اصلي وب سايت خود نوشته است: "Your money-making machine" كهبه معني "ماشين پولسازي شما" مي باشد. اين شبكه به كار فروش اجازه دسترسي هزاران رايانه تحت فرمانش اشتغال داشته و رايانه هاي مذكور را در اختيار مجرمان اينترنتي براي گسترش بدافزارها قرار مي دهد.
روش كار اين شبكه بدين صورت است كه مجرمان صاحب شبكه، يك كد خرابكار را در يك وب سايت معتبر پنهان كرده و از اين طريق بازديدكنندگان وب سايت مذكور را تبديل به زامبي (رايانه هاي تحت فرمان خرابكاران) مي سازند. كدهاي خرابكار غالباً iFrame هايي هستند كه رايانه هاي شخصي را به وب سايتهاي متفاوتي هدايت مي كنند كه در آنجا بازديدكنندگان توسط تروجانها آلوده مي شوند. تروجانها راه هاي نفوذي (backdoor) را بر روي رايانه قرباني قرار مي دهند كه به سرقت اطلاعات پرداخته و گزارشهايي را براي سرور دستور و كنترل ارسال مي كنند.
براي افزايش تعداد شبكه هاي رايانه هاي خرابكار، سرور Golden Cash يك سارق FTP را بر روي زامبيهاي جديد به منظور سرقت اطلاعات ورود به وب سايتها قرار مي دهد و از اين طريق كنترل وب سايتهاي معتبر بيشتري را در اختيار مي گيرد. طبق گزارش Finjan تقريباً 100000 دامنه از سراسر جهان از طريق سرقت اطلاعات ورود به وب سايتها در اختيار Golden Cash قرار گرفته است.
شركت امنيتي Finjan در اطلاعيه خود در اين مورد آورده است كه روش فروش پيشرفته اين شبكه رايانه هاي خرابكار نقطه عطفي در تكامل جرايم رايانه اي است.
در وبلاگ مربوط به متخصصان امنيتي Finjan آمده است كه سرور دستور و كنترل شبكه مذكور در تگزاس آمريكا قرار دارد و كشور ثبت كننده وب سايت چين مي باشد. پراكسي وب سايت نيز كه ترافيك را به سرور دستور و كنترل هدايت مي كند در كراسنودار روسيه قرار دارد.
براي دريافت اطلاعات بيشتر و تخصصي تر در اين موضوع به Finjan's Malicious Code Research Center blog مراجعه فرماييد.

شماره: IRCNE200906243
آخرين به روز رساني نرم افزار iPhone OS 3.0 متعلق به شركت Apple، چندين آسيب پذيري را كه برخي از آنها به لحاظ امنيتي بسيار جدي و مهم هستند اصلاح مي­كند.
اين به روز رساني كه فقط از طريق iTune قابل دريافت است، 46 آسيب پذيري مستند را پوشش مي­دهد. در ميان اين آسيب پذيريها، چندين آسيب پذيري وجود دارند كه با مشاهده يك صفحه وب خرابكار يا يك تصوير دستكاري شده، به كدهاي خرابكار اجازه اجرا شدن مي­دهند.
بر اساس راهنمايي امنيتي Apple، جديترين آسيب پذيريها در DoreGraphics، ImageIO، Mail، Safari و WebKit اصلاح شده اند.
اين به روز رساني همچنين مسائل امنيتي مهمي را در IPSec، libxml، كدك ويدئوي MPEG-4، Profiles و Telephony مورد توجه قرار داده است.

تاريخ: 28/03/88
يكي از سرويسهاي URL-shortening به نام TinyURL كه براي خلاصه سازي آدرسهاي وب بر روي وب سايتهاي ميكروبلاگ مانند توييتر به كار مي رود، مورد نفوذ هكرها قرار گرفته است و ميليونها كاربر را به وب سايتهاي ناخواسته ارجاع مي دهد. در پي اين حمله بيش از 2.2 ميليون آدرس وب به آدرس وبلاگ Kevin Saban منتقل شدند به طوري كه ترافيك روي وبلاگ مذكور به شدت بالا رفت. متخصصان امنيتي Twitter ابتدا گمان كردند كه اين يك حمله هرزنامه اي مي باشد كه كاربران را به وب سايتهاي غيراخلاقي هدايت مي كند ولي بعداً متوجه شدند كه Kevin Saban كاملاً بي گناه است.
در حال حاضر متخصصان امنيتي توانسته اند حفره امنيتي موجود در برنامه سرويس مذكور را كشف كنند. حفره امنيتي مذكور در قسمت ويرايش سرويس خلاصه سازي URL وجود داشته و به همين علت در حال حاضر اين امكان غيرفعال شده است و كارشناسان مشغول بازگرداندن URL ها به منبع اصلي هستند.
بنا بر اظهارات يكي از كارشناسان، آخرين نسخه پشتيبان آدرسهاي URL مربوط به ماه مي بوده و آدرسهايي كه از آن به بعد ذخيره شده بودند از بين رفته اند. وي عنوان مي كند كه شخصاً هر روز يك نسخه پشتيبان تهيه مي كرده است كه متأسفانه آنها نيز به دليل نامشخصي از بين رفته اند.
آقاي Cluley كه در شركت Sophos مشاور ارشد امنيتي است به كاربران توصيه مي كند كه add-on هايي را براي توسعه آدرسهاي خلاصه شده بر روي مرورگرهايشان نصب كنند. وي مي گويد:
" با آدرسهاي وب خلاصه شده شما نمي دانيد به كجا خواهيد رفت تا زماني كه به آنجا رسيده باشيد. ما به شما توصيه مي كنيم از add-on ها براي توسعه آدرسهاي خلاصه شده استفاده كنيد. البته آنها محافظت 100 درصد از شما را تضمين نمي كنند زيرا وب سايتهاي معتبر نيز ممكن است آلوده شوند ولي به هر حال از هيچي بهتر هستند."

شماره: IRCNE200906241
يك محقق امنيتي شناخته شده اعلام كرده است در ماه جولاي آسيب پذيري هاي مهمي را در مورد twitter فاش خواهد ساخت. ماه نقصهاي Twitter، پروژه اي است كه در اول ماه جولاي آغاز خواهد شد. مجري اين پروژه يك محقق به نام Aviv Raff است كه به علت كارهايش در زمينه مسائل امنيتي مبتني بر وب معروف شده است. او قبلاً هشدار داده بود كه واسط كاربر Twitter محلي براي سوءاستفاده هكرها است. در همين راستا وي قصد دارد نقصهاي امنيتي XSS ((Cross-site scripting و CSRF (Cross-site Request Forgery) در Twitter، كه كاربران را در معرض حمله هاي بدخواهانه هكرها قرار مي دهند، در ماه جولاي فاش سازد. او در اين زمينه مي گويد:
" من هر روز يكي از آسيب پذيري هاي Twitter را در وب سايت twitpwn.com انتشار خواهم داد. از آنجايي كه آسيب پذيري هاي فوق مي توانند براي ايجاد كرم هاي اينترنتي مورد سوءاستفاده قرار بگيرند، من آسيب پذيري هاي مذكور را 24 ساعت قبل از انتشار در اختيار twitter قرار خواهم داد."
او اميدوار است متخصصان مربوطه آگاهي بيشتري نسبت به آسيب پذيري هايي كه در واسط كاربرها وجود داشته و منجر به توليد كرم مي شوند، پيدا كنند. او ادامه مي دهد:
""ماه نقصهاي Twitter" به راحتي مي تواند به "ماه نقصهاي سرويس هاي Web 2.0" تغيير نام پيدا كند و من اميدوارم كه Twitter و ديگر تأمين كنندگان واسطهاي كاربر Web 2.0 به خوبي با يكديگر همكاري كرده و واسطهاي كاربر امن تري را توليد كنند."
قابل ذكر است كه Raff جزء اولين كساني است كه در پروژه انتشار آسيب پذيري هاي ماهيانه همراه با HD Moore و ديگران شركت كرده بود. در پروژه مذكور يك ماه آسيب پذيري هاي مربوط به مرورگرها منتشر شده بود و بعد از آن پروژه هاي مشابهي در مورد سيستم عامل مك اينتاش، زبان برنامه نويسي PHP و كنترل هاي ActiveX انجام شد.

شماره: IRCNE200906240
شركت Mozilla يك نسخه جديد از مرورگر Firefox خود ارائه كرده است كه تعداد نه عدد از آسيب پذيريهاي امنيتي اين نرم افزار را ترميم مي­كند. چهار آسيب پذيري از مجموع اين نه آسيب پذيري در رده بسيار مهم طبقه بندي شده اند. اين آسيب پذيريهاي بسيار مهم كه توسط نسخه 3.0.11 نرم افزار Firefox ترميم شده اند، به مهاجمان اجازه مي­دهد كه كد مورد نظر خود را اجرا كرده و نرم افزار دلخواه خود را نصب نمايند.
اين نقايص امنيتي بسيار مهم شامل اجراي كد دلخواه با استفاده از شنود وقايع، از كار انداختن سيستم با خرابكاري در حافظه و تغيير اولويت است.
اين به روز رساني همچنين چندين موضوع جدي مانند مشكلاتي در پايگاه داده داخلي SQLite، و نيز وضعيتي كه در آن پايگاه داده هاي bookmark ها مي­تواند تخريب گردد را شامل مي­شود.
اين به روز رساني به طور خودكار دانلود خواهد شد و روي نسخه فعلي Firefox كاربران نصب خواهد شد. اين به روز رساني احتياج به آغاز به كار مجدد سيستم دارد.