Security News : اخبار و هشدارهاي امنيتي

در سه شنبه اصلاحيه مايكروسافت دو آسيب پذيري بسيار خطرناك كه منجر به حملات كنترل از راه دور رايانه مي شوند، برطرف شده اند. مايكروسافت سه شنبه دو بولتن امنيتي بسيار مهم را منتشر خواهد كرد تا آسيب پذيري هايي را در ويندوز و آفيس برطرف سازد. آسيب پذيري هاي مذكور در صورت سوءاستفاده موفق منجر به حملات كنترل از راه دور رايانه مي شوند.
اين بولتن امنيتي كه طبق برنامه انتشار اصلاحيه هاي مايكروسافت در دومين سه شنبه هر ماه، منتشر مي شود بر روي ويندوز 2000، XP، ويستا، ويندوز 7، سرور 2003 و 2008، آفيس XP، آفيس 2003 و 2007، ويژوال بيسيك مايكروسافت اثر مي گذارد. بنا بر اطلاعات ارائه شده توسط مايكروسافت در بلاگ MSRC، كاربران ويندوز 7 و ويندوز سرور 2008 R2 در معرض آسيب پذيري هاي مذكور نيستند.
در بولتن امنيتي كه قرار است منتشر شود، جاي اصلاحيه براي آسيب پذيري هاي SharePoint 3.0 و SharePoint Server 2007 خالي است. آسيب پذيري هاي مذكور كه هفته گذشته افشا شدند منجر به حملات cross-site scripting(XSS) با سوءاستفاده از مروگر شده و خطر افشا شدن اطلاعات حساس را بالا مي برند.
مايكروسافت در اين زمينه گفته است كه هنوز در حال تحقيق هستند و از كاربران خواسته است از گردش كاري پيشنهاد شده در راهنمايي امنيتي استفاده كنند.
همچنين مايكروسافت اعلام كرده است پشتيباني از سيستم عامل هاي ويندوز 2000 و XP SP2 را تنها تا 13 جولاي 2010 ادامه خواهد داد و كاربران براي دريافت به روز رساني هاي امنيتي بايد به سيستم عامل هاي جديدتر رو آورند.

certcc.ir

اين كرم كه از طريق فهرست دوستان فرد در ياهو مسنجر گسترش مي يابد، يك در پشتي بر روي سيستم قرباني نصب مي كند. يك كرم كه در حال گسترش از طريق ياهو مسنجر است، كاربران را ترغيب مي­كند كه چيزي را كه به نظر مي­رسد عكسي از يك دوست است دانلود نمايند. اما قربانيان در حقيقت بدافزاري را دانلود مي­كنند كه يك در پشتي (backdoor) بر روي سيستم ويندوز نصب كرده و سپس خود را در ميان دوستان آن فرد توزيع مي­كند.
اين كرم به شكل پيغامي از يكي از دوستان فرد در مسنجر دريافت مي­شود كه لغت «photo» يا «photos» را به همراه يك صورتك ياهو در متن پيغام دارد. يك لينك به يك وب سايت مشابه صفحات فيس بوك، MySpace يا برخي سايت­هاي ديگر نيز در اين پيغام وجود دارد كه به نظر مي­رسد تصوير مورد نظر در آنجا قرار گرفته است.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگر فرد قرباني بر روي لينك كليك نمايد، فايل اجرايي دانلود شده و در صورتي­كه فرد فايل را اجرا كند، سيستم وي آلوده شده و سپس اين پيغام خرابكار براي تمامي افراد موجود در فهرست مسنجر وي ارسال مي­شود. در سيستم­هاي Mac، دانلود اين فايل نتيجه خرابكارانه اي به همراه نخواهد داشت.
به گفته Symantec، زماني كه اين فايل اجرا مي­شود، اين كرم خود را به %WinDir%\infocard.exe كپي كرده، سپس خود را به Windows Firewall List اضافه كرده، كليدهاي رجيستري را تغيير داده، و سرويس Windows Update را متوقف مي­سازد. Symantec اين بدافزار را با نام W32.Yimfoca شناسايي كرده و اعلام كرده است كه اين كرم بر روي ويندوزهاي 98، 95، XP، Me، ويستا، NT، Server 2003 و 2000 تاثير مي­گذارد.
اين موضوع كه اين لينك توسط فردي ارسال مي­شود كه گيرنده وي را مي­شناسد، احتمال باز كردن لينك را بسيار بالا مي­برد. اين كرم نرم افزاري را بر روي سيستم آلوده قرار مي­دهد كه مي­تواند بعدا براي استفاده از آنها به عنوان يك عضو botnet كاركرد داشته باشد. البته وجود يك در پشتي بر روي يك سيستم در حقيقت به اين معناست كه هر اتفاقي ممكن است بيفتد.
به گفتهBitDefender، اين كرم عضوي از خانواده كرم­هايي است كه مي­توانند كلمات عبور و ساير داده هاي حساس و مهم را سرقت نمايند.
ياهو نيز اعلام كرد كه از اين موضوع مطلع بوده و در حال كار براي حل اين مساله است.

certcc.ir

اين كرم كه از طريق ياهو مسنجر و Skype منتشر مي شود، از تكنيك هاي مهندسي اجتماعي پيچيده تري استفاده مي كند. شركت امنيتي Bkis روز جمعه اعلام كرد كه پس از كرمي كه از طريق ياهو مسنجر منتشر شده و در پشتي بر روي سيستم­هاي قرباني نصب مي­كرد، اكنون كرمي جديد و پيچيده تر، در حال انتشار است.
به گفته Bkis، اين بدافزار از طريق ياهو مسنجر يا Skype منتشر شده و حاوي پيغامي مانند زير است:
Does my new hair style look good? Bad? Perfect?»
«My printer is about to be thrown theough a window if this pic won’t come out right. You see anything wrong with it?»
اين پيغام شامل لينكي به يك صفحه وب است كه ظاهرا حاوي يك فايل تصويري است. زماني كه روي اين لينك كليك شود، مرورگر صفحه اي را مشابه سايت RapidShare نمايش داده و يك فايل ZIP را براي دانلود پيشنهاد مي­دهد. اين فايل در حقيقت يك فايل اجرايي با پسوند .com است.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اين بدافزار كه Bkis آن را با نام W32.Skyhoo.Worm شناسايي مي­كند، در صورتي­كه سيستم داراي ياهو مسنجر يا Skype نباشد ناپديد مي­شود. به گفته Bkis، اين كرم به طور خودكار پيغام­هايي را با محتواي مختلف و به همراه لينك خرابكار به فهرست دوستان فرد در مسنجر ارسال مي­كند و همچنين به صورت خودكار يك لينك خرابكار را به پيغام­هاي ايميل و فايل­هاي Word يا Excel كه فرد ارسال مي­كند، تزريق مي­نمايد.
اين كرم همچنين براي دريافت دستورات از راه دور به يك سرور IRC متصل شده، نرم افزار آنتي ويروس را از كار انداخته، با استفاده از يك تكنيك rootkit فايل­هاي خود را پنهان كرده، و به طور خودكار كپي­هايي از خود را بر روي درايوهاي USB قرار مي­دهد.

certcc.ir

محققان راهي را ابداع كرده‌اند كه مي‌تواند از تمامي تدابير حفاظتي قرار گرفته در محصولات آنتي‌ويروس دسكتاپ شامل برنامه‌هاي عرضه شده توسط مكافي، تراندميكرو، AVG و بيت دفندر عبور كند.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، اين روش كه توسط محققان نرم‌افزار امنيتي در matousec.com طراحي شده با بهره‌برداري از هوك‌هاي درايوري كه برنامه آنتي‌ويروس در داخل سيستم عامل ويندوز قرار مي‌دهند، كار مي‌كند.

درواقع روش مذكور نمونه‌اي از كد بي‌خطر را به هوك‌ها ارسال مي‌كند كه در بررسي‌هاي امنيتي مورد تاييد قرار مي‌گيرد و سپس پيش از اجرا شدنشان، آن‌ها را با كدهاي مخرب عوض مي‌كند. اين بهره‌برداري بايد به‌موقع انجام بگيرد تا كد بي‌خطر زودتر يا ديرتر تعويض نشود.

بر اساس اين گزارش، اين روش مي‌تواند اكثر محفاظت‌هاي ضدويروس عرضه شده براي رايانه‌هاي ويندوز را فريب دهد تا به كد مخربي كه تحت شرايط معمولي مسدود مي‌شود، اجازه عبور دهند.

محققان 34 محصول آنتي‌ويروس را شناسايي كردند كه در برابر اين حمله آسيب‌پذيرند اما اين فهرست با ميزان زماني كه آن‌ها براي آزمايش داشتند تا اندازه زيادي محدود شد.

صدها وبلاگ وردپرس كه برروي سرورهاي مختلف ميزباني مي‌شدند، هدف حمله گسترده‌اي قرار گرفتند كه با تزريق كد مخرب، صفحات آن‌ها را آلوده ساخت.

به گزارش سرويس فن‌آوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، در حالي كه در بررسي اوليه به نظر مي‌رسيد اين حمله به وب‌سايت‌هاي ميزباني شده توسط شركت آمريكايي DreamHost محدود باشد اما پس از آن معلوم شد كه وبلاگ‌هاي تحت ميزباني GoDaddy، بلوهاست و مدياتمپل نيز آلوده شده‌اند.

بر اساس گزارش تي جي ديلي، به نظر مي‌رسد صفحات وب هك شده با اسكريپت‌هايي آلوده شده‌اند كه علاوه بر نصب بدافزار در سيستم‌هاي كاربران، از هشدار دادن مرورگرهايي مانند فايرفاكس و كروم گوگل براي بازديد نكردن كاربران از اين صفحات، ممانعت مي‌كنند.

هنگامي كه پيمايشگر گوگل با چنين صفحات آلوده‌اي مواجه مي‌شود، صفحات مذكور كدهاي بي‌خطر را به آن نشان مي‌دهند. اين استراتژي از امكان سوئيچ مرورگر بهره مي‌برد كه معمولا توسط طراحان براي تطبيق اختلاف‌هاي كاربردي در مرورگرهاي مختلف مانند اينترنت اكسپلورر و فايرفاكس استفاده مي‌شود.

كارشناسان درباره حفره امنيتي مورد بهره‌برداري براي انجام چنين حمله گسترده‌اي سردرگم مانده‌اند اما نكته‌اي كه درباره آن توافق وجود دارد احتمال آلوده شدن صفحات بيش‌تري علاوه بر وبلاگ‌هاي وردپرس است.

وردپرس يكي از بزرگ‌ترين موتورهاي وبلاگ‌نويسي است كه در سال 2003 راه‌اندازي شده و بيش از پنج ميليون و 300 هزار وبلاگ را ميزباني مي‌كند.

با استفاده از اين نقص امنيتي كاربران مي توانستند ديگران را مجبور كنند كه آنها را در Twitter دنبال نمايند. Twitter يك نقص امنيتي را كه روز دوشنبه كشف شده بود و به كاربران اجازه مي­داد كه ديگران را مجبور كنند كه آنها را دنبال كرده و مطالبي را كه به اشتراك مي­گذارند مشاهده نمايند.
ارسال يك پيغام با لغت «accept» به همراه نام كاربري Twitter فرد بدون علامت @ (مانند accept SteveD3)، كاربر مخاطب را وادار مي­كند كه فرد ارسال كننده را در Twitter دنبال نمايد.
Twitter ضمن اعلام اين مطلب، اظهار داشت كه در حال حاضر اين مشكل رفع شده است و اكنون نيز در حال كار براي تصحيح تمامي مواردي است كه كاربران مجبور شده اند ديگران را دنبال نمايند.
Twitter در مورد چگونگي ايجاد اين نقص در كد منبع و يا مدت زماني كه اين نقص در اين وب سايت وجود داشته است، توضيحي نداد.

certcc.ir

مايكروسافت در سه شنبه اصلاحيه اين ماه، دو آسيب پذيري را اصلاح كرده است كه كنترل كامل رايانه را در اختيار فرد مهاجم قرار مي دهند. مايكروسافت دو بولتن امنيتي بسيار مهم را منتشر كرده است كه در آن دو حفره امنيتي در برنامه هاي ايميل و ويژوال بيسيك اصلاح شده اند.
بولتن امنيتي [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] يك آسيب پذيري را اصلاح مي كند كه بر Outlook Express، Windows Mail و Windows Live Mail اثر مي گذارد، اصلاح مي كند. يك مهاجم مي تواند با سوءاستفاده از يك سرور ايميل، ميزباني سرور ايميل آلوده و يا اجراي حملات man-in-the-middle، از آسيب پذيري مذكور سوءاستفاده كند.
بولتن امنيتي [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] يك حفره امنيتي را در مايكروسافت ويژوال بيسيك براي برنامه هاي كاربردي (VBA) اصلاح مي كند كه مي تواند منجر به اجراي كد از راه دور شود. آسيب پذيري مذكور در صورتي منجر به حمله موفق مي شود كه برنامه كاربردي ميزبان يك فايل آلوده را باز كرده و آن را به محيط اجراي VBA ارسال كند. اين به روز رساني با تغيير شيوه اي كه VBA به دنبال كدهاي ActiveX پنهان در فايل ها مي گردد، مشكل مذكور را برطرف كرده است.
مايكروسافت هشدار داده است كه سوءاستفاده هاي موفق از حفره هاي امنيتي مذكور مي تواند كنترل كامل رايانه را در اختيار فرد مهاجم قرار دهد و از اين رو آسيب پذيري هاي اصلاح شده را بسيار خطرناك ارزيابي كرده است.
بولتن هاي امنيتي مذكور بر روي ويندوز 2000، XP، ويستا، ويندوز 7، سرور 2003، سرور 2008، آفيس XP، آفيس 2003 و 2007، مايكروسافت ويژوال بيسيك براي برنامه هاي كاربردي و ابزار توسعه نرم افزار(SDK) ويژوال بيسيك اثر مي گذارند. با اين وجود، طبق گفته مايكروسافت، ويندوز 7 و ويندوز سرور 2008 در صورتي كه از تنظيمات پيش فرض استفاده كنند، نسبت به حفره هاي امنيتي مذكور، آسيب پذير نيستند.
مايكروسافت همچنان مشغول كار بر روي آسيب پذيري هاي افشا شده در SharePoint Services 3.0 و SharePoint Server 2007 است كه منجر به حملات cross-site scripting(XSS) با سوءاستفاده از مرورگر مي شود.

certcc.ir

Adobe طي دو بولتن امنيتي، 21 آسيب پذيري را در نرم افزارهاي ShockWave Player و ColdFusion برطرف كرد.

شركت Adobe همزمان با سه شنبه اصلاحيه مايكروسافت، اصلاحيه هايي را براي ترميم حداقل 21 آسيب پذيري امنيتي مستند در محصولات ShockWave و ColdFusion عرضه كرد.
بر اساس بولتن امنيتي [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ، 18 آسيب پذيري از 21 آسيب پذيري مذكور، نرم افزار ShockWave Player را تحت تاثير قرار مي­دهند. ShockWave Player نرم افزاري رايگان است كه به كاربران اجازه مي­دهد محتواي چند رسانه اي و تعاملي وب را مشاهده نمايند.
در بولتن امنيتي Adobe آمده است كه:
«آسيب پذيري­هاي بسيار خطرناك در Adobe ShockWave Player 11.5.6.606 و نسخه هاي قبلي اين نرم افزار براي سيستم­هاي ويندوز و Mac شناسايي شده اند. اين آسيب پذيري­ها مي­توانند به يك فرد مهاجم اجازه دهند كه كد خرابكار خود را بر روي سيستم آسيب پذير اجرا نمايد.»
اين بولتن در رده امنيتي «بسيار مهم» قرار گرفته است و Adobe به كاربران اين محصول توصيه كرده است كه نرم افزار خود را به نسخه 11.5.7.609 ارتقا دهند.
دومين بولتن امنيتي ( [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ) كه در رده امنيتي «مهم» قرار گرفته است، سه نقص امنيتي را كه مي­تواند منجر به حملات CSS و افشاي اطلاعات گردد پوشش مي­دهد.
اين آسيب پذيري­ها بر روي نسخه هاي 8.0، 8.0.1، 9.0 و نسخه هاي قديمي­تر نرم افزار ColdFusion در سيستم­هاي ويندوز، Mac، و يونيكس تاثير مي­گذارد.
Adobe اعلام كرد كه هيچ­يك از اين آسيب پذيري­ها مورد سوء استفاده خرابكاران قرار نگرفته است.

certcc.ir

يك شركت امنيتي توانسته است روش جديدي را براي گذر از آنتي ويروس هاي نصب شده بر روي رايانه هاي ويندوز ارائه دهد.
شركت امنيتي Matousec جزئيات تكنيكي را كه از طريق آن مي توان از سد امنيتي آنتي ويروس ها گذشت، منتشر كرده است. با استفاده از تكنيك مذكور مي توان آنتي ويروس هاي معروفي همچون McAfee و Trend Micro را بر روي رايانه هايي كه ويندوز XP اجرا مي كنند، به زانو درآورد.
با اين وجود، حمله مذكور محدوديت قابل توجهي را دارد به اين معني كه فرد مهاجم بايد توانايي اجراي كد بر روي رايانه قرباني را داشته باشد. اين مسئله نشان دهنده آن است كه روش مذكور نمي تواند به صورت مستقل حملات موفقي را به انجام برساند بلكه مي تواند در يك حمله تركيبي كه در آن از چندين تكنيك استفاده مي شود، به كار گرفته شود. در اينگونه حملات فرد مهاجم از طريق يك حمله يا آسيب پذيري ديگر كنترل رايانه قرباني را در اختيار گرفته و سپس از سد آنتي ويروس نصب شده بر روي رايانه قرباني مي گذرد.
اين روش كه به نام حمله argument-switch مشهور است، مي تواند بر روي رايانه هاي ويندوز و بر عليه برنامه هاي امنيتي كه از تكنيكي به نام SSDT يا System Service Descriptor Table استفاده مي كنند، انجام شود. شركت امنيتي Matousec تكنيك مذكور را بر روي 35 آنتي ويروس از جمله BitDefender، F-Secure، Kaspersky، Sophos و همچنين McAfee و Trend Micro پيدا كرده است.

certcc.ir

سايمانتك نسخه مبتني بر ابر Endpoint را براي شركت هايي كه منابع محدود دارند، ارائه كرده است.
شركت امنيتي سايمانتك امكان جديدي را براي مديريت امنيت شركت هاي با اندازه كوچك و متوسط ارائه كرده است. سايمانتك چهارشنبه 22 ارديبهشت ماه در مورد Hosted Endpoint Protection كه يك سرويس حفاظتي مبتني بر ابر است، به رسانه ها اطلاع رساني كرد. اين سرويس جديد همان طور كه گفته شد براي شركت ها طراحي شده است و براي كاربران خانگي كاربرد ندارد.
بنا به گفته سايمانتك، راه حل جديد مذكور، امنيتي جامع را براي مشتريان شبكه بدون نياز به سخت افزار جديد و يا مديريت نرم افزار جديد، فراهم مي آورد.
مشتريان مي توانند با استفاده از اين روش و از طريق يك رابط كاربر وبي از رايانه ها و لپ تاپ هاي ويندوز خود محافظت به عمل آورند. در روش هاي سنتي براي برقرار كردن اين سطح امنيتي احتياج به نصب يك سخت افزار مجزا و يا يك سرور اختصاصي در شبكه است.
بنا بر گزارش سايمانتك روش SaaS يا software as a Service كه اخيراً طرفداران زيادي پيدا كرده است، در Hosted Endpoint Protection جديد استفاده شده و در نتيجه نصب و تنظيم آن را راحت تر ساخته است و از طرفي نيازمند نگهداري كمتري نيز مي باشد. لذا اين سرويس جديد براي شركت هايي كه منابع محدود دارند، مناسب تر است. قيمت سرويس مذكور با توجه به تعداد رايانه هاي كاربر متفاوت است.

certcc.ir