Microsoft Windows Distributed File System Two Vulnerabilities

Criticality level: Highly critical

Software:

Microsoft Windows Server 2003 Datacenter Edition

Microsoft Windows Server 2003 Enterprise Edition

Microsoft Windows Server 2003 Standard Edition

Microsoft Windows Server 2003 Web Edition

Microsoft Windows Storage Server 2003

Microsoft Windows XP Home Edition

Microsoft Windows XP Professional

 

Description:

Two vulnerabilities have been reported in Microsoft Windows, which can be exploited by malicious people to cause a DoS (Denial of Service) and compromise a user's system.

1)      A validation error in the Distributed File System (DFS) can be exploited to corrupt memory via a specially crafted DFS response.

Successful exploitation allows execution of arbitrary code, but requires tricking a user into initiating a DFS connection to a malicious server.

2)      An error in the Distributed File System (DFS) when processing DFS referral responses can be exploited to cause a system to stop responding.

 

Solution:

Apply patches.

Windows XP Service Pack 3

Windows XP Professional x64 Edition Service Pack 2

Windows Server 2003 Service Pack 2

Windows Server 2003 x64 Edition Service Pack 2

Windows Server 2003 with SP2 for Itanium-based Systems

 

References:

MS11-042 (KB2535512):

http://www.microsoft.com/technet/security/Bulletin/MS11-042.mspx

 

Secunia:

http://secunia.com/advisories/44894/

 

پروتکل IPsec

پروتکل IPsec یک مجموعه پروتکل است که امنیت ارتباطات پروتکل اینترنت (IP) را توسط عملیات احراز هویت و رمزنگاری برای هر بسته IP در یک نشست ارتباطی تامین می کند. IPsec همچنین شامل پروتکل هایی می شود که برای برقراری یک ارتباط دوطرفه بین عامل ها در ابتدای نشست و مذاکره در مورد کلیدهای رمزنگاری برای استفاده در مدت زمان نشست، استفاده می شوند.

پروتکل IPsec اساسا راهی است که امنیت داده هایی را که در یک شبکه بین کامپیوترها منتقل می شوند، تضمین می کند. IPsec تنها یکی از قابلیت های ویندوز نیست، پیاده سازی ویندوزی IPsec بر اساس استانداردهای توسعه یافته توسط نیروی وظیفه مهندسی اینترنت (IETF) بنا شده است.

پروتکل IPsec در لایه اینترنت از مدل لایه ای پروتکل اینترنت کار می کند. IPsec می تواند از جریان های داده مابین میزبان ها (میزبان به میزبان)، مابین گذرگاه های امنیتی (شبکه به شبکه) یا مابین یک گذرگاه امنیتی به یک میزبان، پشتیبانی کند.

تعدادی از سیستم های امنیتی اینترنتی دیگر که به صورت گسترده کاربرد دارند، مانند لایه سوکت امن (SSL)، لایه امنیت انتقال (TLS) و پوسته امن (SSH) در لایه های بالایی از مدل TCP/IP کار می کنند. درصورتیکه IPsec هر نوع ترافیک در سراسر شبکه های مبتنی بر IP را پشتیبانی می کند. اگر ترافیکی غیر از IP در شبکه وجود داشته باشد، باید از پروتکل دیگری مانند GRE در کنار IPSec استفاده کرد.  

همه چیز درباره بدافزار - 1

در سری مقاله های بدافزار قصد داریم تا شما را با انواع بدافزارهایی که امروزه وجود دارند، آشنا سازیم. این مقاله ها شامل دسته بندی انواع بدافزارهای شناخته شده، تکنیکهای مورد استفاده بدافزارها، روشهای انتشار بدافزارها و تهدیدات آنها برای سازمانهای مختلف می باشد. به دلیل طبیعت تغییر پذیر، رو به رشد و گسترده این مقوله، در این مجال نمی توان به توضیح همه عناصر بدافزارها و همه انواع ممکن آنها پرداخت، ولی به هرحال مهمترین عناصر تشکیل دهنده بدافزارها، برای درک و فهم بهتر طبیعت آنها آورده شده است. همچنین در این مقاله ها به چیزهای دیگری که بدافزار نیستند، مانند ابزارهای جاسوسی، هرزنامه ها و ابزارهای تبلیغاتی نیز خواهیم پرداخت.

سیر تکاملی ویروسهای رایانه ای

اولین ویروسهای کامپیوتری در اوایل دهه 80 ظاهر شدند و اکثراً فایلهای خود تکرار شونده ساده ای بودند که برای سرگرمی و خنده ایجاد شده بودند. در سال 1986 گزارش اولین ویروسی که سیستم عامل MS-DOS مایکروسافت را بر روی کامپیوترهای شخصی مورد هدف قرار داد، منتشر شد. در واقع ویروس Brain به عنوان اولین ویروس از این نوع شناخته می شود. همچنین اوایل سال 1986 شاهد اولین ویروس فایلی به نام Virdem و اولین تروجان (برنامه ای که به نظر مفید یا بی خطر می رسد ولی در واقع برای دزدی اطلاعات و یا صدمه زدن به رایانه میزبان طراحی شده است) به نام PC-Write بودیم. تروجان مذکور خود را به عنوان یک برنامه کاربردی و محبوب Word Processor جا زده بود. همچنان که افراد بیشتری از تکنولوژی ویروسها اطلاع پیدا می کردند، تعداد ویروسها، تعداد سکوهای(platform) هدف حملات، پیچیدگی ویروسها و تنوع آنها رو به افزایش پیدا کرد. در یک بازه زمانی ویروسها بر روی سکتورهای راه اندازی (boot sector ) تمرکزکرده و بعد از آن شروع به آلوده سازی فایلهای اجرایی کردند. در سال 1988 اولین کرم اینترنتی (نوعی از بدافزار که از یک کد خرابکار برای گسترش خودکار از یک رایانه به رایانه دیگر از طریق شبکه استفاده می کند) ظاهر شد. کرم Morris منجر به کند شدن قابل توجه ارتباطات اینترنتی شده که در پاسخ به این حمله و تعدادی حملات مشابه، گروه پاسخگویی به رخدادهای رایانه ای یا CERT(Computer Emergency Response Team) با نشانی اینترنتی www.cert.org به منظور حفظ ثبات اینترنت از طریق هماهنگی در پاسخگویی به رخدادها، پایه گذاری شد. گروه مذکور از طرف دانشگاه کارنگی ملون آمریکا پشتیبانی میشود. در سال 1990، Virus Exchange BBS، به عنوان محلی برای تبادل و به اشتراک گذاشتن دانش نویسندگان ویروس، راه اندازی شد. همچنین اولین کتاب در مورد نوشتن ویروس منتشر شد و اولین ویروس چندریختی (معمولاً به آن chameleon یا Casper اطلاق می شود) گسترش پیدا کرد. یک ویروس چندریختی نوعی از بدافزار است که از تعداد نامحدودی الگوریتم رمزنگاری برای مقابله با تشخیص استفاده می کند. ویروسهای چندریختی توانایی تغییر خود در هربار تکرار را دارا می باشند. این توانایی آنها را از دید برنامه های آنتی ویروس مبتنی بر امضا که برای تشخیص ویروسها طراحی شده اند، پنهان می دارد. به این ترتیب، در اوایل دهه 90 خبر اولین حمله ویروسی چندریختی با نام Tequila منتشر شد و سپس در سال 1992 اولین موتور ویروس چندریختی و ابزار ویروس نویسی پا به عرصه ظهور گذاشت. بعد از آن ویروسها روز به روز کاملتر شدند. برخی ویروسها شروع به دسترسی به دفترچه آدرسهای ایمیل و ارسال خود به آن آدرسها کردند؛ ویروسهای ماکرو خود را به فایلهای برنامه های کاربردی مانند آفیس متصل کرده و به آنها حمله می کنند؛ و ویروسهایی که مشخصاً برای سوءاستفاده از آسیب پذیری های سیستم عاملها و برنامه های کاربردی نوشته می شوند. ایمیلها، شبکه های به اشتراک گذاری فایل (P2P)، وب سایتها، درایوهای مشترک و آسیب پذیری های محصولات، همه و همه برای گسترش و حمله ویروسها مورد سوء استفاده قرار می گیرند. راههای نفوذ یا Backdoors (نقاط سری ورود به شبکه که توسط بدافزارها ایجاد می شوند) بر روی سیستم های آلوده ایجاد شدند تا راه را برای بازگشت مجدد نویسندگان ویروس و هکرها جهت اجرای نرم افزارهای دلخواه، باز کنند. در این مقاله منظور ما از هکر یک فرد برنامه نویس رایانه یا کاربر آن است که قصد دسترسی به یک رایانه یا شبکه را به صورت غیر قانونی دارد. بعضی از ویروسها دارای موتور ایمیل جاسازی شده هستند که رایانه آلوده را وادار می سازد تا مستقیماً از طریق ارسال ایمیل، ویروس را انتشار دهد. همچنین نویسندگان ویروس شروع به طراحی دقیق معماری حمله های خود با استفاده از مهندسی اجتماعی کرده اند. همراه با این تکامل بدافزارها، آنتی ویروسها نیز به خوبی تکامل پیدا کرده اند. در حال حاضر بیشتر آنتی ویروسهای موجود در بازار بر مبنای امضای ویروس یا همان شناسایی مشخصه های یک بدافزار برای تشخیص کدهای مضر، عمل می کنند. به همین دلیل در فاصله زمانی بین انتشار یک ویروس جدید و شناسایی امضای آن و پخش آن بین آنتی ویروسهای مختلف، یک رشد ناگهانی در میزان آلوده سازی ویروس مشاهده می شود. اما به محض تشخیص امضای آن، روند آلوده سازی سیر نزولی پیدا می کند. برای اطلاعات تکمیلی در مورد تاریخچه ویروسها به مقاله ویروس قسمت اول - سرگذشت ویروس که در وب سایت ماهر منتشر شده است، مراجعه فرمایید.

لیست سفید روشی جدید برای مقابله با ویروسها

آنتی ویروس ها نشان داده اند که در حفاظت از رایانه ها در برابر ویروس ها کم آورده اند، لذا کارشناسان امر فناوری جدیدی به نام لیست سفید سازی را به بازار عرضه کرده اند که روش جدیدی را برای مقابله با بدافزارها به کار می برد.
لیست سفید و لیست سیاه من را به یاد جدول خوب ها و بدها که مبصر بر روی تخته می‌نوشت تا معلم را متوجه اتفاقات پشت پرده ی کلاس کند، می اندازد. انواع زیادی از لیست سفید و سیاه وجود دارد از همان خوب ها و بدهای مبصر ما گرفته تا لیست معتبر و غیر معتبر مشتریان بانک تا ... لیست سفید و سیاه برنامه های رایانه ای. در دنیای امنیت رایانه، لیست سفید، در برابر لیست سیاه که لیستی از برنامه های شرور است، به لیستی از برنامه های معتبر اطلاق می شود. در واقع، رایانه ها فرض می کنند هر برنامه ای آلوده و شرور است مگر اینکه خلافش ثابت شود یعنی اسم آن در لیست سفید مشاهده شود.
آنتی ویروس ها نشان داده اند که در حفاظت از رایانه ها در برابر ویروس ها کم آورده اند، لذا کارشناسان امر فناوری جدیدی به نام "لیست سفید سازی" را به بازار عرضه کرده اند که روش جدیدی را برای مقابله با بدافزارها به کار می برد. به این ترتیب که برنامه های معتبر را ثبت کرده و از اجرای دیگر برنامه ها ممانعت به عمل می آورد. به علت ماهیت این فناوری جدید، از آن در برابر دیگر تهدیدها مانند ابزارهای جاسوسی، ابزارهای تبلیغاتی، نرم افزارهای بدون گواهینامه و هر نوع برنامه های تأیید نشده ی دیگری نیز استفاده می شود. هم چنین به خوبی می تواند با ممانعت از دسترسی انواع تأیید نشده ی آنها به رایانه از پس کنترل وسایل جانبی نیز برآید.

به روز رسانی Debian برای chromium-browser

میزان حساسیت: بسیار مهم

نرم افزارهای تحت تاثیر:

Debian GNU/Linux 5.0

 

توضیح:

Debian یک به روز رسانی برای chromium-browser عرضه کرده است. این به روز رسانی چندین آسیب پذیری را برطرف می کند که برخی دارای تاثیر ناشناخته بوده و برخی دیگر می توانند توسط افراد خرابکار مورد سوء استفاده قرار گیرند تا از محدودیت های امنیتی خاص عبور نمایند و کنترل سیستم قربانی را در اختیار بگیرند.

 

راهکار:

بسته های به روز رسانی را از طریق apt-get package manager اعمال نمایید.

 

منابع:

DSA 2166-1:

http://lists.debian.org/debian-security-announce/2011/msg00032.html

 

Secunia:

http://secunia.com/advisories/43368/

به روزرسانی SUSE برای libtiff

میزان حساسیت: بسیار مهم

نرم افزارهای تحت تاثیر:

SUSE Linux Enterprise Server (SLES) 10

SUSE Linux Enterprise Server (SLES) 11

 

 

توضیح:

SUSE یک به روزرسانی برای libtiff ارائه کرده است. این به روزرسانیدو آسیب پذیری را برطرف کرده است که می تواند توسط افراد بداندیش مورد سوء استفاده قرار گیرد تا کنترل سیستم قربانی را در اختیار بگیرند.

 

راهکار:

بسته های به روزرسانی را از طریق zypper package manager اعمال نمایید.

 

منابع:

SUSE-SU-2011:0189-1:
https://hermes.opensuse.org/messages/7654705

SUSE-SU-2011:0189-2:
https://hermes.opensuse.org/messages/7742631

Secunia

http://secunia.com/advisories/43810/

 

مرورگر خود را امن کنید- قسمت سوم

امروزه مرورگرهایی مانند IE 7 و Mozilla Firefox تقریباً بر روی همه رایانه ها نصب می شوند و از آنجایی که اغلب اوقات مورد استفاده کاربران قرار می گیرند، ایمن سازی آنها یکی از ضروریات محسوب می شود. متأسفانه در اکثر موارد، مرورگرهایی که به صورت پیش فرض همراه با سیستم عامل نصب می شوند، دارای تنظیمات ایمنی نیستند و عدم ایمن سازی مرورگر، به سرعت منجر به بروز مشکلاتی از قبیل نصب پنهانی هرزنامه ها و در اختیار گرفتن رایانه توسط نفوذگران می شود. قابل ذکر است که تعداد حمله های نرم افزاری که با استفاده از آسیب پذیری مرورگرها به وقوع می پیوندند، روز به روز در حال افزایش است. در قسمتهای قبلی نکاتی کلی در مورد امنیت مرورگرها و نیز ایمن سازی مرورگر IE بیان کردیم. در این قسمت به بیان نحوه ایمن سازی Firefox می پردازیم. بسیاری از ویژگیهای Firefox مانند IE است و فقط در مورد ActiveX و مدل Security Zone با IE متفاوت است. Firefox پشتیبانی زیرین را برای سیاستهای امنیتی قابل تنظیم (CAPS) داراست که مشابه مدل Security Zone در IE است. ولی هیچ واسط کاربر گرافیکی برای تنظیم این گزینه ها وجود ندارد. پیشنهاد می کنیم که در Help این نرم افزار، بخش For Internet Explorer Users را مطالعه نمایید تا تفاوت واژگان به کار رفته در دو مرورگر IE و Firefox را مشاهده کنید. در زیر چندین گام برای غیر فعال سازی برخی ویژگیها در Firefox بیان شده اند. توجه داشته باشید که ممکن است برخی گزینه های منوها در نسخه های مختلف نرم افزار متفاوت باشند یا اینکه بسته به سیستم عامل میزبان، در محلهای متفاوتی قرار گرفته باشند. برای تغییر تنظیمات Firefox از منوی Tools ، گزینه Options را انتخاب کنید.

مرورگر خود را امن کنید- قسمت دوم

امروزه مرورگرهایی مانند IE Explorer 7 و Mozilla Firefox تقریباً بر روی همه رایانه ها نصب می شوند و از آنجایی که اغلب اوقات مورد استفاده کاربران قرار می گیرند، ایمن سازی آنها یکی از ضروریات محسوب می شود. متأسفانه در اکثر موارد، مرورگرهایی که به صورت پیش فرض همراه با سیستم عامل نصب می شوند، دارای تنظیمات ایمنی نیستند و عدم ایمن سازی مرورگر، به سرعت منجر به بروز مشکلاتی از قبیل نصب پنهانی هرزنامه ها گرفته تا در اختیار گرفتن رایانه توسط نفوذگران می شود. قابل ذکر است که تعداد حمله های نرم افزاری که با استفاده از آسیب پذیری مرورگرها به وقوع می پیوندند، روز به روز در حال افزایش است. یکی از مرورگرهای بسیار متداول در ایران، مرورگر مایکروسافت یا Internet Explorer است که به صورت پیش فرض همراه با سیستم عامل ویندوز نصب می شود و حذف آن ممکن نیست. این مرورگر علاوه بر پشتیبانی از جاوا، اسکریپتها و سایر انواع محتوای پویا، تکنولوژی ActiveX را نیز پشتیبانی می کند. طبیعتاً آسیب پذیری مرورگری که از ActiveX استفاده می کند، بسیار بیشتر از مرورگر فاقد این امکان است. توجه کنید که استفاده از یک مرورگر دیگر، IE یا دیگر اجزای ویندوز را از روی سیستم پاک نمی کند و نرم افزارهایی مانند کلاینت ایمیل ها ممکن است از IE، WebBrowser ActiveX control (WebOC) و یا IE HTML rendering engine (MSHTML) استفاده کنند. بنابراین برای ایمن سازی IE7، ابتدا باید بعضی از امکانات آن را غیر فعال سازید. در زیر چندین گام برای غیر فعال سازی برخی ویژگیها در IE بیان شده است. توجه کنید که ممکن است برخی گزینه های منوها در نسخه های مختلف نرم افزار متفاوت باشند یا اینکه بسته به سیستم عامل میزبان، در محلهای متفاوتی قرار گرفته باشند. برای تغییر تنظیمات، بر روی گزینه Tools در نوار منو کلیک کرده و سپس Internet Options را انتخاب کنید.