09 7430130 This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
 עברית < English

Our projects

התראה מספר 2
headerAlert
 יום שני,  30 במרץ 2009 | ה בניסן תשס"ט 
 
  
alertDetails_02

התנהגות ה-Conficker ב-1 לאפריל
ועוד התראות חמורות על HP OpenView ו-Firefox
  
alertDetails_04

גבוהה
  
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)
   

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

 


ללקוחותינו שלום,

יתפרץ או לא יתפרץ ב-1 לאפריל? זו שאלת השאלות ששואלים את עצמם מומחה אבטחת מידע בכל העולם.

אך האם זה בכלל משנה! יש פעולות מניעה שמומלץ לעשות (ראו בהמשך) ובמידה ונקטתם בפעולות אלו הרי שהשאלה הופכת להיות ללא רלבנטית עבורכם.

לפני שאנחנו ניגשים לפירוט ההתראות, יש לנו בקשה אישית לכל אחד ואחת מכם.

מטרת שירות ההתראות שלנו להביא לידיעתכם מידע ממוקד, מקצועי ו"לעוס" אשר יעזור לכם למנוע את המקרה הבא. כדי שנוכל לעזור לכם אנחנו זקוקים לשיתוף פעולה פרו-אקטיבי שלכם. המפתח הוא מהירות תגובה ושיתוף מידע, ככל שתדעו יותר מוקדם על מקרה שקרה בארגון מעבר לרחוב כן תשכילו למנוע את האירוע הבא אצלכם. וככל שתשתפו אותנו במידע על אירוע שקרה אצלכם כך יימנע האירוע אצל הארגון השכן...

לפיכך, שתפו אותנו בכל פיסת מידע של מקרה שקרה או הובא לידיעתכם כך שנוכל לשתף אתכם ואת הארגונים השכנים. אנו צריכים מידע בזמן אמת. אנחנו מתחייבים לשמור על סודיות המידע שתשלחו באופן בלתי מתפשר כך שבשום מקרה לא ייחשף כל מידע פרטי השייך לכם ולארגונכם.

ועכשיו להתראות...

Conficker.C
בשבועות האחרונים אנו מוצפים במאות כתבות המספרות לנו כי בקוד של התולעת בגירסתה המעודכנת  (C) מצויין ה-1 לאפריל כיום המועד לפורענות אשר החל ממנו יתחילו המחשבים הנגועים לפנות ל-50,000 כתובות ביום במקום 250 על-מנת להתעדכן. גם לגבי מספרי המחשבים הנגועים בעולם ישנם חילוקי דעות למרות שכולם מסכימים שמדובר בהרבה מיליונים. אז מה באמת צפוי לנו ב-1 לאפריל!

HP OpenView
כצפוי, ה- Conficker לא לבד. פירצת אבטחה חמורה זוהתה ב- HP OpenView ע"י  Core Security ו- Secunia אשר דיווחו במהלך השבוע האחרון על בעיות אבטחה חמורות שדורשות את תשומת ליבכם.  HP כבר הוציאה טלאי להתייחסותכם...

Firefox 3.0.8
ולסיום, ביום שישי התבשרנו כי  Mozilla הוציאה גירסת  Firefox חדשה. זוהי גירסא 3.0.8 לכל מערכות ההפעלה הנפוצות:  Windows, Mac, Linux הסוגרת שתי פרצות אבטחה חמורות אשר מאפשרות להשתלט על המחשב. גם כאן, נא לא להתעלם...

להזכירכם, ההתעלמות מטלאי האבטחה של  MS08-067 של מיקרוסופט מה-23 לאוקטובר עלתה לכמה מיליונים של מחשבים ורשתות ארגוניות מחיר יקר מאוד.

להלן פירוט ההתראות. נשמח לענות על כל שאלה כמו גם לקבל פידבק.

בברכת חג פסח שמח,
צוות איי פי וי סקיוריטי בע"מ
 
arrow  Conficker.A, Conficker.B, Conficker.C, Downadup, Kido
     
 

למרות שהרבה כתבו וחקרו את התולעת, אין אף אחד שבאמת יודע מה ואם תעשה התולעת ב-1 לאפריל. את השאלות והתהיות ניתן ללמוד מהמאמר שפורסם בשבוע שעבר:  Puzzle over Conficker worm's intentions.

לפי מספר רב של הערכות, ב-1 באפריל תבצע התולעת התקשרויות רבות אל מול "שרתי הפיקוד" שלה ברחבי העולם תוך שימוש בתצורת התקשרות חדשה לחלוטין ולא ידועה, שכל חברות האנטי-וירוס והמחקר העולמיות לא הצליחו לפצח. העובדה היחידה שכן ידועה היא שהתאריך 1 באפריל מוטבע בקוד התוכנה.

הגירסה השלישית של התולעת – והעדכנית ביותר – היא תצורה "הגנתית". המשמעות היא שהיא מתפשטת אמנם פחות, אבל נכתבה כך שהיא קשה מאוד לגילוי, פיצוח והשמדה ע"י תוכנות האנטי-וירוס. לדברי חברות המחקר ה- Conficker הינה תולעת שונה לחלוטין מכל תולעת שנכתבה עד היום מבחינת רמת הקוד והתחכום שלה. הפירוט המלא ביותר על התולעת עודכן לאחרונה והוא נמצא באתר של SRI.

לדברי סימנטק, ההאקרים "מאוד סבלניים ומתודיים... ולאף אחד אין ממש מושג מה יקרה ב-1 באפריל".

אחד הניתוחים המעניינים ניתן בבלוג של מר בריאן קרבס מהוושינגטון פוסט לפני מספר ימים. בין השאר מציין קרבס כי כנראה נכון שהתולעת מתוכננת לצאת ל-50,000 דומיינים החל מה-1 לאפריל שרשומים ב-110 מדינות אך חשוב לזכור כי הגוף שהתאגד להילחם בתולעת (Conficker Cabal ) קיבל אישור מ-109 מהמדינות שהם ימנעו כל רישום של מי מהדומיינים שברשימה. בריאן גם ממליץ על שאלות ותשובות בנושא מהאתר של F-Secure. שווה קריאה.

את הנחיות מייקרוסופט להורדת התולעת ממחשב נגוע ניתן למצוא ב- http://support.microsoft.com/kb/962007

אתר נוסף עם אינסוף לינקים ומידע על הקונפיקר תמצאו ב- Internet Storm Center של  SANS . תמצאו בו את כל מה שרציתם לדעת על הוראות הורדה וכלי הסרה של התולעת ועוד.

לפירוט אופן ההפצה, פוטנציאל הנזק ופעולות מניעה מומלצות, נא בקרו בהתראה מספר 1.
עדכון חשוב
מועד העדכון: 31 למרץ, 2009
צוות חוקרים מקבוצת Honeynet Project הצליח לזהות באג בתולעת אשר מאפשר לזהות מחשבים נגועים. יכולת הזיהוי שאובחנה הוכנסה למרבית סורקי האיומים הנפוצים כולל Nmap. להלן לינקים לקבלת פרטים נוספים על המחקר ותוצאותיו:

פרסום המחקר ותוצאותיו מהוושינגטון פוסט:
http://voices.washingtonpost.com/securityfix/?wpisrc=newsletter&wpisrc=newsletter

פרסום המחקר מאתר Honeynet Project:
http://www.honeynet.org/papers/conficker/

קובץ המחקר: http://www.honeynet.org/files/KYE-Conficker.pdf

קבוצת החברות שהתאגדו כנגד הקונפיקר שנקראה Conficker Cabal שינתה את שמה ל-Conficker Working Group והקימה אתר (כרגע עדיין עם מעט אינפורמציה אך שווה לשמור).
http://www.confickerworkinggroup.org/wiki/pmwiki.php?n=Main.HomePage

  
     
 
arrow HP OpenView
     
 

בסוף שבוע שעבר ניתנה התראה כי נתגלו 3 פרצות קריטיות ב- HP OpenView ע"י  Core Security ו-Secunia .

3 הפרצות יכולות להיות מנוצלות  (exploited) מרחוק באמצעות  buffer overflows בכדי לפגוע בשרתים קריטיים בארגון עליהם מותקנת התוכנה.

הפגיעה מתבצעת ע"י שליחת  crafted HTTP requests לשרת ה- Web של ה- HP OpenView ולאחר מכן הפעלת קוד על המערכת הפגיעה.

הבעיות שנמצאו מתייחסות לגירסאות 7.01, 7.51, ו-7.53 אשר רצות על מערכות HP-UX, Linux, Solaris, ו- Windows.

עוד מידע על הפגיעויות ניתו למצוא במאמרים הבאים:

http://www.techworld.com/security/news/index.cfm?newsid=113290&email

http://www.darkreading.com/security/app-security/showArticle.jhtml?articleID=216200217&cid=nl_DR_DAILY_H

 HP הוציאו עדכון ומומלץ לפנות אל החברה ישירות ולפעול על-פי ההנחיות של אנשי המקצוע שלה בטווח הזמן המיידי.

  
 
     
 
arrow Firefox 3.0.8
     
 

ונסיים בעדכון גירסה חשובה מאוד ל- Firefox שהופצה ביום שישי האחרון

הגירסה החדשה של Firefox, גירסה 3.0.8 סוגרת שתי פרצות אבטחה חמורות שנתגלו בדפדפן.

שתי החשיפות שנתגלו מאפשרות לפורץ לנצלם לטובת ביצוע  DoS (Denial of Service) או להשתלטות על המחשב של המשתמש. את פירוט הפגיעויות ניתן לקבל בלינקים הבאים:

http://www.mozilla.org/security/announce/2009/mfsa2009-12.html

http://www.mozilla.org/security/announce/2009/mfsa2009-13.html

מומלץ מאוד לכל משתמשי Firefox לעדכן באופן מיידי את גירסת הדפדפן. כל שנדרש הוא לפתוח את הדפדפן, ולהפעיל את ה- Check for Updates… מתפריט ה- Help.		  
 
     
 
arrow סיכום
     
 

אז מה המסקנות וההמלצות שלנו?

להערכתינו, ואנו מסתכנים כאן בנבואה שכולנו יודעים למי ניתנה... ה-1 לאפריל יעבור ללא כל אירועים חריגים ומיוחדים. הסיבה, כל אנשי המקצוע בעולם וכל החוקרים ואנשי הממשל מחכים ל-1 לאפריל בציפייה. כל מערכות הניטור ברשת מצפים שהכותבים של התולעת יעשו את הטעות שתביא לזיהויים. מצד שני כל אנשי המקצוע מסכימים שכותבי התולעת הינם מקצוענים שאוהבים להפתיע. אז להערכתינו הם יפתיעו, אבל לא ב-1 לאפריל, במועד שיתאים להם יותר. אבל כאן אנחנו עוסקים בספקולציות, המסקנה הבאה היא החשובה באמת...

אם כל המערכות בארגון שלכם מעודכנות בטלאי אבטחת המידע, אין זה כבר יותר רלבנטי אם ומתי התולעת תפגע, אתם מוגנים. אם ביטלתם את אפשרויות ה-Autorun מההתקנים נתיקים הרי שהקטנתם משמעותית את הסיכון שתיפגעו. אם אתם מנטרים את תעבורת הרשת שלכם ובוחנים כל התנהגות חריגה הרי שגם אם תיפגעו, תקטינו משמעותית את הנזק. בקיצור, היו פרו-אקטיביים.

כמובן שכדאי לנקוט בכל האמצעים כפי שהמלצנו בהתראה הקודמת, ולשים לב לפעילות חריגה ברשת הארגונית ובתעבורה היוצאת והנכנסת ביום רביעי, ה-1 באפריל.

נשמח לשמוע מכם תגובות, הערות והארות וגם ללמוד מנסיונות ההתמודדות שלכם עם איומי אבטחה שונים, תולעים ושאר מזיקים. כמובן שגם נשמח להשיב על כל שאלה ובאופן כללי לסייע בייעוץ והכוונה איפה שאפשר.

שתפו אותנו ואת הקולגות שלכם - אם יש לכם מידע נוסף שיכול לעזור לקולגות שלכם בארגונים אחרים, נא שילחו לנו את המידע כך שנוכל להעבירו באופן ענייני וחסוי. נא שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן!

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.

 

שיתוף מידע = יותר אבטחת מידע

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. בכל דבר בתחום אבטחת המידע - תובנות, אירועים, בדיחות, לינקים מעניינים ועוד.

שיתוף מידע = יותר אבטחת מידע

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.

  
     
 
   
 
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2009) ©
התראה מספר 3
headerAlert
 יום שני,27 באפריל 2009 | ג' באייר תשס"ט 
   
  
alertDetails_02

התראות חמורות על SAP ו-VMWare
alertDetails_04

גבוהה
  
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)
   

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

 
   

ללקוחותינו שלום,  

ה-1 באפריל עבר, כך גם חג הפסח, ויום העצמאות בפתח. כמובן שבתחום שלנו אין חגים וחופשות ועל כן הצטברו על שולחננו מספר גדול של פרצות חדשות, עידכונים חדשים עבורן ואירועי אבטחה שונים שהתרחשו בארץ ובעולם במהלך אפריל.

התחזיות לגבי ה- Conficker היו מדוייקות למדי: התפרצויות אירעו רק ברשתות אשר לא היו מוגנות ע"י הטלאי ובמקביל עברה התולעת שינוי נוסף - הפעם כזה אשר משייך אותה לרשת  Bot עולמית אשר מטרתה היא רווח כספי תוך שימוש במספר גדול מאוד של דומיינים המשמשים את מפעיליה כמרכזי פיקוד ושליטה (CnC).

כמו כן, מיקרוסופט הוציאו את חבילת עידכוני האבטחה הגדולה ביותר מתחילת השנה (8 תיקונים ל-23 באגים);  Oracle הוציאה את חבילת העידכונים הרבעונית שלה הכוללת תיקונים ל-43 באגים ופרצות אבטחה; ונתגלו מספר פרצות והופצו טלאים והוראות תיקון למספר מוצרים ופתרונות של  Cisco (בינהם: ASA\PIX Firewall ,  IOS ופירצה בפרוטוקול  SIP המשמש מערכות VoIP ). מומלץ לתת את הדעת ולבדוק...

ב"אירוע מתגלגל" אשר החל לפני כשבועיים וממשיך להתפתח נתגלו מספר תולעים המופצות דרך אתר המיקרו-בלוגינג/רשת חברתית  Twitter (ואשר הושתלו באתר תוך שימוש בפירצת  XSS שנמצאה בו). זוהי דרך חדשה יחסית להפצת תולעים אשר עושה שימוש בתפוצה הנרחבת ובפופולריות של אתרי הרשתות החברתיות ובעובדה שפרוטוקול ה- HTTP פתוח כמעט בכל רשת ארגונית. גם בסוגיה זו מומלץ להיות ערניים ולגבש דרכי התמודדות.

להלן פירוט ההתראות על SAP ו-VMWare כולל דרכי התגוננות ומניעה.

נשמח לענות על כל שאלה כמו גם לקבל פידבק.

בברכת יום עצמאות שמח,
צוות איי פי וי סקיוריטי בע"מ
 
   
arrow VMWare Products Multiple Vulnerabilities
 

 

מתחילת חודש אפריל נתגלו ופורסמו מספר פרצות אבטחה קריטיות בפתרונות שונים של VMWare - Server, Workstation, ACE, ESX ו-Player. הפרצות רלוונטיות למספר גירסאות גדול.

הפרצות עלולות לאפשר לפורץ פוטנציאלי לבצע פעולות מן הסוגים DoS, Privilage-Escalation, Buffer-Overflow ועוד ולאפשר השבתת מערכת, הפעלת קוד, השגת שליטה על המערכת וקבלת גישה אל מידע מסווג.

הפרצות שנמצאו מתייחסות בעיקר לגירסאות הבאות:
Workstation 6.0.x, 6.5.x
Player 2.0.x, 2.5.x
ACE 2.0.x, 2.5.x
Server 1.x, 2.x
ESXi 3.5
ESX 3.0.2, 3.0.3, 3.5

עוד מידע על הפגיעויות ניתן למצוא במאמרים הבאים:
http://secunia.com/advisories/33372/
http://www.securityfocus.com/bid/34373/info

 VMWare הוציאו עדכון לתיקון הפרצות:
http://lists.vmware.com/pipermail/security-announce/2009/000055.html
http://lists.vmware.com/pipermail/security-announce/2009/000054.html

 מומלץ לפנות אל החברה או אל ספק השירות ולפעול על-פי ההנחיות המתקבלות מהם בטווח הזמן המיידי.

  

 

  
 
   
arrow  SAP GUI Vulnerabilities
 

 

מתחילת חודש אפריל נתגלו ופורסמו שתי פרצות אבטחה קריטיות ב-SAP GUI.

ניצול הפירצה עלול לחשוף בפני הפורץ מידע חסוי ולאפשר לו להפעיל קוד על המחשב המארח.

הפרצות שנמצאו מתייחסות בעיקר לגירסאות הבאות:
SAP GUI 6.x
SAP GUI 7.x

עוד מידע על הפגיעויות ניתן למצוא במאמרים הבאים:
http://secunia.com/advisories/34559/2/
http://secunia.com/advisories/32869/2/
http://www.securityfocus.com/bid/34524/info

SAP הוציאו עדכון הזמין ללקוחות החברה בלבד:
https://service.sap.com/sap/support/notes/1153794
https://service.sap.com/sap/support/notes/1329703

מומלץ לפנות אל החברה או אל ספק השירות ולפעול על-פי ההנחיות המתקבלות מהם בטווח הזמן המיידי

  
     
 
   
   
arrow סיכום
 

 

קיבלת? לקבל התראות מאיי פי וי סקיוריטי זה מומלץ...

קראת? לקרוא אותם זה עוד יותר מומלץ...

מימשת? ולהפוך אותם לפעולות לביצוע בעדיפות גבוהה זה הכי מומלץ...

סיפור מקרה:
לפני כ-3 שבועות קיבלנו שיחת טלפון מלקוח שנפגע מאירוע אבטחת מידע באופו חמור למדיי. לאחר שהסתיימה ההתאוששות והרוחות נרגעו ביררנו אילו מההמלצות וההתראות שהעברנו לפני תקופת מה זכו להתייחסות פעילה - קרי תיקון ויישום המניעה. לצערינו, עקב מחסור במשאבים וסדרי עדיפויות אחרים, הנושאים עליהם התרענו לא טופלו והפגיעה היתה רק עניין של זמן.

החלטנו לשתף אתכם במקרה הנ"ל מסיבה אחת ויחידה - ההחזר על ההשקעה (Return on Investment) להתראות שאתם מקבלים הוא מאוד גבוה בתנאי שאתם הופכים אותם ל-action items בעדיפות גבוהה. קיראו וממשו את הנדרש בארגונכם!

וכמובן, אל תשכחו לשתף אותנו כך שנוכל לשתף את הקולגות שלכם ובתמורה הם ישתפו אתכם.
שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

ואנחנו, איי פי וי סקיוריטי, רק הדוור - אך כמובן נשמח גם לייעץ, לבדוק ולהמליץ!

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.

  

 
 
 
 
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2009) ©
התראה מספר 4
headerAlert
 יום שלישי, 30 ביוני 2009 | ח' בתמוז תשס"ט 
 
  
alertDetails_02

מהדורת קיץ מורחבת - מיקרוסופט, iPhone, Citrix, SAP, IBM
  
alertDetails_04

גבוהה
  
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)
   

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

 


ללקוחותינו שלום,

הקיץ החל באופן רשמי השבוע, ועימו גם מספרים גדולים של התראות ופרצות חדשות במגוון מערכות הפעלה ופתרונות. אין חדש תחת השמש כמובן - בתחום אבטחת המידע אין חופש גדול, ואנחנו כאן בכדי לדווח ולנסות ולעשות קצת סדר.

מיקרוסופט הוציאו את חבילת עידכוני האבטחה הגדולה ביותר מאז ומעולם (10 תיקונים ל-31 פרצות); בנוסף, החלו להיאסף עדויות על תקיפות העושות שימוש בפירצת אבטחה לה עדיין לא הופץ טלאי; במקביל, ברחבי הרשת מופצים מיילים פיקטיביים הנראים כמייל ממיקרוסופט ומנחים את הנמענים להוריד "טלאי אבטחה" קריטי ממייקרוסופט - אשר כמובן מכיל קוד זדוני.

פרצות אבטחה נתגלו גם במערכת ההפעלה AIX של IBM, ב-SAPgui, ב-Citrix Secure Gateway ועוד. מומלץ לתת את הדעת ולבדוק... .

אירוע נוסף עליו מומלץ מאוד ללמוד הינו פרצות האבטחה החמורות שנתגלו במערכת ההפעלה של מכשיר ה-iPhone (אשר על פי מה שחברות הסלולר התחייבו למכור... צפוי בקרוב להיות נפוץ מאוד בארץ); פוטנציאל הסיכון הגדול של מכשיר זה טמון בעובדה שניתן להתחבר דרכו בקלות אל רשתות אלחוטיות ארגוניות (Wi-Fi) ועל כן - מכשירים פרטיים פגיעים עלולים להוות סיכון לרשתות ארגוניות רבות.

ולבסוף - בלי Twitter כנראה אי אפשר: הפעם מדובר בניסיון להפיץ תולעת באמצעות נסיון לפתות את המשתמש לפתוח Attachment שהגיע מ"חבר". הפלטפורמה משתנה כל הזמן, אבל השיטות הן אותן שיטות - מומלץ להיות על המשמר תמיד...

להלן פירוט ההתראות. נשמח לענות על כל שאלה כמו גם לקבל פידבק.

בברכת קיץ רגוע ונעים,
צוות איי פי וי סקיוריטי בע"מ
 
arrow מייקרוסופט הוציאה מספר שיא של 31 טלאים
     
 

סט העידכונים הגדול ביותר שהוציאה מיקרוסופט מעולם בהכרזה אחת הופץ לפני כשבועיים. הוא כולל 18 טלאי אבטחה לפרצות המוגדרות כקריטיות, ביניהם טלאים עבור ה-Windows Kernel, Active Directory, חבילות Office, דפדפן IE, טלאי עבור פירצת האבטחה שנתגלתה בחודש שעבר בשרת ה-IIS ועוד.

הפרצות עלולות לאפשר לפורץ פוטנציאלי לבצע פעולות מן הסוגים DoS, Privilage-Escalation, Buffer-Overflow ולאפשר השבתת מערכת, הפעלת קוד, השגת שליטה על המערכת, קבלת גישה אל מידע מסווג ועוד.

מידע נוסף על הפגיעויות ניתן למצוא במאמרים הבאים:

http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1358796,00.html?track=NL-102&ad=707198&asrc=EM_NLN_7585863&uid=4277383

http://www.techworld.com/security/news/index.cfm?newsid=117228&email

http://www.csoonline.com/article/494987/Microsoft_Issues_Record_Patches

מומלץ להתקין את הטלאים בטווח הזמן המיידי במסגרת תהליכי העבודה המסודרים.

  
 
 
arrow אותר ניצול פירצת אבטחה של מיקרוסופט אשר עדיין אין לה טלאי
 

מדיווח שהתקבל בימים האחרונים עולה כי מופץ ברשת קוד Exploit לפירצת אבטחה ידועה של מיקרוסופט. ה-Exploit, אשר מיועד לפירצה אשר נמצאה בנגן המדיה QuickTime של Apple, עלול לפגוע במערכות ההפעלה Windows XP כמו גם בשרתי Window 2000 ו-2003.

ברחבי העולם כבר אותרו מספר תקיפות פישינג מוצלחות אשר "חוטפות" את המחשב הפגיע והופכות אותו לפעיל ברשת Botnet עולמית..

טלאי אבטחה לפירצה צפוי ככל הנראה ביולי; עד אז מומלץ לפעול על-פי הנחיות מיקרוסופט אשר נמצאות כאן

http://www.microsoft.com/technet/security/advisory/971778.mspx

מידע נוסף ניתן למצוא במאמרים הבאים:

http://www.techworld.com/security/news/index.cfm?newsid=117894&email

https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/vulnerabilities_exploits/article-id/199

  
 
 
arrow מיילים המתחזים לטלאי אבטחה של מיקרוסופט ומכילים וירוסים מופצים לאחרונה באינטרנט
     
 

לאחרונה מופצים באינטרנט בתפוצה נרחבת מיילים מסוגים שונים אשר "מיידעים" את הנמענים בדבר "טלאי אבטחה של מיקרוסופט", "כלי הסרה לתולעת ה-Conficker", "עדכוני חדשות מ-CNN" ועוד.

מרבית המיילים הללו כוללים לינק להורדת קובץ exe המכיל תוכנה המכילה קוד זדוני אשר יותקן על המחשב המארח עם הפעלתו. יש לשים לב כי המיילים הללו נראים במבט ראשון אותנטיים ואמיתיים - הגרפיקה זהה לזאת של מיקרוסופט ו-CNN. נדרש יותר ממבט אחד בכדי לזהות שמדובר במיילים מזוייפים.

מומלץ לחדד את עירנות משתמשי הקצה ולאזכר שמיקרוסופט לעולם לא מפיצה עידכוני אבטחה באופן זה.

מידע מפורט והנחיות התגוננות ניתן למצוא במאמרים הבאים:

http://blogs.zdnet.com/security/?p=3648&tag=nl.e019?cid=nl_DR_DAILY_Hhttp://blogs.zdnet.com/security/?p=2027http://blogs.zdnet.com/security/?p=1657

  
 
arrow SAPgui Vulnerabilities
     
 

בסוף מאי נתגלתה פירצת אבטחה מסוג Remote stack-based buffer-overflow ב-ActiveX Control של ה-SAPgui.

ניצול הפירצה עלול לאפשר לפורץ להפעיל קוד על המחשב המארח בזמן העבודה מול ה-SAP ו/או להפילו.

הפרצות שנמצאו מתייחסות לגירסאות הבאות:

Versions prior to SAPgui 7.10 Patch Level 9

עוד מידע על הפגיעויות כולל הנחיות לסגירת הפרצות ניתן למצוא במאמרים הבאים:

http://www.securityfocus.com/bid/34310/discuss

http://www.kb.cert.org/vuls/id/985449

מומלץ לפנות אל החברה או אל ספק השירות ולפעול על-פי ההנחיות המתקבלות מהם בטווח הזמן המיידי.

  
 
 
arrow IBM AIX Vulnerability
     
 

לפני מספר ימים נתגלתה פירצת אבטחה מסוג Remote buffer-overflow ב-ToolTalk Library של AIX.

ניצול הפירצה עלול לאפשר לפורץ להפעיל קוד כ-Root User.

הפרצות שנמצאו מתייחסות לגירסאות הבאות:

AIX 5.2, 5.3, 6.1

עוד מידע על הפגיעויות כולל הנחיות לסגירת הפרצות ניתן למצוא במאמרים הבאים:

http://www.securityfocus.com/bid/35419/discuss

http://aix.software.ibm.com/aix/efixes/security/libtt_advisory.asc

מומלץ לפנות אל החברה או אל ספק השירות ולפעול על-פי ההנחיות המתקבלות מהם בטווח הזמן המיידי.

  
 
 
arrow Citrix Secure Gateway Vulnerability
     
 

ועוד פירצה מהימים האחרונים - נתגלתה פירצת אבטחה מסוג Denial-Of-Service ב-Citrix Secure Gateway.

ניצול הפירצה ע"י תוקף יביא להשבתת השירות, ולחסימת הגישה של משתמשים חוקיים מרוחקים.

הפרצות שנמצאו מתייחסות לגירסאות הבאות:
Access Essentials 2.0
Access Essentials 3.0
Secure Gateway 3.0
Secure Gateway 3.1

מידע נוסף על הפגיעויות כולל הנחיות לסגירת הפרצות ניתן למצוא במאמרים הבאים:

http://www.securityfocus.com/bid/35421/solution

http://support.citrix.com/article/CTX121172

מומלץ לפנות אל החברה או אל ספק השירות ולפעול על-פי ההנחיות המתקבלות מהם בטווח הזמן המיידי.

  
 
 
arrow פרצות אבטחה רבות ב-Apple iPhone / iPod touch
     
 

וגם אפל לא מקופחת - נתגלו מספר גדול מאוד של פרצות אבטחה (22) ב-Apple iPhone OS.

ניצול פרצות אלו ע"י תוקף עלול להביא לעקיפת ההגנות המובנות במערכת ההפעלה של המכשיר, לגרום ל-DoS, לחשוף מידע רגיש, לבצע תקיפות Cross-Site-Scripting ולפגוע במערכת ההפעלה.

פרצות אלו עלולות להוות סיכון לא רק על המכשיר ועל המידע המאוחסן על-גביו - כי אם גם לרשתות אירגוניות. הסיבה לכך היא שלמכשיר יכולת התחברות מובנית (Built-In) לרשתות Wi-Fi. המשמעות הינה שמכשיר פגיע מהווה איום ישיר על כל רשת אירגונית אליה הוא מתחבר.

לדוגמה: אחת מן הפרצות שנתגלו הינה שגיאה בעבודה עם Certificates מול שרת Exchange; פרצות אחרות קשורות לאפשרות לבצע תקיפות באמצעות ניצול פרצות Cross-Site-Scripting. כל אחת מפרצות אלו (ורבות מן האחרות) קשורות באופן הדוק לעבודה מול נכסי מיחשוב ומידע ארגוניים, ומכאן הסיכון הטמון בהן לכלל הרשת הארגונית.

מידע נוסף על הפגיעויות, כולל הנחיות לסגירת הפרצות ניתן למצוא בלינקים הבאים:

http://secunia.com/advisories/35449/

http://support.apple.com/kb/HT3639

http://lists.apple.com/archives/security-announce/2009/Jun/msg00005.html

מומלץ לפנות אל החברה או אל ספק השירות ולפעול על-פי ההנחיות המתקבלות מהם בטווח הזמן המיידי.

  
 
 
arrow סיכום
     
 

התעלמות מהתראות אבטחת מידע = פגיעה בנכסי המידע של הארגון

קיבלת? לקבל התראות מאיי פי וי סקיוריטי זה מומלץ...

קראת? לקרוא אותם זה עוד יותר מומלץ...

מימשת? להפוך אותם לפעולות לביצוע בעדיפות גבוהה זה הכי מומלץ...

עכשיו יש לך זמן לעדכן את הקולגות שלך על ההתראות של איי פי וי סקיוריטי

כפי שאתם בוודאי חשים כמונו, כמות ההתראות עולה מחודש לחודש ואיתם גם מספר אירועי אבטחת המידע. לצערנו, קצב התפתחות הפתרונות וזמינותם לכל הארגונים (ללא תלות בגודל הארגון) אינו עומד בשורה אחת עם קצב האיומים. אז מה עושים!?

מיישמים ארכיטקטורת אבטחת מידע ארוכת טווח אשר תהפוך את מסגרת אבטחת המידע מתחום טכנולוגי נקודתי לחלק תשתיתי המלווה את כל הרמות בארגון מהיסוד (שימו לב, לא רק מערכות המידע של הארגון). כפי שמערכות הבלימה, האזעקה וההגנה על הנוסעים הינם חלק תשתיתי בכל מכונית חדשה עוד מהשרטוט הראשון כך כל תהליך ומערכת בארגון צריכים להתייחס לאבטחת מידע. נשמח לשתף אתכם עוד בתפיסת איי פי וי סקיוריטי לתהליך השינוי התפיסתי לשיפור והשרשת אבטחת המידע בארגון. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

וכמובן, אל תשכחו לשתף אותנו כך שנוכל לשתף את הקולגות שלכם ובתמורה הם ישתפו אתכם.
שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.

  
     
 
 
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2009) ©
התראה מספר 6

headerAlert

 יום חמישי , 30 ביולי 2009 | ט' באב תשס"ט 
 
  
alertDetails_02

פרצות יום אפס ב-Adobe, טלאים דחופים של מיקרוסופט, עדכונים רבעוניים של Oracle, פרצות קריטיות ב-Linux kernel, ב-Apache ועוד...
  
alertDetails_04

גבוהה מאוד

  
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)
   

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

 

ללקוחותינו שלום,

חום יולי-אוגוסט בעיצומו, הטור דה-פראנס כבר הסתיים, אבל בתחום שלנו המרוץ נמשך - מבול של התראות ופרצות חדשות ירד במהלך החודש. במקביל, פורסמו והופצו גם חבילות עדכונים רבות של מערכות הפעלה ואפליקציות הנמצאות בשימוש נרחב.

ביום שלישי השבוע פירסמה מייקרוסופט 2 טלאי אבטחה חדשים ודחופים, וזאת באופן חריג (שלמעשה לאחרונה אינו כה חריג...), עוד לפני סבב הטלאים החודשי אשר צפוי כרגיל באמצע אוגוסט. ראו התייחסות נרחבת יותר בפירוט ההתראות.

במקביל, פרסמה גם Oracle את ה-Critical Patch Update הרבעוני שלה, אשר כולל 30 תיקונים לפרצות ידועות. החברה הגדילה לעשות והדגישה בפרסומיה כי עקב "האיום הנשקף מתקיפות מוצלחות שבוצעו - מומלץ מאוד להתקין את הטלאים בהקדם האפשרי". גם כאן - ראו התייחסות נרחבת יותר בפירוט ההתראות.

במהלך השבוע האחרון פורסמו ע"י חברת האבטחה Secunia שתי פרצות-יום-אפס בפתרונות של Adobe הנמצאים על גבי יותר מ-90% מן המחשבים בעולם. הצפי הוא שטלאים לפרצות אלו יתפרסמו ע"י Adobe בימים הקרובים, אולם כמובן שפרצות מסוג זה מהוות איום גבוה ביותר שיש להתייחס אליו בעדיפות גבוהה.

בנוסף, נתגלו פרצות רבות ב-Apache, ב-Linux Kernel, ב-HP-UX ועוד, כאשר לכולן גם הופצו טלאים ועדכונים לצורך סגירתן.

ואם זה לא מספיק, התפרסם מחקר מעניין באשר למצב תולעת ה-Conficker הידועה לשמצה ובאשר לכוונות המשוערות של מפתחיה (שעדיין לא נתפסו ואיש לא ממש יודע מהן כוונותיהם - הכל ניחושים) ו-Cisco פירסמה מחקר המתריע מסוג חדש של תקיפות על Smartphones ואשר צפויות להתרחש בקרוב...

להלן פירוט ההתראות; נשמח לענות על כל שאלה כמו גם לקבל פידבק.

בברכת קיץ קריר,
צוות איי פי וי סקיוריטי בע"מ

 
 
arrow מייקרוסופט
     
 

כזכור, באמצע החודש פורסם העידכון החודשי של מיקרוסופט - Patch Tuesday - אשר כלל עידכונים רבים לפרצות קריטיות - http://www.microsoft.com/technet/security/bulletin/ms09-jul.mspx

עם זאת, לפני יומיים פירסמה מיקרוסופט הודעה דחופה ובה הכריזה על 2 טלאי אבטחה קריטיים ודחופים, אשר פורסמו באופן חריג מחוץ לסבב העידכונים החודשי הרגיל (בו מתפרסמים העידכונים באמצע כל חודש). הסיבה המדוייקת עדיין אינה ידועה אולם בסבירות גבוהה הדבר קשור לגילויים שונים אשר צפויים להתפרסם במהלך כנס ה-Black Hat שייערך בלאס ווגאס בשבוע הקרוב.

מדובר בעידכון אחד - המוגדר כקריטי - עבור הדפדפן Internet Explorer על כל גירסאותיו, וכן עבור Visual Studio. העידכון מטפל בפרצות שנמצאו ב-Active Template Library (ATL) המהווה חלק מן ה-Visual Studio, ואשר רלוונטי ל-IE מכיוון שחלק מן המרכיבים של הדפדפן פותחו באמצעותו.

עידכוני "Out-of-Band" מסוג זה משמעותם בדרך כלל היא שמדובר בעידכונים חשובים במיוחד, אשר מומלץ להתקין בהקדם. עידכון במתכונת דומה היה הטלאי לתולעת ה-Conficker אשר פורסם בסוף אוקטובר 2008 - גם הוא מחוץ לסבב העידכונים הרגיל. כזכור, מי שהתקין עידכון זה בעוד מועד ניצל מהתפרצות התולעת.

פרטים נוספים כאן:

http://www.microsoft.com/technet/security/bulletin/ms09-034.mspx

http://www.scmagazineus.com/Emergency-patches-issued-for-IE-and-Visual-Studio/article/140737/

http://msdn.microsoft.com/en-us/library/3ax346b7%28VS.71%29.aspx

  
 
     
 
arrow Adobe
     
 

חברת האבטחה Secunia גילתה במהלך השבוע האחרון 2 פרצות-יום-אפס קריטיות במוצרי חברת Adobe המותקנים על גבי יותר מ-90% מתחנות העבודה/עמדות הקצה בארץ ובעולם - Acrobat Reader ו-Flash Player.

הסיכון הגבוה בחשיפה לפרצות אלו נובע מכך שעדיין אין להן טלאי אבטחה (צפויים ככל הנראה בסוף חודש יולי) ומן התפוצה הנרחבת של ההתקנות.

הפרצות מסווגות ע"י Secunia ברמות החומרה הגבוהות ביותר - Highly Critical ו-Extremely Critical וניצול שלהן ע"י תוקף עלול להביא לפגיעה חמורה במערכת המותקפת ואף להשתלטות עליה.

ידיעה מפורטת אודות הפרצות:

http://www.techworld.com/security/news/index.cfm?newsid=119894&email

מידע והנחיות מאתר Secunia:

http://secunia.com/advisories/35949/

http://secunia.com/advisories/35948/

הנחיות Adobe:

http://www.adobe.com/support/security/advisories/apsa09-03.html

מידע נוסף:

http://www.kb.cert.org/vuls/id/259425		  
 
     
 
arrow Oracle
     
 

כבכל חודש יולי, פירסמה Oracle את ה-Critical Patch Update הרבעוני שלה, הכולל הפעם 30 תיקונים לפרצות קריטיות באפליקציות ופתרונות רבים של החברה, ביניהם גירסאות מסדי הנתונים 9, 10 ו-11 וכן עידכוני אבטחה עבור Oracle Apllication, PeopleSoft, WebLogic, E-Business ועוד.

החברה הדגישה כי:

"Due to the threat posed by a successful attack, Oracle strongly recommends that customers apply fixes as soon as possible"

מבדיקות רבות שערכנו בשנים האחרונות בחברות וארגונים רבים בארץ עולה כי העידכונים הרבעוניים של Oracle כמעט ואינם מותקנים באופן סדיר; עובדה זו משמעותה סיכון גבוה מאוד לנכסי המידע הקריטיים של החברות אשר לא עושות זאת (ראו את הציטוט מ-Oracle לעיל - תקיפות אכן מתבצעות - ובהצלחה מבחינתם של התוקפים).

מומלץ להתקין את עידכוני האבטחה בהקדם האפשרי, כמובן תוך ביצוע בדיקות מקדימות בסביבת Test ובהנחיית Oracle ו/או ספק השירות.

פרטים נוספים כאן:

http://www.oracle.com/technology/deploy/security/alerts.htm?msgid=8018478

http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html

http://www.securityfocus.com/bid/35618/info

http://www.securityfocus.com/bid/35683

http://www.securityfocus.com/bid/35682

http://www.securityfocus.com/bid/35687

http://www.securityfocus.com/bid/35685
  
 
     
 
arrow HP
     
 

נתגלו מספר פרצות אבטחה קריטיות ב-HP-UX, אשר עלולות לאפשר לתוקף לבצע השבתה (DoS) ואף לפגוע במערכות.

הפרצות שנמצאו מתייחסות לגרסאות הבאות:

HP-UX B.11.11

HP-UX B.11.23

HP-UX B.11.31

מידע על הפגיעויות כולל הנחיות לסגירת הפרצות ניתן למצוא במאמרים הבאים:

http://secunia.com/advisories/35945/

http://secunia.com/advisories/34608/

http://secunia.com/advisories/35130/

ומאתר HP:

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01763606

מומלץ לפנות אל החברה או אל ספק השירות ולפעול על-פי ההנחיות המתקבלות מהם בטווח הזמן המיידי.

  
     
 
arrow Apache
     
 

נתגלו ועודכנו מספר גדול של פרצות אבטחה במודולים שונים של Apache ביניהם Tomcat, HTTP Server, mod_deflate, mod_proxy ועוד. הפרצות עלולות לאפשר לפורץ לבצע השבתת שירות (DoS) ולפגוע בשרת, לקבל גישה למידע רגיש, לאתר שמות משתמשים וסיסמאות, לבצע העלאת הרשאות (Privilage Elevation) ועוד.

ניתן לנצל ולהפעיל את מרבית הפרצות הללו באמצעות כלי פריצה ייעודיים וזמינים; פרצות נוספות ניתן להפעיל באמצעות קוד ידוע אשר המידע אודותיו זמין אף הוא ברשת.

קיימים טלאי אבטחה ועדכונים עבור כל הפרצות, ובשל זמינות ה-Expoits - מומלץ להתקינם בהקדם האפשרי (לשונית Solution בלינקים להלן).

פרטים לגבי הפרצות, משמעותן, הדרכים לניצולן ודרכי הפתרון בלינקים הבאים:

http://www.securityfocus.com/bid/35416/info

http://www.securityfocus.com/bid/35196/info

http://www.securityfocus.com/bid/35263/info

http://www.securityfocus.com/bid/27706/info

http://www.securityfocus.com/bid/35193/info

http://www.securityfocus.com/bid/34663/info

http://www.securityfocus.com/bid/35565/info

http://www.securityfocus.com/bid/35115/info

http://www.securityfocus.com/bid/35623/info

  
 
     
 
arrow Linux
     
 

נתגלו ועודכנו מספר גדול של פרצות אבטחה ב-Linux Kernel. הפרצות משפיעות על גרסאות Linux רבות - Ubuntu, RedHat, Mandrake, Debian, SuSE ועוד, ואף על מערכות של Avaya המספקות פתרונות Voice.

הפרצות הן מסוגים רבים - בין השאר Buffer Overflow, DoS, Privilage Elevation, Seurity Bypass, ו-Unauthorized Access. הן עלולות לאפשר לתוקפים לבצע כל אחת מפעולות אלו ולגרום להשבתת שירותים, דליפת מידע רגיש, גניבות זהות ועוד.

ניתן לנצל ולהפעיל את מרבית הפרצות הללו באמצעות כלי פריצה ייעודיים וזמינים; פרצות נוספות ניתן להפעיל באמצעות קוד ידוע אשר המידע אודותיו זמין אף הוא ברשת.

קיימים טלאי אבטחה ועדכונים עבור כל הפרצות, ובשל זמינות ה-Expoits - מומלץ להתקינם בהקדם האפשרי (לשונית /span> Solution בלינקים להלן).

פרטים לגבי הפרצות, משמעותן, הדרכים לניצולן ודרכי הפתרון בלינקים הבאים:

http://www.securityfocus.com/bid/34934/info

http://www.securityfocus.com/bid/35185/info

http://www.securityfocus.com/bid/34612/info

http://www.securityfocus.com/bid/35143/info

http://www.securityfocus.com/bid/35281/info

http://www.securityfocus.com/bid/35647/info

  
     
 
arrow סיכום
     
 

התעלמות מהתראות אבטחת מידע = פגיעה בנכסי המידע של הארגון

קיבלת? לקבל התראות מאיי פי וי סקיוריטי זה מומלץ...

קראת? לקרוא אותם זה עוד יותר מומלץ...

מימשת? להפוך אותם לפעולות לביצוע בעדיפות גבוהה זה הכי מומלץ...

עכשיו יש לך זמן לעדכן את הקולגות שלך על ההתראות של איי פי וי סקיוריטי

אם עברתם בעיון על כל הכתוב לעיל, סביר להניח שלשורות אלו כבר לא תגיעו מכיוון שבטח אתם בודקים אילו טלאים עודכנו ואיזה כדאי להתקין ומייד. אבל אם בכל זאת הגעתם לכאן, עיצרו - גשו להתקין!!!

עקב עומס העדכונים הקריטיים שבהתראה זו החלטנו להשאיר את פירוט מקרה הלקוח לגליון הבא.

תזכורת: שתפו אותנו ובאירועים ומקרים שלכם, תחסכו הרבה לעצמכם ולחבריכם.

שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.

  
 
     
 
 
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2009) ©
התראה מספר 7
headerAlert
 יום חמישי, 20 באוגוסט 2009 | ל' באב תשס"ט 
 
  
alertDetails_02

סבב הטלאים החודשי של מיקרוסופט, עדכוני Mac OS X, פרצות ב-Sun Java, פירצת SMS ב-iPhone ועוד...
  
alertDetails_04

בינונית
  
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)
   

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

 


ללקוחותינו שלום,

כבר אמצע אוגוסט, עוד שבועיים עד לחזרה ללימודים, ורבים מאיתנו בחופש. ייתכן בהחלט שגם ההאקרים לקחו מעט חופש – בשבועות האחרונים ירדה מעט כמות ההתראות החדשות, אולם מיקרוסופט כדרכה פרסמה את סט הטלאים החודשי במועד הקבוע והרגיל, Apple פרסמה טלאים רבים למערכת ההפעלה שלה, ותוקנו פרצות רבות וידועות ב-Sun Java אשר אפליקציות רבות ושונות עושות בה שימוש כממשק משתמש גרפי.

וגם – אמנם ה-iPhone עוד לא גויר באופן רשמי בארצנו (אחרי החגים כנראה...) אבל דיווחים על פרצות אשר מתגלות במערכת ההפעלה שלו מתגברים והולכים. הפעם – פירצה המנצלת חור אבטחה באמצעות שליחת SMS בכדי להשבית את המכשיר... לתשומת לב המגיירים!

לסיום, הבטחנו לשתף אתכם בתיאור פרטי אירוע התפרצות תולעת ה-Conficker אצל אחד מלקוחותינו. את המסקנות וההמלצות החלטנו להשאיר לכם כי הרי המקרה מדבר בעד עצמו ואין חכם כבעל נסיון. אנו תקווה שפרטי האירוע יעזרו במניעת האירוע הבא אצל מי מקוראינו.

להלן פירוט ההתראות; נשמח לענות על כל שאלה כמו גם לקבל פידבק.

בברכת קיץ קריר ,
צוות איי פי וי סקיוריטי בע"מ
 
arrow טלאי אבטחה - מיקרוסופט
     
 

ביום שלישי שעבר פרסמה מיקרוסופט את סט טלאי האבטחה החודשי. העדכון כולל תיקון 9 טלאים ובסך הכל כ-19 פרצות אבטחה, חלקן הגדול מוגדרות ע"י מיקרוסופט כקריטיות.

העדכונים מטפלים בפרצות שנמצאו ב-Active Template Library (ATL) המהווה חלק מן ה-Visual Studio, ואשר רלוונטי ל-IE מכיוון שחלק מן המרכיבים של הדפדפן פותחו באמצעותו, ל-.NET Framework ל-RDP ל-WINS, ל-Office ועוד.

פרטים נוספים בלינקים הבאים:

http://www.techworld.com/security/news/index.cfm?newsid=120986&email

http://www.microsoft.com/technet/security/bulletin/ms09-aug.mspx

http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1364308,00.html?track=NL-102&ad=719591&asrc=EM_NLN_8927625&uid=4277383

  
     
 
arrow עדכון ל-Sun Java
     
 

התפרסם Update חדש למספר גרסאות Sun Java (JDK ו-JRE) בשל מספר פרצות אבטחה ידועות אשר עלולות לאפשר לפורץ המנצל אותן לפגוע במערכות אשר מריצות את האפליקציה.

עבור מרבית המשתמשים, אשר עושים שימוש ב-Java Runtime כממשק משתמש לניהול אפליקציות רבות, מומלץ להתקין את העדכון – Version 6 Update 15– באמצעות העדכון האוטומטי או להוריד את הגרסה המעודכנת מן הלינק הבא - http://java.sun.com/javase/6/webnotes/6u15.html

מידע נוסף בלינקים הבאים:

http://secunia.com/advisories/36159/

http://www.securityfocus.com/bid/35943

http://www.securityfocus.com/bid/35942/info

http://www.securityfocus.com/bid/35939/info

  
     
 
arrow Apple - עדכוני מערכת הפעלה Mac OS X 10
     
 

חברת Apple פרסמה בתחילת החודש סט עדכוני אבטחה למערכת ההפעלה Mac OS X 10 הכולל תיקונים ל-18 פרצות ידועות אשר ניצולן עלול לאפשר לתוקף לפגוע במערכת ההפעלה ובמידע הנמצא על גבי המחשב.

הסיכון הגבוה בחשיפה לפרצות אלו נובע מכך שהמודעות לכך שגם מחשבי Apple פגיעים לתקיפות הינה עדיין נמוכה יחסית, ושניצול של חלק מן הפרצות הללו עלול לאפשר לפורץ להשיג גישה למידע רגיש תוך עקיפה של מנגנוני ההזדהות המובנים במערכת ההפעלה.

 פרטים נוספים כאן –

http://www.scmagazineus.com/Mac-OS-X-1058-update-fixes-18-flaws/article/141269/

http://support.apple.com/kb/HT3757

  
     
 
arrow Apple - פרצת אבטחה במכשירי ה - iPhone
     
 

עוד מ-Apple – נתגלתה פירצת אבטחה במכשיר ה-iPhone – פגיעות במנגנון ה-Decoding של הודעות ה-SMS המתקבלות במכשיר עלולה לגרום לפגיעה במערכת ההפעלה שלו ואף לניתוקו מהרשת. התקיפה עלולה להתבצע באמצעות שליחת הודעת SMS המכילה קוד עוין ואשר עם קבלתה על ידי המשתמש תביא להשבתת המכשיר.

על גבי המסך זה ייראה כך:

iPhoneVulnerability

פרטים נוספים והנחיות של Apple כאן –

http://secunia.com/advisories/36070/

http://lists.apple.com/archives/security-announce/2009/Jul/msg00001.html

http://support.apple.com/kb/HT3754

תודה לאנשי אבטחת המידע של פלאפון שעזרו בעדכון הידיעה

  
     
 
arrow אירוע חדירת וירוס לארגון - אביב 2009
     
 

"במהלך הבוקר של 02/04/2009 החלו להתלונן משתמשים שהם נחסמים ברשת הארגונית. כאשר כמות המשתמשים שהתלוננו על חסימה גדלה סביב הצהריים – עלה חשד שמדובר בוירוס.

מחיפוש באינטרנט של התופעה נמצא שמדובר כנראה ב-conficker אשר מנסה להשתמש בשמות משתמשים מהרשת ומריץ סיסמאות אקראיות בנסיון לחדור למחשבים נוספים (במדיניות הרשת שלנו - לאחר חמישה ניסיונות כושלים המשתמש נחסם).

הורדנו כלים לגילוי ולהסרת הוירוס מהאינטרנט והרצנו אותם על השרתים שחלקם אכן נמצאו נגועים. בהתייעצות עם חברת IPV Security הורדנו תוכנת סריקה שנתנה אינדיקציה לגבי כל התחנות ברשת – נגועות ובפוטנציאל להידבקות.

בשעות אחר הצהריים הגיעו לעזרתנו היועצים של חברות האנטי וירוס הארגוני וה-Firewall. הגענו למסקנה שיש לעבור על כל המחשבים בארגון , להריץ עליהם את כלי הסרת הוירוס, לעדכן פץ' אבטחה של מיקרוסופט (ms-08067) ולוודא שהאנטי וירוס מעודכן. מצאנו דרך לאתר את התחנות עם הוירוס הפעיל על ידי ה- Firewall. על מנת שלא יחסמו כל המשתמשים (כולל אדמיניסטרטורים) ישב טכנאי ושחרר משתמשים נעולים.

הודענו לכל הארגון שלא ניתן יהיה לעבוד על המחשבים עד להודעה חדשה.

עברנו על כל תחנות העבודה והשרתים במשך הלילה והיום שלמחרת (עד 20:00) וביצענו ניקוי ועדכון. זיהינו את המקור האפשרי כמחשב thin client ניסיוני שהוצב בהנהלת חשבונות מספר ימים לפני כן ולא חשדנו שיכול להכיל וירוס. רוב התחנות לא היו מעודכנות בעדכוני האבטחה הקריטיים (היינו באמצע תהליך התקנת שרת עדכונים WSUS). היו מספר תחנות שלא עודכנו בחתימת אנטי וירוס האחרונה (במסגרת העדכונים יישרנו קו בכל התחנות ולאחר כחודש עודכנה גרסת האנטי וירוס).

סיכום:
הושקעו כ-9 ימי עבודה בניקוי הוירוס.
הארגון הושבת למשך כ-48 שעות (למזלנו בסוף שבוע).
הוירוס היה פעיל בכ-30 תחנות.
הוירוס נמצא ונוקה מעשרות קבצים ברשת ובדיסקים מקומיים."

תודה מיוחדת למנהל מערכות המידע אשר הסכים לשתף ואף לכתוב את פרטי האירוע לטובת כולנו.
חזק ואמץ וכן יירבו...J

  
     
 
arrow סיכום
     
 

ראשית, תודה על הפידבק החיובי שאנחנו ממשיכים לקבל מכם.

תובנת השבוע: אבטחת מידע נמשלת לתזמורת אשר על-מנת להפיק מוזיקה איכותית דורשת נגינה איכותית מכל אחד מהנגנים כמו גם תזמון ושילוב מושלם בין כל הכלים והנגנים. שיהיה לכם קיץ ערב לאוזן...

ובינתיים, עדכנו את הקולגות על ההתראות של איי פי וי סקיוריטי.

שיתוף מידע = יותר אבטחת מידע

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. בכל דבר בתחום אבטחת המידע - תובנות, אירועים, בדיחות, לינקים מעניינים ועוד.

שיתוף מידע = יותר אבטחת מידע

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.

  
     
 
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2009) ©
התראה מספר 9
headerAlert
 יום חמישי, 22 באוקטובר 2009 | ד' בחשוון תש"ע 
 
  
alertDetails_02

סבב הטלאים החודשי הגדול ביותר מעולם של מיקרוסופט וחבילת עידכונים חצי-שנתית של Cisco
  
alertDetails_04

גבוהה

  
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)
   

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

 


ללקוחותינו שלום,

ביום שלישי האחרון פירסמה מיקרוסופט את סט העידכונים החודשי הגדול ביותר ששיחררה החברה מעולם. הוא מכיל 13 טלאי אבטחה לתיקון של 34 פרצות, 22 מהן מוגדרות כקריטיות - ומיועד למגוון גדול מאוד של מערכות הפעלה, גירסאות ופתרונות של החברה.

בסוף ספטמבר פירסמה סיסקו את חבילת העידכונים החצי-שנתית שלה למגוון מוצרים ופתרונות מבוססי IOS.

בשני המקרים מדובר על מספר גדול של טלאים חשובים וקריטיים ביותר, ועל כן מומלץ להתייחס אליהם בכובד ראש ובתשומת לב ראויה.

במהלך השבועיים האחרונים פורסמו גם Advisories אודות פרצות קריטיות וטלאי אבטחה עבור Google Apps, Sun Solaris, Adobe Reader מספר מוצרים של CA ועוד.

על כל זאת (ועוד קצת) בהמשך.

בברכה
צוות איי פי וי סקיוריטי בע"מ
 
arrow עדכוני מייקרוסופט
     
 
ביום שלישי האחרון פירסמה מיקרוסופט את סט העידכונים החודשי הגדול ביותר ששיחררה החברה מעולם. הוא מכיל 13 טלאי אבטחה לתיקון של 34 פרצות, 22 מהן מוגדרות כקריטיות - ומיועד למגוון גדול מאוד של מערכות הפעלה, גירסאות ופתרונות של החברה.

מערכות ההפעלה אותן יש להטליא כוללות את כל מערכות ההפעלה הנתמכות של החברה, החל מ-Windows 2000 Server דרך Windows XP, Windows 2003 Server, Vista, Windows 2008 Server ועד לגירסה החדשה ביותר Windows 7.

העידכונים מטפלים בפרצות שנמצאו בשרתי IIS, ב-SMB v2 (פירצה אשר נתגלתה ופורסמה לפני יותר מחודש ואשר קיים קוד זמין לניצולה), בשירותי FTP,  ב-8 פרצות שונות ברכיבי ה- GDI+ על כלל המערכות, ב-4 פרצות קריטיות ב-Internet Explorer, בשתי פרצות ב-Media Codec אשר עלולות להיות מנוצלות בקלות ע"י פורצים, פירצה נוספת ב-ATL (אשר משמשת לפיתוחים שונים של אפליקציות ActiveX) ועוד.

בשל מספר העידכונים הרב מחד ורמת הקריטיות של הפרצות מאידך, מומלץ ללמוד היטב את המשמעויות הרלוונטיות ולהגדיר סדרי עדיפויות להתקנת העידכונים על השרתים הקריטיים בארגון.

את ה-Security Bulletin המלא של מיקרוסופט ניתן לקרוא כאן -
http://www.microsoft.com/technet/security/Bulletin/ms09-oct.mspx

 ידיעות אודות סט העידכונים בלינקים הבאים -
http://news.techworld.com/security/3204035/administrators-facing-patch-tuesday-nightmare/?email
http://www.darkreading.com/vulnerability_management/security/app-security/showArticle.jhtml;jsessionid=TRZ4EHHHPNJ4RQE1GHPSKHWATMY32JVN?articleID=220600673
http://www.scmagazineus.com/Microsoft-Patch-Tuesday-bonanza-13-fixes-for-34-flaws/article/152214/

פרטים טכניים נוספים אודות הפרצות והטלאים כאן -
http://www.microsoft.com/technet/security/bulletin/ms09-050.mspx
http://www.microsoft.com/technet/security/bulletin/MS09-053.mspx
http://secunia.com/advisories/37007/
http://secunia.com/advisories/36997/
http://secunia.com/advisories/37000/
http://secunia.com/advisories/37006/
http://secunia.com/advisories/36944/
http://secunia.com/advisories/36979/

  
 
     
 
arrow עדכוני Cisco
 


בסוף ספטמבר פירסמה סיסקו את חבילת העידכונים החצי-שנתית שלה למגוון מוצרים ופתרונות של החברה. החבילה כוללת עידכוני אבטחה עבור התקנים מבוססי IOS (ראוטרים, Firewalls ועוד) ופרצות ב-Unified Communication Manager אשר עלולה להיות להן השפעה ישירה על תשתית ה-VoIP הארגונית.

הפרצות עלולות לאפשר לפורצים פוטנציאליים לבצע תקיפות מניעת שירות (DoS), Buffer Overflows ואף לעקוף את ה-Access Control Policies.

חבילת הטלאים רלוונטית עבור:

מומלץ לקרוא את ה-Advisory ולפעול בהתאם:
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep09.html

מידע נוסף כאן -
http://news.techworld.com/networking/3202566/cisco-router-bugs-get-patches/?email

מידע מפורט אודות פירצת המעקף ל-ACL כאן -
http://www.cisco.com/en/US/products/products_security_advisory09186a0080af8119.shtml

מידע טכני נוסף בלינקים הבאים -
http://secunia.com/advisories/36835/
http://secunia.com/advisories/36836/

  
     
 
arrow בקצרה
     
 

במהלך השבועיים האחרונים פורסמו עוד מספר Advisories אודות פרצות אבטחה חדשות ודרכי התיקון עבורן ע"י מספר Vendors מובילים. כל הפרצות הללו הוגדרו ברמות סיכון Highly Critical ו-Extremely Critical ע"י חברת האבטחה Secunia.

מומלץ לבחון האם פרצות אלו רלוונטיות עבור סביבת הרשת הארגונית ולפעול בהתאם.

פרטים נוספים כאן -

Sun Solaris Thunderbird Network Security Services Vulnerabilities
http://secunia.com/advisories/37009/

Adobe Reader/Acrobat Arbitrary Multiple Vulnerabilities
http://secunia.com/advisories/36983/

CA Anti-Virus Engine RAR Processing Two Vulnerabilities
http://secunia.com/advisories/36976/

IBM Informix Products Setnet32 Utility ".nfx" Processing Buffer Overflow
http://secunia.com/advisories/36949/

IBM Installation Manager "iim" URI Handling Argument Injection
http://secunia.com/advisories/36906/

Google Apps "googleapps.url.mailto" URI Handling Argument Injection
http://secunia.com/advisories/36924/

Google Chrome Floating Point Parsing Buffer Overflow
http://secunia.com/advisories/36913/

  
     
 
arrow סיכום
     
 

לכל לקוחותינו וקוראינו שנה טובה!

שנת בריאות, אושר וכמובן שנה עם מניעה פרו-אקטיבית (מבדקי חדירה למשל...) וללא אירועי אבטחת מידע

ובינתיים, עדכנו את הקולגות על ההתראות של איי פי וי סקיוריטי.

שיתוף מידע = יותר אבטחת מידע

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. בכל דבר בתחום אבטחת המידע - תובנות, אירועים, בדיחות, לינקים מעניינים ועוד.

שיתוף מידע = יותר אבטחת מידע

נשמח לשמוע מכם תגובות, הערות והארות וגם ללמוד מניסיונות ההתמודדות שלכם עם איומי אבטחה שונים, תולעים ושאר מזיקים. כמובן שגם נשמח להשיב על כל שאלה ובאופן כללי לסייע בייעוץ והכוונה איפה שאפשר.

שתפו אותנו ואת הקולגות שלכם/span> - אם יש לכם מידע נוסף שיכול לעזור לקולגות שלכם בארגונים אחרים, נא שילחו לנו את המידע כך שנוכל להעבירו באופן ענייני וחסוי. נא שילחו דוא"ל ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.

  
     
 
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2009) ©
התראה מספר 10
headerAlert
 יום חמישי, 17 בדצמבר 2009 | ל' בכסלו תש"ע 
 
  
alertDetails_02

פרצות אבטחה חמורות ב-Adobe Reader, Acrobat, Firefox, Flash Player ובפרוטוקול SSL, פירצת-יום-אפס ב-Internet Explorer, חבילת טלאי אבטחה של VMWare
  
alertDetails_04

גבוהה  מאוד
  
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)
   

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
 


ללקוחותינו שלום,

בימים האחרונים התפרסמו פרצות אבטחה חמורות מאוד בדפדן ה-Firefox של Mozilla, ב-Adobe Reader וב-Adobe Flash אשר דורשות התייחסות מיידית.

הפרצות הנ"ל מתווספות לפרצות שהתפרסמו לפני מספר שבועות אודות פירצת אבטחה חדשה בפרוטוקול SSL המשמש לתעבורה מוצפנת ומאובטחת. הפירצה משפיעה על מוצרים ופתרונות רבים ועלולה לאפשר לפורץ לחדור אל תוך התעבורה תוך התחזות למשתמש הלגיטימי אשר יזם את ההתקשרות מלכתחילה.

לפני כשבועיים פירסמה VMWare חבילת עידכונים גדולה המיועדת לסגירת פרצות אבטחה רבות בגירסאות 3 ו-4 של ESX.

כמו כן התפרסם אודות פירצת-יום-אפס בגירסאות הישנות של Internet Explorer - 6 ו-7, כאשר במקביל פורסם ברשת האינטרנט קוד לניצול הפירצה (Exploit); לפני מספר ימים מיקרוסופט פירסמה טלאי אבטחה אשר מונע את ניצול הפירצה...

 על כל זאת (ועוד קצת) בהמשך.

בברכה
צוות איי פי וי סקיוריטי בע"מ
 
arrow פירצת אבטחה חמורה מאוד ב-Adobe Reader ו-Acrobat

שלשום התפרסמה התראה חמורה מאוד של פירצת אבטחה ב-Adobe Reader ו-Acrobat.

הפירצה נמצאה ברכיב ה-"Doc.media.newPlayer()" המיושם ב-Javascript והיא מאפשרת לתוקף לייצר קובץ PDF אשר הפעלתו תפגע בזכרון של המחשב ותריץ קוד אשר נכתב על ידי התוקף.

הפירצה זוהתה בגירסאות 9.2 ומעלה.

עד שיינתן פתרון על ידי ספק התוכנה, אשר מתוכנן ל-12 בינואר 2010, ניתן להשתמש בפונקציונליות של ה-JavaScript Blacklist על מנת לחסום את שיטת הניצול של הפירצה.

לפרטים נוספים על הפירצה מהאתר של Adobe (אנגלית)

לפרטים מלאים של הפירצה מאתר ה-CVE של Mitre (אנגלית)
 
arrow פרצת אבטחה חמורות ב-Mozilla Firefox

שלשום פרסמה Mozilla שנמצאו פרצות אבטחה חמורות בגרסאות 3.0.x ו-3.5.x של דפדפן Firefox.

הפרצות מאפשרות לתוקפים לבצע תקיפות בעלות השלכות חמורות מסוג spoofing, חשיפה של מידע רגיש, פגיעה חמורה במחשב המשתמש, בזכרון המחשב ועוד.

מומלץ לעדכן באופן מיידי את גירסאות הדפדפן לגירסאות האחרונות: 3.0.16 ו-3.5.6.

מידע נוסף בלינקים הבאים (אנגלית):

http://www.mozilla.org/security/announce/2009/mfsa2009-65.html
http://www.mozilla.org/security/announce/2009/mfsa2009-66.html
http://www.mozilla.org/security/announce/2009/mfsa2009-67.html
http://www.mozilla.org/security/announce/2009/mfsa2009-68.html
http://www.mozilla.org/security/announce/2009/mfsa2009-69.html
http://www.mozilla.org/security/announce/2009/mfsa2009-70.html
http://www.mozilla.org/security/announce/2009/mfsa2009-71.html
 
arrow פירצת אבטחה חמורה ב-Adobe Flash Player

לפני כשבוע התפרסמה פרצה חמורה לגירסאות Adobe AIR 1.x ו-Adobe Flash Player 10.x.

הפרצות מאפשרות לתוקפים לאסוף אינפורמציה על המחשב המותקף ואף לפגוע בו עד כדי השבתה.

הפרצות דווחו לגירסא Adobe Flash Player 10.0.32.18 וקודמותיה וכן לגירסא Adobe AIR 1.5.2 וקודמותיה.

מומלץ לעדכן באופן מיידי את גירסאות התוכנה לגירסאות Adobe Flash Player 10.0.42.34 ו- Adobe AIR 1.5.3.

הידיעות המקוריות התפרסמו הלינקים הבאים:

http://www.adobe.com/support/security/bulletins/apsb09-19.html
http://www.zerodayinitiative.com/advisories/ZDI-09-092/
http://www.zerodayinitiative.com/advisories/ZDI-09-093/
 
arrow פירצת אבטחה בפרוטוקולים SSL ו-TLS
     
 

לפני מספר שבועות פורסם כי נמצאה פירצת אבטחה בפרוטוקולים SSL ו-TLS, אשר קיומה מאפשר לתוקפים לבצע פעולות שונות על התעבורה ב-HTTP.

המשמעות היא למעשה שניתן לבצע תקיפה מסוג Man-In-The-Middle על תעבורה מוצפנת אשר אמורה להיות חסינה מפריצות. אמנם, הפירצה אינה מאפשרת לתוקף לפענח את התעבורה המוצפנת, אולם יש באפשרותו להזריק (Inject) תווים גלויים (Plaintext) לתוך התעבורה בפרוטוקול המוצפן ובכך לשבשה תוך התחזות למקור תעבורה/שידור לגיטימי.

לאחר מכן, ומכיוון שהתוקף מזוהה כעת כמקור התעבורה הלגיטימי, יש באפשרותו לבצע HTTP Requests ואף פעולות שונות נוספות תוך התחזות למשתמש שביצע את ההתחברות המאובטחת הראשונית.

הפירצה קיימת ב-SSL 3.0 וב-TLS 1.0 ומעלה, ומוגדרת כ-Multiple Vendor Vulnerability - כלומר היא משפיעה למעשה על כל פתרון של כל Vendor אשר עושה שימוש בפרוטוקולים אלו ובגירסאות אלו.

על כן, מומלץ לפנות בהקדם אל ספקי התוכנה הרלוונטיים להנחיות נוספות.

מידע נוסף בלינקים הבאים:

http://www.kb.cert.org/vuls/id/120541

http://www.securityfocus.com/bid/36935/info

מידע טכני מעמיק כאן -

http://extendedsubset.com/?p=8

http://www.ietf.org/mail-archive/web/tls/current/msg03928.html

מידע ספציפי ממספר חברות אשר מוצריהן מושפעים מן הפירצה -

Cisco - http://www.cisco.com/warp/public/707/cisco-sa-20091109-tls.shtml

Sun Microsystems - http://sunsolve.sun.com/search/document.do?assetkey=1-66-273029-1

Citrix - http://support.citrix.com/article/CTX123359

  
 
     
 
arrow קוד תקיפה באינטרנט
 

פירצת יום-אפס (כלומר כזו עבורה לא קיים טלאי אבטחה) החדשה נתגלתה בגירסאות 6 ו-7 של הדפדפן Internet Explorer. הפירצה קיימת במנגנון אשר בו מאחזר הדפדפן אובייקטים מסוג CSS, אשר משמשים לצורך יצירת עיצוב סטנדרטי של דפי Web.

לפני כשבוע פורסם באינטרנט קוד תקיפה (Exploit) אשר ניתן לעשות בו שימוש בכדי לפרוץ אל מחשבים עליהם מותקנות גירסאות ישנות אלו של הדפדפן. ההתקפה מתבצעת ע"י ההאקר באמצעות פיתוי הקורבן לגלוש אל אתר אינטרנט אשר מכיל קוד JavaScript עויין.

 הקוד פורסם ביום ששי שעבר ברשימת התפוצה Bugtraq ע"י האקר בלתי מזוהה. לדברי חברת סימנטק, הקוד אינו פועל תמיד כהלכה, אולם ניתן לעשות בו שימוש בכדי להתקין תוכנות בלתי מורשות על מחשבים פגיעים.

יש להדגיש שהפירצה אינה קיימת על גבי הגירסא העדכנית של הדפדפן - Internet Explorer 8.

בשלב זה אין טלאי לסגירת הפירצה הרלוונטית לגירסאות הבאות:

Internet Explorer 6

Internet Explorer 7

  ידיעה מפורטת אודות הפירצה כאן -

http://www.ipvsecurity.com/index.php/he/news/itsecmenuitem/148--------internet-explorer

 

מידע טכני נוסף כאן -

http://www.securityfocus.com/bid/37085/info

http://secunia.com/advisories/37448/

 

את הקוד לניצול הפירצה (Exploit) ניתן למצוא בלינקים הבאים (וכן, זוהי רמת הזמינות של Exploits - כל אחד יכול) -

 http://seclists.org/bugtraq/2009/Nov/148

http://downloads.securityfocus.com/vulnerabilities/exploits/37085.html

http://downloads.securityfocus.com/vulnerabilities/exploits/37085-2.html

http://downloads.securityfocus.com/vulnerabilities/exploits/37085.rb

 ב-9 לדצמבר פרסמה מייקרוסופט עדכון לטיפול בבעיה.

את הנחיות התיקון ניתן למצוא כאן.

  
     
 
arrow פרסום שלVMWare
     
 

לפני מספר ימים פירסמה VMWare סט עידכונים גדול עבור מספר חבילות פתרונות של החברה. טלאי אבטחה אלו מתקנים פרצות אשר עלולות להיות מנוצלות ע"י משתמשים פנימיים בכדי לעקוף מגבלות אבטחה שונות, לגלות מידע חסוי אשר לא אמורה להיות להם גישה אליו, לבצע שינויים בלתי מורשים במידע, לבצע תקיפות מסוג Cross-Site-Scripting, לבצע תקיפות השבתות שירות (DoS) ועוד.

ימים מספר לאחר מכן פירסמה החברה טלאי נוסף אשר ייעודו לסגור פירצת אבטחה אשר מקורה בשירות ה-NTP ואשר ניצולה ע"י תוקף עלול לגרום להשבתת שירות (DoS).

מערכות ההפעלה עליהן יש להתקין את חבילת העידכונים הינן VMware ESX Server 3.x ו-VMware ESX Server 4.x

את ה-Advisory המלא של VMWare ניתן לקרוא כאן -

http://lists.vmware.com/pipermail/security-announce/2009/000070.html

פרטים נוספים כאן -

http://secunia.com/advisories/37460/

http://secunia.com/advisories/37470/

 

  
     
 
arrow סיכום
     
 

לכל לקוחותינו וקוראינו חג חנוכה שמח!

ולקראת סיום השנה הקלנדרית אנו מאחלים לכולם שנה ללא אירועי אבטחת מידע.

ובינתיים, עדכנו את הקולגות על ההתראות של איי פי וי סקיוריטי.

שיתוף מידע = יותר אבטחת מידע

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. בכל דבר בתחום אבטחת המידע - תובנות, אירועים, בדיחות, לינקים מעניינים ועוד.

שיתוף מידע = יותר אבטחת מידע

נשמח לשמוע מכם תגובות, הערות והארות וגם ללמוד מניסיונות ההתמודדות שלכם עם איומי אבטחה שונים, תולעים ושאר מזיקים. כמובן שגם נשמח להשיב על כל שאלה ובאופן כללי לסייע בייעוץ והכוונה איפה שאפשר.

שתפו אותנו ואת הקולגות שלכם/span> - אם יש לכם מידע נוסף שיכול לעזור לקולגות שלכם בארגונים אחרים, נא שילחו לנו את המידע כך שנוכל להעבירו באופן ענייני וחסוי. נא שילחו דוא"ל ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן!

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.

  
     
 
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2009) ©
התראה מספר 11
headerAlert
יום שני, 15 במרץ 2010 | כט' באדר תש"ע
alertDetails_02

פרצות עידכוני אבטחה חודשיים של מיקרוסופט וסיסקו, פרצות ב-Apache, Juniper, Symantec, Avaya, Open SSL ועוד
alertDetails_04

גבוהה
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.
לזכרו:

ביום שישי, ה-5 למרץ, 2010 (י"ט באדר תש"ע) נפטר אבי ד"ר ניסים רפאל גנור ז"ל.
בן 86 היה במותו.

ברצוני להקדיש את הדיוור החודשי שלנו לאבי שהיה איש אשכולות, מחבר "מי היו הפיניקים", נכד למייסדי תל-אביב, רופא ילדים וכפי שאמר פרופ' ערן דולב, לשעבר קצין רפואה ראשי, בהספד שנשא לכבודו איש "ספרא ואסיא".

יהי זכרו ברוך.

עידו גנור


ללקוחותינו שלום,

ביום שלישי האחרון פירסמה מייקרוסופט את סט העדכונים החודשי. הוא מכיל אמנם מספר קטן יחסית של עדכונים - 2 טלאי אבטחה לתיקון של 8 פרצות, אולם אחד מן הטלאים מיועד לתיקון פירצה קריטית ב-Excel - אשר כמובן נפוץ מאוד בארגונים רבים.

באותו יום פורסם אודות פירצת יום-אפס (אשר אין עבורה טלאי) בגירסאות ישנות של הדפדפן Internet Explorer.

גם סיסקו פירסמה בשבועות האחרונים מספר טלאי אבטחה לפתרונותיה.

בשני המקרים מדובר על טלאים חשובים וקריטיים ביותר, ועל כן מומלץ להתייחס אליהם בכובד ראש ובתשומת לב ראויה.

במהלך השבועיים האחרונים פורסמו גם Advisories אודות פרצות קריטיות וטלאי אבטחה עבור פתרונות שונים של Symantec, Apache HTTP Server, פתרון ספציפי של Juniper, מוצרים של Avaya, פירצה בפרוטוקול המאובטח Open SSL ועוד.

על כל זאת (ועוד קצת) בהמשך.

בברכה
צוות איי פי וי סקיוריטי בע"מ
arrow מייקרוסופט

ביום שלישי האחרון פירסמה מיקרוסופט את סט העידכונים החודשי שלה. הוא מכיל 2 טלאי אבטחה לתיקון של 8 פרצות, ומיועד למגוון מערכות ההפעלה של החברה ולתוכנת הגליון האלקטרוני Excel. 7 מן הפרצות קשורות ישירות ל-Excel.

מערכות ההפעלה אותן יש להטליא כוללות את מערכות ההפעלה הנתמכות של החברה - Windows 7, Vista ו-XP; גירסאות ה-Excel הפגיעות נמצאות בגירסאות Office 2007, 2003 ו-XP.

העידכונים מיועדים לסגירת פרצות אשר עלולות לאפשר לתוקף לבצע הפעלת קוד מרחוק תוך ביצוע פעולות שונות ברמת הרשאות זהה לרמת ההרשאות של המשתמש אשר תחנת העבודה שלו פגיעה לאחת מן הפרצות הללו.

בשל התפוצה הנרחבת של התקנות Excel באירגונים וחברות מחד ורמת הקריטיות של הנתונים אשר נשמרים ומעובדים בפתרון זה, מומלץ ללמוד היטב את המשמעויות הרלוונטיות ולהגדיר סדרי עדיפויות להתקנת העידכונים על עמדות הקצה באירגון.

את ה-Security Bulletin המלא של מיקרוסופט ניתן לקרוא כאן -
http://www.microsoft.com/technet/security/Bulletin/MS10-mar.mspx


פרטים נוספים כאן:
http://news.techworld.com/security/3214800/microsoft-patches-excel-security-hole/?cmpid=TD1N9&no1x1
http://www.securityfocus.com/bid/38553
http://www.securityfocus.com/bid/38547

ממש באותו יום בו הופצו טלאי האבטחה החודשיים, התפרסמו ידיעות ברשת אודות פירצת יום-אפס חדשה שנתגלתה בגירסאות ישנות של הדפדפן Internet Explorer.

מיקרוסופט אישרה את קיום הפירצה - אשר מאפשרת לתוקף הפעלת קוד על מחשב אשר יגלוש לאתרים המכילים קוד אשר מיועד לניצול הפירצה - ב-Advisory מיוחד שפירסמה עוד באותו יום ואשר עודכן שוב ביום ששי, ה-12.3.10.

הגירסאות הפגיעות הינן IE 6 ו-IE 7; הגירסה העדכנית ביותר - IE 8 לא נמצאה כפגיעה.

מומלץ לפעול על-פי הנחיות מיקרוסופט בהקדם האפשרי.

לפרטים נוספים -
http://secunia.com/advisories/38860/
http://www.microsoft.com/technet/security/advisory/981374.mspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0806
arrow סיסקו

במהלך השבועות האחרונים פירסמה סיסקו מספר עידכוני אבטחה חשובים ביותר למגוון מוצרים ופתרונות של החברה. החבילות כוללות עידכוני אבטחה עבור התקני תקשורת מרכזיים ונפוצים ביותר של החברה דוגמת ASA, FWSM מתגים (סוויצ'ים) מסדרות ה-Catalyst 6500 ו-7600 פרצות ב-Unified Communication Manager אשר עלולה להיות להן השפעה ישירה על תשתית ה-VoIP, פרצות ב-Cisco Digital Media Player ועוד.

הפרצות עלולות לאפשר לפורצים פוטנציאליים לבצע תקיפות מניעת שירות (DoS), להשיג שליטה על התקני התקשורת, לשבש תעבורת VoIP, לגלות שמות משתמש וסיסמאות, "להזריק" תוכן וידיאו חליפי למערכות רלוונטיות ועוד.

מומלץ לקרוא בלינקים הבאים -
http://www.us-cert.gov/current/#cisco_releases_multiple_security_advisories
http://www.us-cert.gov/current/#cicso_releases_multiple_security_advisories

מומלץ לקרוא את ה-Advisory של Cisco ולפעול בהתאם:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1910e.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1910c.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1910d.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b924.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b923.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1b925.shtml
arrow בקצרה

במהלך השבועיים האחרונים פורסמו עוד מספר Advisories אודות פרצות אבטחה חדשות ודרכי התיקון עבורן ע"י מספר Vendors מובילים.

כל הפרצות הללו הוגדרו ברמות סיכון Highly Critical ו-Extremely Critical ע"י חברת האבטחה Secunia.

מומלץ לבחון האם פרצות אלו רלוונטיות עבור סביבת הרשת הארגונית ולפעול בהתאם.

פרטים נוספים כאן:

Apache HTTP Server "mod_isapi" Module Unloading Vulnerability
http://secunia.com/advisories/38852/

Juniper Networks Secure Access "row" Cross-Site Scripting Vulnerability
http://secunia.com/advisories/38841/

Avaya Products Firefox Multiple Vulnerabilities
http://secunia.com/advisories/38815/

Symantec Products OLE File Parsing Integer Overflow Vulnerability
http://secunia.com/advisories/38809/

Squid Web Proxy Cache HTCP Request Processing Remote Denial of Service Vulnerability
http://www.securityfocus.com/bid/38212

OpenSSL Multiple Vulnerabilities
http://www.securityfocus.com/bid/34256
arrowRed מבצע "ביעור חמץ" לכבוד חג האביב

לקראת פסח, חברת איי פי וי סקיוריטי שמחה להציע:

מבדק חדירה פנימי (Internal Penetration Test) בהנחה של 50%*

לפרטים: יפית כהן, This e-mail address is being protected from spambots. You need JavaScript enabled to view it. או 09-7430130
* למזמינים לפני חג
arrow סיכום

לכל לקוחותינו וקוראינו חג פסח שמח!

עדכנו את הקולגות על ההתראות של איי פי וי סקיוריטי.

שיתוף מידע = יותר אבטחת מידע

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. בכל דבר בתחום אבטחת המידע - תובנות, אירועים, בדיחות, לינקים מעניינים ועוד.

שיתוף מידע = יותר אבטחת מידע

נשמח לשמוע מכם תגובות, הערות והארות וגם ללמוד מניסיונות ההתמודדות שלכם עם איומי אבטחה שונים, תולעים ושאר מזיקים. כמובן שגם נשמח להשיב על כל שאלה ובאופן כללי לסייע בייעוץ והכוונה איפה שאפשר.

שתפו אותנו ואת הקולגות שלכם - אם יש לכם מידע נוסף שיכול לעזור לקולגות שלכם בארגונים אחרים, נא שילחו לנו את המידע כך שנוכל להעבירו באופן ענייני וחסוי. נא שילחו דוא"ל ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן!

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2010) ©
התראה מספר 13
headerAlert
יום רביעי, 6 באוקטובר 2010 | כח' בתשרי תשע"א
alertDetails_02

פרצות אבטחה חמורות וטלאים קריטיים ממיקרוסופט, סיסקו, HP ו-Adobe וגם, איך אפשר בלי, על תולעת ה-Stuxnet
alertDetails_04

גבוהה מאוד
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)

יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.


ללקוחותינו שלום,

באמצע חודש ספטמבר (14.9.10), פרסמה מיקרוסופט את סט העדכונים החודשי כשהוא מכיל 9 טלאי אבטחה חשובים. כעשרה ימים לאחר מכן פורסם וצורף עדכון קריטי נוסף "Out of Band" הנוגע לארכיטקטורת ה-ASP.NET, כך שחבילת העדכונים לחודש ספטמבר כוללת למעשה 10 טלאי אבטחה שונים. רוב הפגיעויות שתוקנו החודש מוגדרות שוב כ- "Cross Platform", כלומר רלוונטיות עבור כל מערכות ההפעלה מבית מיקרוסופט. ארבעה עדכונים הוגדרו ברמת חומרה "קריטית" ושישה נוספים הוגדרו כ"חשובים", אולם להוציא מקרה אחד כל הפגיעויות עלולות לאפשר הרצת קוד זדוני.

חודש שקט יחסי עבר הפעם על חברת Adobe, רק שני עדכונים קריטיים עבור אפליקציית ה-Flash ותוכנת ה-Reader הנפוצות. מעט פרצות אומנם, אבל הן מוגדרות כקריטיות (מאפשרות לתוקף לגרום לקריסת התוכנה והרצת קוד זדוני), רלוונטיות עבור כל מערכות ההפעלה, ולפי דיווחים ממשרדי החברה - הקוד לניצולן כבר קיים ונעשה בו שימוש אקטיבי ע"י תוקפים.

גם עבור מוצרי חברת Cisco לא התגלו החודש פגיעויות משמעותיות רבות, ולמעשה רק בשבוע האחרון פורסמו שש פגיעויות, שחמש מהן מאפשרות מתקפת DoS על מערכת ההפעלה Cisco IOS באמצעות פרוטוקולי VoIP, מנגנון ה-NAT, ושירותים אחרים, אולם לא ניתן לנצל את הפרצות למטרות אחרות כגון הרצת קוד או חשיפת מידע רגיש.

עדכוני אבטחה נוספים פורסמו לאורך כל החודש גם ע"י HP עבור שלל התוכנות שבבעלותה, אולם כולם הוגדרו ברמת סיכון בינונית ומטה, למרות שחלקן עלולות לאפשר חשיפת מידע רגיש באופן שאינו עקבי.

באופן כללי, דירוג רמת החומרה של פגיעות מסוימת ע"י היצרן מושפע ממספר גורמים, כגון:

  • פוטנציאל הניצול של הפגיעות
  • תוצאותיו המשוערות
  • נפיצות האפליקציה המכילה את הפגיעות
  • חשיבותה של האפליקציה בארגון

המלצתנו היא לבחון לעומק את האפליקציות המכילות את הפגיעויות שפורסמו ואת פריסתן בארגון שלכם, מכיוון שלעיתים תיתכן אי-התאמה בין רמת החומרה המיוחסת לפגיעות ע"י יצרן התוכנה, לבין משמעות הפגיעות בארגון ספציפי שנבדק.

בברכה,

צוות איי פי וי סקיוריטי בע"מ
 
arrow מיקרוסופט

כאמור, סט העדכונים של חודש ספטמבר פורסם באמצע החודש, אולם כעשרה ימים לאחר הפרסום הראשוני שוחררה הודעה נוספת "Out of Band" הנוגעת לפגיעות קריטית ביותר בארכיטקטורת ה-ASP.NET; כך שנראה ששוב, כל מי שמיהר להוריד ולהתקין את חבילת העדכונים בשבוע הראשון לפרסומה, רצוי שיבדוק את העדכונים הקריטיים הזמינים פעם נוספת.

כפי שניתן לצפות, רשימת המוצרים המושפעים מהפגיעויות שפורסמו כוללת את כל מערכות ההפעלה מבית מיקרוסופט וכל גרסאות ה-Office הנתמכות. רוב הפגיעויות שפורסמו מאפשרות לתוקף להריץ קוד זדוני באופן עקבי, ומקורן בשלל אפליקציות ופונקציות כגון: RPC, Printer Spooler Service, MPEG-4 ואפילו פגיעות הקשורה ל-Word97 שמהווה את קוד הבסיס ל-Wordpad Utility.

את ה-Security Bulletin המעודכן של מיקרוסופט ניתן לקרוא כאן:
http://www.microsoft.com/technet/security/bulletin/ms10-sep.mspx
 
arrow Adobe

יותר מחצי שנה אחרי האמירה הידועה של סטיב ג'ובס ש-"Flash isn't secure enough" ועדיין לא נרגעו הרוחות סביב הצהרה זו. למרות מספר נמוך יחסית של פרצות קריטיות שהתגלו החודש באפליקציית ה-Flash מבית Adobe, דרגת החומרה שלהן ממשיכה להיות מסווגת כקריטית ביותר. שתי הפגיעויות שמתגלות מאפשרות הרצת קוד זדוני על המחשב המותקף וינוצלו בסבירות גבוהה להשתלטות על המכונה. כפי שהוזכר בעבר, הבעיה המרכזית בפגיעויות אלו היא העובדה שקוד ה-Flash מוטמע ע"י יצרנים רבים בתוכנות שונות (ראו התייחסות נוספת בסעיף "בקצרה" למטה)

מידע נוסף ניתן למצוא באתר החברה:
http://www.adobe.com/support/security/advisories/apsa10-03.html

http://www.adobe.com/support/security/bulletins/apsb10-22.html

טלאי אבטחה נוסף מבית Adobe ששוחרר החודש מטפל בפרצה קריטית שנמצאה בגרסאות Adobe Reader 9.3.4 ומטה. פירצה זו עלולה לשמש תוקפים על מנת לגרום לקריסת האפליקציה והשתלטות על המכונה המריצה אותה. יש לציין ששוב, פגיעות זו ניתנת לניצול ללא קשר למערכת ההפעלה שעליה מותקנת תוכנת ה-Reader.

למידע נוסף:
http://www.adobe.com/support/security/advisories/apsa10-02.html

 
 
arrow סיסקו

כשכבר היה נראה שחודש ספטמבר יהיה שקט לחלוטין בגזרת מוצרי Cisco, פורסמו באותו יום 6 הודעות שונות הנוגעות לפרצות פוטנציאליות בקוד ה-Cisco IOS, Cisco Unified Communication Manager , SSL VPN, ופרצות הנוגעות לאופן הטיפול בפרוטוקולי VoIP כגון SIP או H323.

הפגיעויות חושפות את המוצרים הנ"ל למתקפת DoS מתמשכת, אם ע"י גרימת "זליגת זיכרון" מכוונת או על ידי חסימת אפשרות העיבוד של בקשות חדשות.

לפרטים נוספים והורדת גרסאות תוכנה מעודכנות:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a300.shtml

http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a313.shtml

http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a312.shtml

http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a310.shtml

http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a30f.shtml

http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a311.shtml
 
arrow HP

שבע התרעות שונות הנוגעות למוצרי HP שוחררו החודש, כשהבולטות מביניהן מתייחסת לאפליקציית "HP System Management Homepage" והן מכילות פרטים לגבי 11 פרצות שונות. חלק מהתיקונים הרלוונטיים זמינים כטלאי אבטחה נפרדים, וחלק הוטמעו כבר בגרסאות עדכניות של התוכנה הרלוונטית. בכדי לפתור 10 מתוך 11 פרצות באפליקציית ה-HP SMH למשל, יש צורך בהתקנה מלאה של גרסה 6.2.

מימוש כל אחת מהפגיעויות מוביל לתוצאות מגוונות: מתקפת DoS, השגת הרשאות גבוהות מהנדרש וחשיפת מידע רגיש הן רק חלק מההשפעות הצפויות. למרות האמור, רמת החומרה שניתנה לפרצות אלו היא בינונית, וככל הנראה נובעת מהקושי שבהשגת תוצאות עקביות בצורה רציפה.

מידע ואפשרויות תיקון לגבי כ"א מהפגיעויות ניתן למצוא כאן:
http://secunia.com/advisories/41490/

http://secunia.com/advisories/41592/

http://secunia.com/advisories/41361/

http://secunia.com/advisories/41343/

http://secunia.com/advisories/41277/

http://secunia.com/advisories/41261/

http://secunia.com/advisories/41427/
 
arrow בקצרה...

עוד ממיקרוסופט - בעיית "טעינת קבצי DLL בצורה לא מאובטחת" שפורסמה ע"י מיקרוסופט בחודש שעבר (והוזכרה בגיליון הקודם) ממשיכה לעורר עניין רב. מכיוון שהפגיעות רלוונטית עבור כל מע' ההפעלה מבית מיקרוסופט, ומאפשרת הרצת קוד זדוני בקלות יחסית, פורסמו מספר עדכונים נוספים בעניין - כולל תיקון ל-BlackBerry, וכלי אוטומציה להטמעת השינויים המומלצים ב-workaround שפורסם ע"י מיקרוסופט. מידע נוסף ניתן למצוא כאן:

http://www.us-cert.gov/current/#insecure_loading_of_dynamic_link

OpenX - פגיעות מעניינת נוספת שנחשפה ותוקנה החודש מגיעה מחברת OpenX. הפירצה שהתגלתה לפי פרסומי OpenX על ידי חוקרים חיצוניים בגרסת השרת 2.8, עלולה לאפשר השתלטות מרוחקת, והיא מוגדרת כ"קריטית ביותר". בעיה זו תוקנה כבר בגרסה 2.8.7 העדכנית שזמינה להורדה באתר החברה. גרסה זו פותרת בעיית אבטחה חמורה נוספת שפורסמה כמה ימים לפני כן. פרטים לגבי הפגיעויות והתיקון ניתן למצוא כאן:
http://blog.openx.org/09/security-update/

http://secunia.com/advisories/41456/

גוגל Chrom - אחרונה חביבה מגיעה גוגל, בסדרת פגיעויות חמורות ביותר המוגדרות "Highly Critical", התקפות עבור כל גרסאות Chrome הקודמות ל-6.0.472.62 (תוקן). יש לשים לב שקבוצת פרצות זו נובעת דווקא כתוצאה מהטמעת קוד "Flash Plugin" פגיע מבית Adobe ולא כתוצאה מקוד מקור פגיע. לפרטים:
http://secunia.com/advisories/41443/

stuxnet - ולסיום, איך אפשר בלי כמה מילים על תולעת ה- stuxnet המדוברת, שגרמה לאחרונה נזק ממשי לכמה ממערכות השו"ב (SCADA) הקריטיות ביותר בכור בבושהר שבאיראן:

על תולעים באופן כללי אין צורך להרחיב, רק נזכיר שהן מספקות את "וקטור ההתפשטות" - הדרך שבא הקוד יופץ בין מחשבים. קוד התולעת עצמו לרוב אינו פוגעני, אך יכלול את האפשרות להוספת פונקציות ומודולים זדוניים לאחר ההדבקה, לרוב ע"י הורדה עצמית ממקור חיצוני.

נכון להיום, מתוך הניתוח שמבצע החוקר Ralph Langner (IACS)  גרמניה על ידי Reverse Engineering של עותק מהתולעת, עולות מספר עובדות בנוגע לאופי פעילותה:

  • התולעת תוכננה לזהות את קיומו של רכיב SCADA ספציפי ביותר מתוצרת חברת סימנס המותקן על המחשב הנגוע, ולפעול אך ורק אם הוא קיים.
  • התולעת הכילה Exploits למספר פגיעויות "Zero-Day", כלומר יכולת ניצול פרצות שעבורם עדיין לא קיים תיקון מיצרן התוכנה, ועל ידי כך לאפשר הרצת קוד נוסף.
  • מכיוון שפגיעויות "Zero-Day" מאותרות על ידי חוקרי אבטחה והאקרים עצמאיים, קיימת אפשרות לרכוש אותן באופן בלעדי; אולם רכישת מידע זה כרוכה בהוצאה כספית נכבדת, דבר שמעלה את הסיכויים כי מדובר בקבוצה בעלת אינטרסים ולא בפגיעה מקרית.
  • הקוד שהופעל על גבי המחשבים הנגועים כלל פעולות ספציפיות המיועדות לגרום נזק קיצוני למתקן המנוטר על ידי מערכת השו"ב של סימנס, וזאת על ידי ביטול פעולות רגולטוריות.

בהנחה שהעובדות הנ"ל נכונות, וכאשר מנתחים את פעילות התולעת בשטח (האיראני כרגע), אין שום ספק שתולעת ה- stuxnet אכן "ממוקדת מטרה", תוכננה בקפידה על ידי בעלי אינטרסים ויכולות כלכליות וטכנולוגיות, יועדה לגרימת נזק חמור ובלתי הפיך, והותאמה למתקן תעשייתי ספציפי ביותר - יש למישהו רעיון במי מדובר?

לניתוח הטכנולוגי המלא:
http://www.langner.com/en/
 
arrow סיכום

לכל לקוחותינו וקוראינו שנה טובה!

שנה של בריאות וללא אירועי אבטחת מידע.

ובינתיים, עדכנו את הקולגות על ההתראות של איי פי וי סקיוריטי.

שיתוף מידע = יותר אבטחת מידע

This e-mail address is being protected from spambots. You need JavaScript enabled to view it. בכל דבר בתחום אבטחת המידע - תובנות, אירועים, בדיחות, לינקים מעניינים ועוד.

שיתוף מידע = יותר אבטחת מידע

נשמח לשמוע מכם תגובות, הערות והארות וגם ללמוד מניסיונות ההתמודדות שלכם עם איומי אבטחה שונים, תולעים ושאר מזיקים. כמובן שגם נשמח להשיב על כל שאלה ובאופן כללי לסייע בייעוץ והכוונה איפה שאפשר.

שתפו אותנו ואת הקולגות שלכם - אם יש לכם מידע נוסף שיכול לעזור לקולגות שלכם בארגונים אחרים, נא שילחו לנו את המידע כך שנוכל להעבירו באופן ענייני וחסוי. נא שילחו דוא"ל ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן!

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2010) ©
 
התראה מספר 14
headerAlert
יום חמישי, 18 בנובמבר 2010 | יא' בכסלו תשע"א
alertDetails_02

פרצות אבטחה חמורות וטלאים קריטיים ממיקרוסופט, Adobe, אורקל וסיסקו
alertDetails_04

גבוהה מאוד
alertDetails_06 מיידית (ר' המלצות להתנהגות בהמשך)
יש לכם מידע נוסף? שתפו אותנו ואת הקולגות שלכם, שילחו דוא"ק ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.


ללקוחותינו שלום,

כבר בתחילת חודש אוקטובר (6.10.10), שיחררה מיקרוסופט התראה מקדימה לקראת פרסום סט העדכונים החודשי שלה, שיכלול 16 טלאי אבטחה חשובים. שחרור סט העדכונים הרשמי התרחש כשבוע לאחר מכן (12.10.10), כאשר ארבעה עדכונים הוגדרו ברמת סיכון "קריטית" ועשרה נוספים הוגדרו כ"חשובים". שני טלאים נוספים הוגדרו ברמת סיכון "בינונית". פגיעויות שנמצאו ברמת סיכון "קריטית" ו"חשובה" רלוונטיות ברובן עבור כלל מערכות ההפעלה מבית מיקרוסופט, ולחלק מחבילת תוכנות האופיס - "וורד" ו-"אקסל".

גם Adobe מפרסמת ארבעה עדכונים קריטיים המטפלים במספר פגיעויות שונות בשורה של אפליקציות פופולאריות. כל הפגיעויות מאפשרות לתוקף לגרום לקריסת התוכנה והרצת קוד זדוני העלול להוביל להשתלטות על המכונה המותקפת.

דווקא על חברת CISCO עבר חודש כמעט חופשי מדאגות, והיא פרסמה רק עדכון קריטי אחד למערכת CiscoWorks Common Services התקף עבור כל הפלטפורמות הנתמכות.

חבילת עדכונים קריטיים גדולה במיוחד שוחררה ע"י Oracle עבור מגוון תוכנות, והיא כוללת 85 טלאי אבטחה הנחלקים בין 13 תוכנות שונות שבבעלותה.

באופן כללי, דירוג רמת החומרה של פגיעות מסוימת ע"י היצרן מושפע ממספר גורמים, כגון:

  • פוטנציאל הניצול של הפגיעות
  • תוצאותיו המשוערות
  • נפיצות האפליקציה המכילה את הפגיעות
  • חשיבותה של האפליקציה בארגון

מומלץ לבחון לעומק את האפליקציות המכילות את הפגיעויות שפורסמו ואת פריסתן בארגון שלכם, מכיוון שלעיתים תתכן אי-התאמה בין רמת החומרה המיוחסת לפגיעות ע"י יצרן התוכנה, לבין משמעות הפגיעות בארגון ספציפי שנבדק.

בברכה,

צוות איי פי וי סקיוריטי בע"מ
arrow מיקרוסופט

סט העדכונים של חודש אוקטובר פורסם לקראת אמצע החודש, וכלל 16 טלאים בדרגת סיכון "חשוב" ומעלה.

ארבעת העדכונים שהוגדרו כ"קריטיים" באים כדי לתקן פגיעויות הניתנות למימוש ברוב מערכות ההפעלה מבית מיקרוסופט, בדפדפן IE (מגרסה 8 ומטה), וברכיב ספציפי בתוכנת "Windows Media Player" שניתן למימוש רק במערכות Win7 או Vista.

כל הפגיעויות שהוגדרו ברמת סיכון "קריטית" מאפשרות לאחר ניצול הרצת קוד ממחשב מרוחק.

עשרת העדכונים שהוגדרו ברמת סיכון "חשובה" רלוונטיים עבור שורה ארוכה של מערכות הפעלה מבית מיקרוסופט, אולם לעיתים ניצול מוצלח של הפגיעות דורש הגדרות תצורה מסוימות השונות מהגדרות ברירת המחדל. מכאן שיש לבדוק באופן ספציפי את נחיצות התקנת טלאי האבטחה על כל מכונה.

יש לציין כי כל אחד מטלאי אבטחה בסט העדכונים שפורסם מתקן בפועל מספר גדול יותר של פרצות ופגיעויות אפשריות. לדוגמה, MS10-071 כולל למעשה 7 תיקונים קריטיים/חשובים לבעיות שונות, ומהווה "תיקון לתיקון" מאחר והוא מחליף חבילת תיקונים שפורסמה ממש לאחרונה - MS10-053.

את הSecurity Bulletin המלא של מיקרוסופט ניתן לקרוא כאן:
http://www.microsoft.com/technet/security/bulletin/ms10-oct.mspx
arrow Adobe

במהלך החודש פרסמה חברת Adobe ארבע התראות על פגיעויות קריטיות במוצריה. בין התוכנות ניתן למצוא את: Adobe Acrobat, Adobe Reader, Shockwave Player, Flash Player, כאשר למעשה כמעט כל גרסאות התוכנות השונות מושפעות מפרצות אלו.

כל הפרצות שפורסמו עלולות לאפשר מתקפת DoS או הרצת קוד זדוני על גבי מחשבי המשתמשים. ניצול הפרצות יכול להתבצע לדוגמה ע"י הכנת קובץ PDF ופתיחתו ע"י הקורבן או באמצעות הקמת אתר זדוני שאפילו ביקור "רגיל" בו יפגע במשתמשים.

מידע נוסף ניתן למצוא באתר החברה, במאמרים הבאים:
http://www.adobe.com/support/security/advisories/apsa10-04.html

http://www.adobe.com/support/security/advisories/apsa10-05.html

http://www.adobe.com/support/security/bulletins/apsb10-21.html

http://www.adobe.com/support/security/bulletins/apsb10-25.htmll
arrow סיסקו

חודש שקט יחסית עבר על חברת Cisco הפעם, כשרק פרסום אחד מפר אותו לקראת סוף החודש. הפרצה שהתגלתה נמצאה בקוד "CiscoWorks Common Services", והיא רלוונטית עבור פלטפורמות Windows ו-Solaris כאחד. הפגיעות מאפשרת הרצת קוד זדוני, ונכון לתאריך פרסום הידיעה לא היה קיים טלאי אבטחה זמין להורדה. רק בימים האחרונים עודכן הפרסום, וכעת ישנו עדכון המבטל את הפגיעות. בצורה לא אופיינית, אין "workaround" שיכול לספק הגנה באופן מוחלט כרגע - וחברת Cisco מציעה הליך זמני שביכולתו להפחית את סיכויי הפגיעה בלבד, במידה ואין אפשרות להתקנת טלאי האבטחה

מידע נוסף לגבי הפרצה:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b51501.shtml
arrow אורקל

לא פחות מ-85 פרצות שונות בשורה ארוכה של תוכנות שוחררו בעדכון החודשי מבית Oracle (Oracle CPU). רשימת התוכנות הפגיעות כוללת את Oracle Database, Oracle Application Server, Oracle Sun Product Suite, ואחרים.
כל התיקונים הרלוונטיים לפרצות הנ"ל זמינים להורדה והתקנה כטלאי אבטחה נפרדים. כמו תמיד, אורקל ממליצה באופן ברור להתקין בהקדם את טלאי האבטחה, ולא להטמיע פתרונות "workarounds" שונים למרות זמינותם.

מימוש כל אחת מהפגיעויות מוביל במרבית המקרים לאפשרות הרצת קוד זדוני ממחשב מרוחק.

מידע ואפשרויות תיקון לגבי כ"א מהפגיעויות ניתן למצוא כאן:
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html
arrow בקצרה...

כמה פרצות ברמת חשיבות "קריטית" פורסמו במהלך החודש ע"י יצרנים שונים, עבור מספר אפליקציות נפוצות שניתן למצוא לרוב מותקנות בתחנות הקצה של משתמשי הארגון.

מומלץ להביא לידיעת עובדי הארגון את קיומן של פרצות אלו, לציין את גרסת התוכנה שבה תוקנו הפרצות, וכמו כן מיקום ברשת הפנימית/חיצונית שממנו ניתן להתקין אותן:

פגיעויות רבות בתוכנת "Foxit Reader", שתוקנו בגרסה 4.2 ששוחררה החודש:
http://www.foxitsoftware.com/pdf/reader/security_bulletins.php#identity

שבע פרצות קריטיות שונות דווחו ע"י חברת RealNetworks בנגן הנפוץ RealPlayer:
http://service.real.com/realplayer/security/10152010_player/en/

פרצות קריטיות בדפדפנים פופולאריים:

Google Chrome (גרסה חדשה להורדה):
http://googlechromereleases.blogspot.com/2010/10/stable-channel-update.html

Mozilla Firefox 3.6/3.6 (ללא תיקון זמין כרגע, "workaround" בלבד):
http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/
arrow עדכון קצר מאיי פי וי סקיוריטי

לכל לקוחותינו וקוראינו,

לקראת 2011 אנחנו שמחים להשיק שירות חדש:

"ענן השקט שלך" - Security Auditing As a Service

השירות עונה על דרישות תקנים כגון: iSOX, SOX, PCI-DSS

מעוניינים לקבל עוד פרטים?

נא מלאו את טופס בקשת פגישה ונציגינו יחזרו אליכם תוך 24 שעות.

נשמח לשמוע מכם תגובות, הערות והארות וגם ללמוד מניסיונות ההתמודדות שלכם עם איומי אבטחה שונים, תולעים ושאר מזיקים. כמובן שגם נשמח להשיב על כל שאלה ובאופן כללי לסייע בייעוץ והכוונה איפה שאפשר.

שתפו אותנו ואת הקולגות שלכם - אם יש לכם מידע נוסף שיכול לעזור לקולגות שלכם בארגונים אחרים, נא שילחו לנו את המידע כך שנוכל להעבירו באופן ענייני וחסוי. נא שילחו דוא"ל ל- This e-mail address is being protected from spambots. You need JavaScript enabled to view it.

להצטרפות לשירות ההתראות של איי פי וי סקיוריטי בע"מ הקש כאן!

הינכם מוזמנים לשלוח הודעה זו לכל גורם שלישי ולו בתנאי שההודעה תישלח במלואה על כל פרטיה.

הצהרה חשובה: חברת איי פי וי סקיוריטי מלקטת את המידע ואוספת את הנתונים ממקורות שונים ומשתדלת לנתחם ולהביאם בפני לקוחותיה באופן הממצה ביותר על מנת לעזור בשיפור מצב אבטחת המידע. עם זאת, חברת איי פי וי סקיוריטי בע"מ אינה אחראית לנכונות מלאה של המידע וכל פעולה שתתבצע על ידי מי מנמעני שירות זה הינה על אחריותו המלאה של הקורא בלבד.
איי פי וי סקיוריטי בע"מ
כל הזכויות שמורות לאיי פי וי סקיוריטי בע"מ, רעננה (2010) ©

צור קשר

איי פי וי סקיוריטי בע"מ

נא להקיש שם חוקי (אותיות בלבד)
נא להקיש שם חוקי (אותיות בלבד)
נא להקיש ספרות בלבד
נא להקיש כתובת אימייל חוקית
Invalid Input

נא לאשר שאינך רובוט

Invalid Input

User login