Contributor: Christopher Mendes
On the afternoon of April 15, 2013, just when many people were on the cusp of conquering another personal milestone by completing the Boston Marathon, they were hit hard by an act of cowardice. Two bombs struck near…
Secure Hash Algorithm 256 (SHA-2 or SHA-256) support on Symantec Code Signing for Individuals and Symantec Code Signing for Organizations is available starting April 1st, 2013 on the following Symantec Code Signing platforms: Microsoft® Authenticod…
Contributor: Avdhoot Patil
Phishers continue to target Indian movies with phishing scams. The phishing site featuring the movie “Bodyguard” is one example, and this month Symantec observed a phishing attack in which phishers used a song from the Telugu movie “Brindavanam” as bait.
The phishing site displayed a picture of a musical number from the movie “Brindavanam” starring Telugu actresses Samantha and Kajal Aggarwal in the left side of the phishing page. There is also a plot summary of the movie below the image. The phishing page then encouraged users to enter their login credentials stating that, after logging in, they could watch the video. The pictured musical number from the movie was taken from the legitimate movie website. After login credentials are entered, users are redirected to this legitimate movie website which features the same video. Due to the popularity of this musical number, and the star cast, phishers were probably hoping for a large audience, increasing the number of user credentials they could steal.
The phishers’ redirection to a legitimate Web page is to create the illusion of a valid login for duped users. If users fell victim to the phishing site by entering their login credentials, phishers would have successfully stolen their information for identity theft purposes. The phishing site was hosted on server based in Montreal, Canada.
Users are advised to adhere to the following best practices to avoid phishing attacks:
Contributor: Sandeep Ingale
When it comes to financial organizations, being informed about best security practices is every customer’s right. Many organizations provide this information on their websites to help their customers learn how to take …
The Symantec Internet Security Threat Report (ISTR) 2013 reveals how the threat landscape is evolving, compiling information from more than 69 million attack sensors in 157 countries around the world. This year’s report shows more targeted attack…
We recently observed a small spam campaign that was targeting random users. The campaign focused on users in India.
Figure 1. Heatmap of compromised computers related to the spam campaign
The emails contained a malicious attachment, detected as Spyware.Redpill, which is used by the bad guys to steal confidential information.
Spyware.Redpill is not new by any means; back in 2008 we created a signature for Spyware.Redpill to protect users. Redpill was designed to collect information for people wishing to know if their partner had been cheating on them. The name “red pill” was a nod to the Matrix film franchise, the red pill and its opposite, the blue pill were the choice between the blissful ignorance of illusion (blue) and embracing the sometimes painful truth of reality (red).
Opening the attached file will display an error message in order to hide the malicious purpose of the file and trick the user into thinking that the file is corrupted.
Figure 2. Error message displayed when the file is opened
In this particular case, the user might think that nothing happened, but unfortunately the malware has been executed and has already begun to steal information.
In the background the malware installs itself on the compromised computer by creating the following files:
Moreover, in order to be executed whenever Windows starts it creates the following registry entry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ “[RANDOM CHARACTERS REGISTRY ENTRY]” = “%ProgramFiles%\[RANDOM CHARACTERS FOLDER NAME]\[RANDOM CHARACTERS FILE NAME].exe “
Subsequently, the threat begins to record keystrokes and take screenshots.
The stolen information is sent to an email account hardcoded into the program. In our investigations we found details of the email account used by the attacker to receive the stolen data—for instance it received over 12,000 emails in March 2013. It is clear from this that the people behind this scheme are not looking for information on hundreds of cheating spouses, but are instead after valuable personal information and account details.
What kind information was being stolen?
Interestingly the malicious email account also has a backup email address. We have traced that email address to a member of an underground forum where this person was looking to buy email accounts, possibly in order to create and ship new malware variants with different hardcoded credentials built in.
Figure 3. Attacker looking to buy email account
In order to avoid this kind of attack, we recommend that users do not open unknown attachments and make sure that best security practices are followed. Ensure that the most up-to-date software patches are in place, and use the latest Symantec technologies and virus definitions for the best protection against threats.
今月のマイクロソフトパッチリリースブログをお届けします。今月は、14 件の脆弱性を対象として 9 つのセキュリティ情報がリリースされています。このうち 4 件が「緊急」レベルです。
いつものことですが、ベストプラクティスとして以下のセキュリティ対策を講じることを推奨します。
マイクロソフトの 4 月のリリースに関する概要は、次のページで公開されています。
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-Apr
今月のパッチで対処されている問題の一部について、詳しい情報を以下に示します。
MS13-028 Internet Explorer 用の累積的なセキュリティ更新プログラム(2817183)
Internet Explorer の解放後使用の脆弱性(CVE-2013-1303)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
Internet Explorer の解放後使用の脆弱性(CVE-2013-1304)MS の深刻度: 緊急
Internet Explorer が、削除されたメモリ内のオブジェクトにアクセスする方法に、リモートコード実行の脆弱性が存在します。この脆弱性によってメモリが破損し、攻撃者が現在のユーザーのコンテキストで任意のコードを実行できる場合があります。
MS13-029 リモートデスクトップクライアントの脆弱性により、リモートでコードが実行される(2828223)
RDP ActiveX コントロールにリモートコード実行の脆弱性(CVE-2013-1296)MS の深刻度: 緊急
リモートデスクトップ ActiveX コントロールの mstscax.dll がメモリ内の削除済みオブジェクトにアクセスしようとする場合に、リモートコード実行の脆弱性が存在します。攻撃者はこの脆弱性を悪用して、特別に細工された Web ページにアクセスするように誘導する場合があります。攻撃者がこの脆弱性の悪用に成功すると、ログオンユーザーと同じユーザー権限を取得する可能性があります。
MS13-036 カーネルモードドライバの脆弱性により、特権が昇格される(2829996)
Win32k フォントの解析の脆弱性(CVE-2013-1291)MS の深刻度: 警告
特別に細工されたフォントファイルを Windows が処理できない場合に、サービス拒否の脆弱性が存在します。この脆弱性により、コンピュータが応答を停止し、再起動する可能性があります。
Win32k 競合状態の脆弱性(CVE-2013-1283)MS の深刻度: 重要
Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、特権が昇格し、任意の量のカーネルメモリが読み取られる可能性があります。
Win32k 競合状態の脆弱性(CVE-2013-1292)MS の深刻度: 重要
Windows カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、特権が昇格し、任意の量のカーネルメモリが読み取られる可能性があります。
NTFS の NULL ポインタ逆参照の脆弱性(CVE-2013-1293)MS の深刻度: 警告
NTFS カーネルモードドライバがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、カーネルモードで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全な管理者権限を持つ新しいアカウントの作成ができる場合があります。
MS13-031 Windows カーネルの脆弱性により、特権が昇格される(2813170)
カーネルの競合状態の脆弱性(CVE-2013-1294)MS の深刻度: 緊急
Windows カーネルがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、特権が昇格し、任意の量のカーネルメモリが読み取られる可能性があります。
カーネルの競合状態の脆弱性(CVE-2013-1284)MS の深刻度: 重要
Windows カーネルがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、特権が昇格し、任意の量のカーネルメモリが読み取られる可能性があります。
MS13-032 Active Directory の脆弱性により、サービス拒否が起こる(2830914)
メモリ消費の脆弱性(CVE-2013-1282)MS の深刻度: 重要
Active Directory の実装にサービス拒否の脆弱性が存在するため、サービスが応答しなくなる可能性があります。この脆弱性は、LDAP サービスが特別に細工されたクエリーの処理に失敗した場合に起こります。
MS13-033 Windows のクライアント/サーバーランタイムサブシステム(CSRSS)の脆弱性により、特権が昇格される(2820917)
CSRSS のメモリ破損の脆弱性(CVE-2013-1295)MS の深刻度: 重要
Windows CSRSS カーネルがメモリ内のオブジェクトを正しく処理しない場合に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、ローカルシステムのコンテキストで任意のコードを実行できる場合があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。
MS13-034 Microsoft Antimalware Client の脆弱性により、特権が昇格される(2823482)
Microsoft Antimalware の不適切なパス名の脆弱性(CVE-2013-0078)MS の深刻度: 重要
これは、特権昇格の脆弱性です。攻撃者がこの脆弱性の悪用に成功すると、LocalSystem アカウントのセキュリティコンテキストで任意のコードを実行し、システムを完全に制御する可能性があります。攻撃者はその後、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成ができる場合があります。この脆弱性を悪用するには、攻撃者が有効なログオン資格情報を所有している必要があります。匿名ユーザーによってこの脆弱性が悪用される可能性はありません。
MS13-035 HTML のサニタイズコンポーネントの脆弱性により、特権が昇格される(2821818)
HTML のサニタイズの脆弱性(CVE-2013-1289)MS の深刻度: 重要
HTML 文字列をサニタイズする方法に、特権昇格の脆弱性が存在します。攻撃者がこの脆弱性の悪用に成功すると、影響を受けるシステムでクロスサイトスクリプティング攻撃を実行し、現在のユーザーのセキュリティコンテキストでスクリプトを実行できる場合があります。
MS13-030 SharePoint の脆弱性により、情報漏えいが起こる(2827663)
不適切なアクセス権による情報漏えいの脆弱性(CVE-2013-1290)MS の深刻度: 重要
SharePoint Server が特定の SharePoint リストに対してアクセス制御を適用する方法に情報漏えいの脆弱性が存在します。
今月対処されている脆弱性についての詳しい情報は、シマンテックが無償で公開している SecurityFocus ポータルでご覧いただくことができ、製品をご利用のお客様は DeepSight Threat Management System を通じても情報を入手できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Hello, welcome to this month’s blog on the Microsoft patch release. This month the vendor is releasing nine bulletins covering a total of 14 vulnerabilities. Four of this month’s issues are rated ’Critical’.
As always, customers are advised to follow these security best practices:
Microsoft’s summary of the April releases can be found here:
http://technet.microsoft.com/en-us/security/bulletin/ms13-Apr
The following is a breakdown of the issues being addressed this month:
MS13-028 Cumulative Security Update for Internet Explorer (2817183)
Internet Explorer Use After Free Vulnerability (CVE-2013-1303) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
Internet Explorer Use After Free Vulnerability (CVE-2013-1304) MS Rating: Critical
A remote code execution vulnerability exists in the way that Internet Explorer accesses an object in memory that has been deleted. This vulnerability may corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.
MS13-029 Vulnerability in Remote Desktop Client Could Allow Remote Code Execution (2828223)
RDP ActiveX Control Remote Code Execution Vulnerability (CVE-2013-1296) MS Rating: Critical
A remote code execution vulnerability exists when the Remote Desktop ActiveX control, mstscax.dll, attempts to access an object in memory that has been deleted. An attacker could exploit the vulnerability by convincing the user to visit a specially crafted webpage. An attacker who successfully exploited this vulnerability could gain the same user rights as the logged-on user.
MS13-036 Vulnerabilities in Kernel-Mode Driver Could Allow Elevation Of Privilege (2829996)
Win32k Font Parsing Vulnerability (CVE-2013-1291) MS Rating: Moderate
A denial of service vulnerability exists when Windows fails to handle a specially crafted font file. The vulnerability could cause the computer to stop responding and restart.
Win32k Race Condition Vulnerability (CVE-2013-1283) MS Rating: Important
An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.
Win32k Race Condition Vulnerability (CVE-2013-1292) MS Rating: Important
An elevation of privilege vulnerability exists when the Windows kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.
NTFS NULL Pointer Dereference Vulnerability (CVE-2013-1293) MS Rating: Moderate
An elevation of privilege vulnerability exists when the NTFS kernel-mode driver improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in kernel mode. An attacker could then install programs, view, change, or delete data, or create new accounts with full administrative rights.
MS13-031 Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2813170)
Kernel Race Condition Vulnerability (CVE-2013-1294) MS Rating: Critical
An elevation of privilege vulnerability exists when the Windows kernel improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.
Kernel Race Condition Vulnerability (CVE-2013-1284) MS Rating: Important
An elevation of privilege vulnerability exists when the Windows kernel improperly handles objects in memory. An attacker who successfully exploited this vulnerability could gain elevated privileges and read arbitrary amounts of kernel memory.
MS13-032 Vulnerability in Active Directory Could Lead to Denial of Service (2830914)
Memory Consumption Vulnerability (CVE-2013-1282) MS Rating: Important
A denial of service vulnerability exists in implementations of Active Directory that could cause the service to stop responding. The vulnerability is caused when the LDAP service fails to handle a specially crafted query.
MS13-033 Vulnerability in Windows Client/Server Run-time Subsystem (CSRSS) Could Allow Elevation of Privilege (2820917)
CSRSS Memory Corruption Vulnerability (CVE-2013-1295) MS Rating: Important
An elevation of privilege vulnerability exists when the Windows CSRSS improperly handles objects in memory. An attacker who successfully exploited this vulnerability could run arbitrary code in the context of the local system. An attacker could then install programs, view, change, or delete data, or create new accounts with full user rights.
MS13-034 Vulnerability in Microsoft Antimalware Client Could Allow Elevation of Privilege (2823482)
Microsoft Antimalware Improper Pathname Vulnerability (CVE-2013-0078) MS Rating: Important
This is an elevation of privilege vulnerability. An attacker who successfully exploited this vulnerability could execute arbitrary code in the security context of the LocalSystem account and take complete control of the system. An attacker could then install programs, view, change, or delete data, or create new accounts with full user rights. An attacker must have valid logon credentials to exploit this vulnerability. The vulnerability could not be exploited by anonymous users.
MS13-035 Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2821818)
HTML Sanitization Vulnerability (CVE-2013-1289) MS Rating: Important
An elevation of privilege vulnerability exists in the way that HTML strings are sanitized. An attacker who successfully exploited this vulnerability could perform cross-site scripting attacks on affected systems and run script in the security context of the current user.
MS13-030 Vulnerability in SharePoint Could Allow Information Disclosure (2827663)
Incorrect Access Rights Information Disclosure Vulnerability (CVE-2013-1290) MS Rating: Important
An information disclosure vulnerability exists in the way that SharePoint Server enforces access controls on specific SharePoint Lists.
More information on the vulnerabilities being addressed this month is available at Symantec’s free SecurityFocus portal and to our customers through the DeepSight Threat Management System.
De plus en plus d’affaires sont menées sur internet aujourd’hui. Même les plus petites entreprises avec une présence web s’y trouvent.
L’internet est un endroit fantastique pour des entreprises, particulièrement pour celles de petite taille. Les coûts impliqués sont assez bas et il est relativement facile de se construire une forte présence en ligne.
Mais mener des affaires en ligne n’est pas sans danger, surtout au vu des menaces nombreuses que posent les cybercriminels aujourd’hui.
Cet aspect est important par rapport au transferten ligne des données sensibles. Quece soit des contrats ou des reçusque vous envoyiez par mail ou même des informations financières sensibles, la protection des données envoyées en ligne est indispensable. Que pouvez-vous faire pour les protéger ?
L’email a presque le même âge que l’internet mais pendant longtemps le système desécurité des services de courrier électronique était plutôt démodé et facile à infiltrer.
Depuis, il y avait des améliorations dans ce domaine mais il existe toujours des mesures pour augmenter la protection de vos emails si vous envoyez des informations sensibles sur le web.
En vous connectant sur votre compte mail, rassurez-vous que l’adresse commence par HTTPS. Cela vous indique non seulement que votre compte mailest chiffrémais aussi qu’il est sûr.
Pour se rassurer même plus, il est également une bonne idée dechiffrer un mail avant de l’envoyer. Dans ce cas des méthodes comme PGP encryption ou Symantec Digital ID for Secure Email vous fournissent une clé de chiffrement pour vos emails.
Transfert de fichiers
L’émail peut être un moyen sûr pour transférer vos données sensibles mais la plupart des services de courrier électronique limite la taille des fichiers que vous pouvez envoyer.
Pour un document ou un fichier plus large beaucoup de gens utilisent File Transfer Protocol ou FTP (en français « protocole de transfert de fichiers »). Il s’agit d’un système qui permet d’envoyer rapidement et facilement des larges fichiers. Pourtant, il ne vous protège pas si bien.
Il est très facile d’intercepter et de lire des FTP. Des mesures de sécurité supplémentaires sont nécessairessi vous voulez envoyer des informations sensibles avec cette méthode.
En utilisant un FTP en même temps qu’un certificat SSL, vous pouvez améliorer votre niveau de protection et transférer vos fichiers larges sans risque.
Ceci est parfois appelé FTPS. Ce système crée une connexion sûre depuis un serveur ou un ordinateur pour que vous puissiez transférer rapidement et facilement des données sensibles.
Les réseaux de partage de fichiers (file sharing services) représentent une alternative au FTP – beaucoup d’eux sont gratuits au début mais si vous avez besoin de plus d’espace et de plus de bande passante il faut investir quelques euros.
Certificats SSL
Si vous transférezrégulièrementdes larges quantités d’informations sensibles dans le cadre de votre business, un certificat SSL pour sécuriser un portail de transfert de fichier pourrait être un bon investissement
En mettant le transfert des informations sensibles sous un certificat SSL sur votre serveur, vous améliorez votre niveau de sécurité et de simplicité.
Il existe de nombreuses solutions pour le transfert de fichiers en ligne…mais peut-être que la chose la plus importante c’est le choix d’un service sûr et chiffré.
Immer mehr Geschäfte werden heutzutage über das Internet abgewickelt, denn auch die kleinsten Betriebe verfügen oft über eine Form von Webpräsenz.
Das Internet ist ein großartiger Ort für Betriebe, insbesondere f&uum…