Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 23 August 2017

2017.08.23 - Nyhetsbrev

Mer enn 500 apper trukket fra Google Play etter funn av bakdør.

Mer enn 500 apper trukket fra Google Play etter funn av bakdør

Dette skriver Lookout Security Intelligence i et blogginnlegg. Svakheten ligger i en SDK (Software Development Kit) kalt lgexin som ser ut til å ha vært populær blant flere apputviklere. Det som gjør denne saken litt spesiell er at bakdøren ikke er en funksjonalitet som appuviklerne selv har lagt til, men at den er en del av SDKen som de bruker i utviklingen av appen. I dette tilfellet var den en type SDK som skal gjøre det enklere for utviklerne å vise reklame.

Sårbarheten ligger i SDKen sitt plugin rammeverk og gjør at klienten (mobiltelefonen) kjører ondsinnet kode basert på responser den får fra det eksterne REST APIet den kontakter. Koden som lastes ned er under ekstern kontroll og kan endres av de som styrer APIet. Hva koden kan gjøre er selvsagt begrenset av sikkerhetsinntillingene i android for den aktuelle appen. I det mest alvorlige tilfellet skal Lookout Security Intelligence ha funnet en plugin som henter ut telefonlogger.

Apper som inneholder den sårbare SDKen skal ha vært alt fra spill til vær og internett radio apper. Noen av dem hadde opp mot 100 millioner nedlastninger.
Referanser
https://blog.lookout.com/igexin-malicious-sdk

Tuesday, 22 August 2017

2017.08.22 - Nyhetsbrev

Valutaplattformen Enigma hacket. Kritiske svakheter er fikset i Thunderbird 52.3.

Valutaplattformen Enigma hacket

Hackere har svindlet investorer i valuttaplattformen Enigma. Dette ble gjort ved at hackere kompromitterte Enigmas websider, e-post servere og Slack channel, for så offentliggjøre meldinger om forhåndssalg hvor deres egen digitale lommebok var mottaker av pengene. De mottok flere millioner kroner før svindelen ble oppdaget. Angriperne kom seg inn siden én av de ansatte gjenbrukte gamle passord og ikke brukte to-faktor-autentisering.
Referanser
http://www.theregister.co.uk/2017/08/21/enigm[...]

Kritiske svakheter er fikset i Thunderbird 52.3

Mozilla har gitt ut en ny oppdatering til Thunderbird, som fikser en rekke svakheter, blant annet 2 kritiske (CVE-2017-7800, CVE-2017-7801). Svakhetene kan føre til potensielt utnyttbar krasj.
Anbefaling
Det anbefales å oppdatere til nyeste versjon, Thunderbird 52.3.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Monday, 21 August 2017

2017.08.21 - Nyhetsbrev

Kritiske svakheter i Foxit PDF Reader

Kritiske svakheter i Foxit PDF Reader

Sikkerhetsforskere har avdekket to kritiske svakheter (CVE-2017-10951 og CVE-2017-10952) i Foxit Reader. Dersom en spesiallaget fil ikke åpnes i Safe Mode, vil den kunne kjøre vilkårlig kode på offerets maskin. Det er ikke utgitt fikser for svakhetene.
Anbefaling
Det anbefales at man dobbeltsjekker at man har aktivert Safe Mode og at man er forsiktig med å åpne vedlegg man får på epost.
Referanser
http://thehackernews.com/2017/08/two-critical[...]

Friday, 18 August 2017

2017.08.18 - Nyhetsbrev

Utviklerkontoer til populære Chrome-utvidelser tatt over av cyberkriminelle. Ny variant av Locky-løsepengevirus omgår antivirus.

Utviklerkontoer til populære Chrome-utvidelser tatt over av cyberkriminelle

I slutten av juli og begynnelsen av august ble utviklerkontoer tilknyttet 8 populære Chrome-utvidelser overtatt av kriminelle. Kontoene ble brukt til å distribuere manipulerte versjoner av utvidelsene. Over 4.7 millioner brukere kan være berørt.

Kontoene ble stjålet ved at angriperne brukte phishing-eposter for å få tilgang. Det ble lagt inn kode i utvidelsene som byttet ut legitim reklame på nettsteder med annen reklame, for det meste pornografiske nettsteder. I teorien kan de også ha hentet inn innloggingsdetaljer fra sluttbrukere.

De kompromitterte utvidelsene er:

Web Developer - 1,044,016 brukere
Chrometana - 597,577 brukere
Infinity New Tab - 476,803 brukere
CopyFish - 37,397 brukere
Web Paint - 53,930 brukere
Social Fixer - 182,083 brukere
TouchVPN - 1,031,690 brukere
Betternet VPN - 1,334,517 brukere
Referanser
http://securityaffairs.co/wordpress/62090/hac[...]

Ny variant av Locky-løsepengevirus omgår antivirus

Fra 9. til 11. august, havnet løsepengeviruset kalt IKARUSdilapidated i titusenvis av innbokser ifølge Comodo Threat Intelligence Lab. Innholdet er en fil med navn "E 2017-08-09 (580).vbs" hvor 580 og ".vbs" kan endre seg fra mail til mail. Hvis filen lastes ned og kjøres, laster denne ned et dokument. Når brukeren åpner dokumentet, ser det ut til å være fylt med tilfeldige tegn, og det inkluderer teksten "Enable macro if data encoding is incorrect". Dersom brukeren slår på makroer, lagres og kjøres en eksekverbar fil som laster ned det virkelige løsepengeviruset.

Etter at en klient er infisert, blir brukeren bedt om laste ned TOR-nettleseren for å besøke en betalingsside. Løsepengesummen er fra 0.5 til 1 Bitcoin (ca 16980 til 33960 NOK).
Referanser
https://threatpost.com/locky-ransomware-varia[...]

Thursday, 17 August 2017

2017.08.17 - Nyhetsbrev

Norsk mobilapp muliggjorde uthenting av fødselsnummer. Flere alvorlige svakheter i Drupal Core. Cisco fikser svakheter i flere produkter.

Norsk mobilapp muliggjorde uthenting av fødselsnummer

Appen "Trygg Reise" fra Tryg forsikring hadde manglende autentisering mot et bakenforliggende system. Ved hjelp av en proxy, var det mulig å få hentet ut informasjon om bileiere ved å slå opp på skilt-nummer. Info som kunne hentes ut var navn, adresse, forsikringer og fødselsnummer.
Referanser
https://www.digi.no/artikler/norsk-mobilapp-a[...]

Flere alvorlige svakheter i Drupal Core

Det har blitt sluppet en ny versjon av publiseringssystemet Drupal som utbedrer tre svakheter. En av svakhetene har blitt rangert som "kritisk".
Anbefaling
Oppdater til Drupal v8.3.7.
Referanser
https://www.drupal.org/SA-CORE-2017-004

Cisco fikser svakheter i flere produkter

Cisco fikser svakheter i produktene "Application Policy Infrastructure Controller" og "Virtual Network Function Element Manager".
Anbefaling
dfg
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 16 August 2017

2017.08.16 - Nyhetsbrev

Telenor utgir rapporten "Digital Sikkerhet 2017".

Bakdør funnet i flere produkter fra NetSarang.

Det omfattende utpressingsangrepet "NotPetya" i juni kan komme til å koste Maersk Line opptil to milliarder kroner.

Bakdør funnet i flere NetSarang produkter.

KasperskyLabs oppdaget tidligere i juni en bakdør lagt inn i server-håndteringssystemer fra NetSarang. Bakdøren ble oppdaget etter mistenkelige DNS-spørringer fra servere som brukte NetSarang produkter. Bakdøren er fjernet i nyeste oppdateringer.
Referanser
https://securelist.com/shadowpad-in-corporate[...]

Telenor utgir rapporten "Digital Sikkerhet 2017"

En ny rapport fra Telenor Norge kaster lys over risikoer og utfordringer Norge står overfor når avanserte trusselaktører utnytter cyberspace.
Referanser
http://www.mynewsdesk.com/no/telenor/pressrel[...]
https://www.telenor.no/om/digital-sikkerhet/
http://

Utpressingsangrepet "NotPetya" kan koste Maersk Line opptil to milliarder kroner.

Shippingfirmaet Maersk Line skriver i deres kvartalsrapport for Q2 at utpressingsangrepet "NotPetya", som rammet dem i slutten av juni, kan koste selskapet så mye som 200-300 millioner dollar.
Referanser
https://www.digi.no/artikler/dataangrepet-kan[...]
http://investor.maersk.com/releasedetail.cfm?[...]

Tuesday, 15 August 2017

2017.08.15 - Nyhetsbrev

PostgreSQL fikser tre svakheter og over 50 feil i siste oppdatering. Svakhet fra patche-tirsdag i Windows har orme-potensiale.

PostgreSQL fikser tre svakheter og over 50 feil i siste oppdatering

Siste ukes oppdatering fikset en svakhet som aksepterte blanke passord. Det anbefales å oppgradere.
Referanser
http://www.securityweek.com/password-flaws-pa[...]

Svakhet fra patche-tirsdag i Windows har orme-potensiale

CVE-2017-8620, fikset i august-oppdateringen fra Microsoft, har potensiale til kunne benyttes til spredning av ormer. Svakheten gir angriper muligheten til å oppgradere rettigheter og fra eksternt ståsted angripe og kjøre kode. Alle Windows versjoner er påvirket svakheten utnyttes via SMB. Vi anbefaler å oppgradere.
Referanser
https://threatpost.com/windows-search-bug-wor[...]