Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 24 April 2015

2015.04.24 - Nyhetsbrev

Nesten 100000 nettbutikker skal være sårbare for en alvorlig svakhet i e-handelsløsninger fra Magento. Svakheten utnyttes nå aktivt.

Aktiv utnyttelse av alvorlig svakhet i e-handelsløsning fra Magento påvirker 100000 nettbutikker

Arstechnica melder at kriminelle nå aktivt utnytter en alvorlig svakhet i e-handelsløsninger fra Magento. Svakheten ble patchet i februar, men iflg. Arstechnica skal så mange som 100000 nettbutikker fremdeles være sårbare. Ved utnyttelse av svakheten kan angripere få full kontroll over nettbutikken/web-server, og videre utnytte dette til f.eks. å endre priser på produkter, stjele brukerinformasjon, legge inn exploit-kit mm.
Anbefaling
Installèr patch: https://www.magentocommerce.com/products/downloads/magento/
Referanser
http://arstechnica.com/security/2015/04/poten[...]
http://blog.checkpoint.com/2015/04/20/analyzi[...]

Thursday, 23 April 2015

2015.04.23 - Nyhetsbrev

F-Secure har en større rapport om malwareverktøykassen CozyDuke. WiFi-bug i iOS fører til omstart.

F-Secure med rapport om CozyDuke

Dette er en omfattende rapport som beskriver trojaneren CozyDuke, en verktøykasse brukt av flere trusselaktører i angrep mot en rekke organisasjoner. Cozyduke skal i følge F-Secure ha vært under utvikling siden 2011 og inneholde verktøy for å infisere maskiner, informasjonsuthenting og videre spredning. Det mistenkes at Russiske interesser står bak CozyDuke.
Referanser
https://www.f-secure.com/weblog/archives/0000[...]
https://securelist.com/blog/research/69731/th[...]

WiFi-bug i iOS fører til omstart

Det er oppdaget en bug i iOS 8 som kan føre til at apper krasjer eller at hele enheten omstarter i det uendelige. Svakheten ligger i tolkning av SSL-sertifikater. Tekniske detaljer rundt svakheten er ikke offentliggjort og Apple jobber med en fiks.
Referanser
http://arstechnica.com/security/2015/04/ios-b[...]

Wednesday, 22 April 2015

2015.04.22 - Nyhetsbrev

En sikkerhetsforsker har avdekket at en svakhet i OS X som kan utnyttes til å eskalere brukerrettighetene fremdeles kan utnyttes, til tross for at dette skal ha blitt fikset i oppdatering 10.10.3.

Svakhet for eskalering av brukerrettigheter ikke ordentlig fikset i OS X oppdatering

For to uker siden kom oppdateringen 10.10.3 til OS X. Denne oppdateringen skulle fikse en svakhet som gjorde det mulig for angripere å eskalere brukerrettighetene sine. En sikkerhetsforsker har nå greid å utnytte den samme svakheten på en maskin med oppdatert programvare, men på en litt forskjellig måte en før oppdateringen.
Referanser
https://objective-see.com/blog.html
http://www.zdnet.com/article/apple-failed-to-[...]

Tuesday, 21 April 2015

2015.04.21 - Nyhetsbrev

NRK skriver om hvordan Norge trener på cyberkrig. Svartebørs-marked for 0-dagssårbarheter. Analyse av HTTP.sys-sårbarheten som ble kjent i forrige uke. Det er oppdaget svakheter i flere Wordpress plugins. Trend Micro blogger om utviklingen av malware.

Slik trener Norge på cyberkrig

NRK har besøkt Forsvarets Forskningsinstitutt og sett på scenarioer på en realistisk tenkt fremtid. Video på NRKs nettsider.
Referanser
http://www.nrk.no/norge/slik-trener-norge-pa-[...]

TheRealDeal Market: Svartebørs-marked for 0-dagssårbarheter

Wired har en artikkel om et marked som har dukket opp på det skjulte internettet, der det selges exploit-kode til sårbarheter som angivelig ikke er kjente for offentligheten. Pris på sårbarhetene er ofte titusener av dollar. Det har ikke lyktes Wired å verifisere om sårbarhetene faktisk fungerer.
Referanser
http://www.wired.com/2015/04/therealdeal-zero[...]

Analyse av HTTP.sys-sårbarheten

Qualys' Security Labs-blogg har en gjennomgang av HTTP.sys-sårbarheten som ble rapportert forrige uke, og hvordan den utnyttes.
Referanser
https://community.qualys.com/blogs/securityla[...]

Malware uten filer

I en bloggpost peker Trend Micro på utviklingen av malware som lever utelukkende i RAM på infiserte maskiner, i stedet for å skrives til disk. Som eksempel nevnes malwaren Phasebot, som benytter Windows PowerShell til å kjøre kode skjult i registeret.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]

Svakheter i flere wordpress-plugins

WordPress-funksjonene add_query_arg() og remove_query_arg() har vist seg å være benyttet feil i en rekke plugins grunnet uklar dokumentasjon. Dette har medført at disse er sårbare for XSS. Oppdateringer for de fleste skal nå være tilgjengelig.
Anbefaling
Brukere av flg plugins bør oppdatere nå:
Jetpack
WordPress SEO
Google Analytics by Yoast
All In one SEO
Gravity Forms
Multiple Plugins from Easy Digital Downloads
UpdraftPlus
WP-E-Commerce
WPTouch
Download Monitor
Related Posts for WordPress
My Calendar
P3 Profiler
Give
Multiple iThemes products including Builder and Exchange
Broken-Link-Checker
Ninja Forms
Referanser
https://blog.sucuri.net/2015/04/security-advi[...]

Monday, 20 April 2015

2015.04.20 - Nyhetsbrev

Nytt marked for zero-day exploits beskyttet av TOR. Trend Micro: APT-gruppen Pawn Storm øker sine aktiviteter. FireEye: Russisk hackergruppe utnytter zero-day svakheter i Flash og Windows.

Nytt marked for zero-day exploits beskyttet av TOR

Det har dukket opp en ny markedsplass for programmer for å utnytte ferske svakheter i programvare kalt TheRealDeal Market. Nettstedet er beskyttet av krypteringssystemet TOR (The Onion Router) og betaling skjer via Bitcoins.
Referanser
http://www.wired.com/2015/04/therealdeal-zero[...]

Trend Micro: APT-gruppen Pawn Storm øker sine aktiviteter

Pawn Storm er en gruppe som driver med politisk og økonomisk spionasje. Ifølge Trend Micro har de i det siste utvidet sin infrastruktur. Blant målene til gruppen er NATO og Det hvite hus. Gruppen har vært aktiv siden 2007 og det er mistanke om at russiske myndigheter står bak.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]
http://www.darkreading.com/vulnerabilities---[...]

FireEye: Russisk hackergruppe utnytter zero-day svakheter i Flash og Windows

Ifølge FireEye utnytter en russisk hackergruppe, kalt APT28, zero-day svakheter i Adobe Flash og Windows. APT28 har lang fartstid og det sies at den er sponset av den russiske regjeringen. Det finnes patch for svakheten i Adobe (CVE-2015-3043), men per i dag finnes det ingen patcher for svakheten i Windows (CVE-2015-1701). Svakheten i Windows brukes for å få lokal administrator-tilgang, etter først å ha fått tilgang til maskinen gjennom Flash-exploiten.
Referanser
https://www.fireeye.com/blog/threat-research/[...]
http://www.cnet.com/news/russian-hacking-grou[...]

Friday, 17 April 2015

2015.04.17 - Nyhetsbrev

En sikkerhetsekspert ble onsdag arrestert på et fly etter å ha twitret om enheter som var tilgjengelige på flyets nettverk.

Sikkerhetsekspert arrestert på fly

De siste dagene har det vært en del mediasaker om muligheten for hacking av fly fra in-flight WiFi-systemer og bakken. En av de som har jobbet mest med dette, Chris Roberts, ble på onsdag arrestert i et fly etter å ha twitret om systemer han hadde kartlagt ombord i flyet.
Referanser
http://www.foxnews.com/us/2015/04/17/security[...]
http://www.digi.no/sikkerhet/2015/04/16/advar[...]

Thursday, 16 April 2015

2015.04.16 - Nyhetsbrev

Kritisk svakhet i alle IIS-webservere gjør at Microsoft oppfordrer til hurtig patching.

Sårbarhet i HTTP.sys. Microsoft anbefaler å fremskynde patching

En sårbarhet (MS15-034) adressert i Microsofts oppdateringer for april ansees som ekstra kritisk og Microsoft anbefaler alle å fremskynde patching. Svakheten ligger i HTTP.sys og kan utnyttes ved å sende flere spesielt utformede HTTP-forespørsler som resulterer i buffer overflow og dermed DoS. Verktøy for å utnytte denne svakheten til DoS-angrep finnes allerede offentlig tilgjengelig.

Microsoft informerer om at svakheten også kan utnyttes til remote kodeeksekvering. Verktøy for å utføre dette er enda ikke offentlig tilgjengelig.

På bakgrunn av dette oppfordrer TSOC alle til å ha ekstra fokus på denne svakheten. HTTP.sys brukes av alle IIS webservere (fra og med IIS 6) på Windows 7 og Windows 8.
Anbefaling
Oppdater alle sårbare systemer så fort det lar seg gjøre.
Referanser
https://support.microsoft.com/en-us/kb/3042553
https://technet.microsoft.com/library/securit[...]
https://isc.sans.edu/forums/diary/MS15034+HTT[...]