Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 30 May 2017

2017.05.30 - Nyhetsbrev

Oppdateringer fra Microsoft tetter nyoppdagede sårbarheter i Malware Protection Engine.

Ekstra oppdateringer fra Microsoft

Microsoft har utgitt oppdateringer utenfor ordinær syklus, til Malware Protection Engine. Oppdateringene skyldtes sårbarheter oppdaget via Google Project Zero, og ble publisert før sårbarhetene ble offentlig kjent.
Referanser
https://www.theregister.co.uk/2017/05/29/micr[...]
https://bugs.chromium.org/p/project-zero/issu[...]

Monday, 29 May 2017

2017.05.29 - Nyhetsbrev

Nye angrepsmetoder mot Android og sjålne dokumenter ble manipulert og lekket for å oppnå politiske mål i Russland.

Stjålne dokumeter ble manipulert og lekket for propaganda.

Dokumenter stjålet fra en journalist og kritiker av Russland gjennom et vellykket phishing angrep, ble manipulert og lekket for å oppnå spesifikke politiske mål. Videre etterforskning avdekket over 200 lignende tilfeller mot mål i hele verden.
Referanser
http://citizenlab.org/2017/05/tainted-leaks-d[...]
https://www.wired.com/2017/05/russian-hackers[...]

Nye måter å ta kontroll over Android-enheter på

Nye angrep gjør det mulig for ondsinnede applikasjoner å ta kontroll over Android-enheter og hente ut informasjon fra enheten. Dette gjøres ved å lure brukeren til å klikke på ting ved å tegne opp GUI-elementer over de egentlige dialog-boksene. Alle nyere versjoner av Android er berørt. Google vil heldigvis kunne begrense utnyttelse av svakhetene ved å ikke godkjenne apper som utnytter dem i Google Play.
Anbefaling
Det har i skrivende stund ikke blitt gjort tilgjengelig en fix.
Referanser
http://cloak-and-dagger.org/
https://www.xda-developers.com/cloak-and-dagg[...]

Friday, 26 May 2017

2017.05.26 - Nyhetsbrev

Ny orm sprer seg over SMB, og ny svakhet i Samba er avdekket.

Sårbarhet i Samba

NorCERT informerer om at en svakhet i Samba-programvaren (CVE-2017-7494) kan bli utnyttet av en angriper til å kjøre vilkårlig kode med administrator-rettigheter ved hjelp av et spesielt delt bibliotek. Alle versjoner fra og med 3.5.0 og nyere skal være berørte. Samba har publisert sikkerhetsoppdateringer på sine nettsider.
Referanser
https://cve.mitre.org/cgi-bin/cvename.cgi?nam[...]
https://www.samba.org/samba/history/security.html
https://www.samba.org/samba/security/CVE-2017[...]

Ny orm sprer seg over SMB

ThreatPost og NorCERT skriver om skadevaren EternalRocks, en orm som benytter seg av mange av de samme svakhetene som WannaCry. I motsetting til WannaCry krypterer ikke EternalRocks filer på systemet, men setter opp en bakdør ved hjelp av Tor. Det er enda uvisst hva denne bakdøren blir brukt til.
Referanser
https://threatpost.com/eternalrocks-worm-spre[...]
https://www.nsm.stat.no/norcert/norcertvarsle[...]

Wednesday, 24 May 2017

2017.05.24 - Nyhetsbrev

Samsungs iris-skanner omgått på Galaxy S8. En rekke populære medie-avspillere er sårbare for angrep via ondsinnede undertittel-filer.

Samsungs iris-skanner forbigått på Galaxy S8

Samsung Galaxy S8 er den første flaggskip-telefonen som bruker biometrisk iris-verifikasjon for autentisering av brukere. Nå viser en test utført av hackere hos Chaos Computer Club (CCC), at S8 sin iris-skanner enkelt kan bli lurt av et bilde av en person tatt med et digitalkamera med nattmodus. Samsung bruker iris for autentisering i deres betalingsløsning Samsung Pay og det er også ventet at iris-skanning kommer til å bli brukt til å aksessere mange andre systemer i nær fremtid, eks flyplasser, telefoner, IoT-enheter og betalingsløsninger. En talsmann fra CCC sier at den tradisjonelle PIN-koden fortsatt er sikrere.
Referanser
http://www.ccc.de/en/updates/2017/iriden
https://media.ccc.de/v/biometrie-s8-iris-en#v[...]
https://arstechnica.com/security/2017/05/brea[...]

Populære medie-avspillere sårbare for angrep via ondsinnede undertittel-filer

Check Point forklarer i en blogpost hvordan PCer kan bli kompromittert via ondsinnede undertittel-filer som lastes inn av en rekke populære medie-avspillere, som VLC, Kodi (XBMC) og Popcorn-Time. Oppdaterte versjoner av avspillerne er utgtt.
Referanser
http://blog.checkpoint.com/2017/05/23/hacked-[...]

Tuesday, 23 May 2017

2017.05.23 - Nyhetsbrev

Symantec oppsummerer WannaCry-angrepet og mener knytningen mot Nord-Korea er sterk. Cisco EnergyWise kan være sårbar for tjenestenektangrep.

WannaCry-analyse med attributtering fra Symantec

Symantec har oppsummert WannaCry-skadevaren og sitt perspektiv på hendelsene omkring utbruddet. Etter at flere eksperter har gått ut og advart mot å konkludere med at Nord-Korea stod bak angrepet, mener Symantec på sin side at det er sterke knytninger mellom WannaCry og den Nord-Korea-tilknyttede Lazarus-gruppen.
Referanser
https://www.symantec.com/connect/blogs/wannac[...]

Sårbarheter i Cisco EnergyWise kan føre til tjenestenektangrep

Cisco har publisert sikkerhetsoppdateringer for å håndtere sårbarheter i programvaren til EnergyWise-modulen på Cisco IOS og IOS XE. Ved å sende spesielt utformede pakker til en sårbar enhet, kan en angriper forårsake tjenestenekt ved en buffer overflow eller fremtvinge omstart av enheten. Cisco har utarbeidet en oversikt over hvilke enheter som potensielt er sårbare og hvordan man kan verifisere dette.
Anbefaling
Brukere av enheter som kjører en berørt versjon av Cisco IOS eller Cisco IOS XE, oppsatt med EnergyWise bør følge Ciscos veiledning for å verifisere om enheten er sårbar, og eventuelt installere oppdateringer.
Referanser
https://tools.cisco.com/security/center/conte[...]

Monday, 22 May 2017

2017.05.22 - Nyhetsbrev

Flere sikkerhetseksperter hevder nå at det er usannsynlig at Nord-Korea står bak WannaCry.

Sikkerhetseksperter hevder det er usannsynlig at Nord-Korea står bak WannaCry

Flere sikkerhetseksperter mener det er usannsynlig at Nord-Korea står bak WannaCry angrepet. Dette baseres på blant annet at ingenting i Nord-Koreas tidligere kyberkampanjer passer overens med typen angrep, og at kodelikheten som noen hevder er en indikasjon ikke er nok bevis alene.
Referanser
https://www.cybereason.com/blog-north-korea-i[...]
http://www.nzherald.co.nz/world/news/article.[...]

Friday, 19 May 2017

2017.05.19 - Nyhetsbrev

Evry i full kriseberedskap etter datalekkasje. Verktøy for dekryptering av WanaCry-krypterte filer. Hackere har stjålet 17 millioner passord fra restaurant-app.

Personsensitive data lekker ut via søkemotoren Bing

Ved flere tilfeller den siste tiden har sensitive data blitt tilgjengelig gjennom søkemotoren Bing. Evry har vært i kriseberedskap for å finne ut av problemet og Digi har ventet med å publisere informasjon for å gi norske firmaer mer tid. Årsaken til problemene kan være at nettleseren Edge sender tilfeldige genererte URLer til Bing for indeksering. Tidligere har slike URLer blitt regnet for å være relativt trygge å benytte, men dette kan nå ha endret seg. NSM har også sluppet informasjon rundt saken.
Referanser
https://www.digi.no/artikler/16-mai-ble-det-f[...]
https://www.nsm.stat.no/aktuelt/sokbare-perso[...]

Verktøy for dekryptering av WanaCry-krypterte filer

Comae skriver om verktøyet "wanakiwi" som ofte kan dekryptere filer som er kryptert av WanaCry. Dette gjøres ved å hente ut primtallene brukt under krypteringen fra maskinens minne ved bruk av en svakhet i "CryptReleaseContext" i Windows. Denne svakheten er tilstede i Windows versjoner fra Windows XP til og med Windows 7, men for at svakheten skal kunne utnyttes kan ikke minnet ha blitt overskrevet av andre applikasjoner. Maskinen kan hellerha vært skrud av i etter kant av WanaCry-infeksjonen.
Referanser
https://blog.comae.io/wannacry-decrypting-fil[...]
https://arstechnica.com/security/2017/05/wind[...]

Hackere har stjålet 17 millioner passord fra restaurant-app

Den indiske restaurant-appen Zomato, med over 120 millioner brukere, har blitt frastjålet rundt 17 millioner passord. Rundt 60 prosent av brukerne blir autentisert med tredje-parts løsninger som Google og Facebook og er ikke berørte. Zomato sier de samarbeider med hackeren om å tette svakhetene i systemene deres. Zomato ber allikevel alle sine brukere om å endre passord.
Referanser
https://nakedsecurity.sophos.com/2017/05/18/n[...]
http://blog.zomato.com/post/160807042556/secu[...]