Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 30 September 2011

2011.09.30 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 29 September 2011

2011.09.29 - Nyhetsbrev

Cisco, Citrix og Novell er ute med sikkerhetsoppdateringer. Mozilla slipper ny versjon av Firefox og Thunderbird. Microsoft og Kaspersky Lab har tatt ned Kelihos-botnettet.

Mozilla Firefox 7.0 og Mozilla Thunderbird 7.0 er ute

Firefox 7.0 og Thunderbird 7.0 er sluppet av Mozilla. I tillegg til nye og forbedrede funksjoner har også flere svakheter blitt rettet.
Referanser
https://www.mozilla.org/en-US/firefox/7.0/releasenotes/
http://www.mozilla.org/en-US/thunderbird/7.0/releasenotes/

Microsoft og Kaspersky Lab tar ned Kelihos-botnettet

Microsoft og Kaspersky Lab har tatt ned et botnett. Botnettet har blant annet blitt brukt til å sende ut store mengder spam, stjele sensitiv informasjon og spre falsk anti-virus til Mac-brukere. Kaspersky har en gjennomgang av hvordan botnettet fungerer.
Referanser
http://www.securelist.com/en/blog/208193137/Botnet_Shutdown_Success_Story_How_Kaspersky_Lab_Disabled_the_Hlux_Kelihos_Botnet
https://blogs.technet.com/b/microsoft_blog/archive/2011/09/27/microsoft-neutralizes-kelihos-botnet-names-defendant-in-case.aspx

Citrix Provisioning Services Unspecified Vulnerability

Det har blitt avdekket en svakhet i Citrix Provisioning Services som gjør det mulig for en ekstern angriper å eksekvere kode ved å sende spesialtilpassede pakker. Autentisering er ikke nødvendig for å utnytte svakheten. Citrix har sluppet en patch som retter opp i problemet.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://support.citrix.com/article/CTX130846

Cisco tetter sikkerhetshull i IOS og Unified Communications Manager

Cisco har sluppet ni sikkerhetsoppdateringer for IOS og en for Unified Communications Manager. Av samtlige svakheter som rettes i denne halvårlige runden med oppdateringer, er det kun svakheten i IOS Software Smart Install som rangeres som kritisk. Resten er mindre alvorlige svakheter som kan føre til tjenestenekt. Vellykket utnyttelse av svakheten i Smart Install kan gi angriper full kontroll over enheten. Exploitkode for Smart Install svakheten eksisterer, men er ikke offentlige tilgjengelig iflg. Cisco.
Anbefaling
Implementer "workarounds" eller oppgrader til siste versjon.
Referanser
http://blogs.cisco.com/security/cisco-ios-security-advisory-bundle-its-that-time-again/
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep11.html

Svakheter i Novell GroupWise

Det har blitt oppdaget flere svakheter i Novell GroupWise som kan gi en angriper mulighet for ekstern kodeeksekvering uten å måtte autentisere seg.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externa
lId=7009216&sliceId=1&docTypeID=DT_TID_1_1&dialogID=269227180&stateId=0%
200%20269229135
http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7009208&sliceId=1&docTypeID=DT_TID_1_1&dialogID=268443893&stateId=0%200%20268449181
http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7009212&sliceId=1&docTypeID=DT_TID_1_1&dialogID=269199777&stateId=0%200%20269201751

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 28 September 2011

2011.09.28 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 27 September 2011

2011.09.27 - Nyhetsbrev

MySQL.com har blitt hacket og Microsoft har sluppet informasjon rundt svakheten i SSL/TLS.

MySQL.com hacket. Serverte Malware i 7 timer.

Root-tilgang til MySQL.com skal ha blitt solgt på svartebørsen for 3000 USD. Deretter har de som kjøpte tilgangen lastet opp en BlackHole exploit-pakke. Denne malwaren var aktiv på tjeneren i rundt 7 timer, noe som betyr at det opp mot 120 000 brukere kan ha blitt infisert.
Referanser
http://krebsonsecurity.com/2011/09/mysql-com-sold-for-3k-serves-malware
http://blog.armorize.com/2011/09/mysqlcom-hacked-infecting-visitors-with.html

Microsoft har gitt ut informasjon og råd rundt SSL-svakhet

Microsoft har i dag sluppet en "advisory" rundt SSL-svakheten og det tilhørende verktøyet BEAST som nettopp har blitt sluppet. Microsoft kommer her med forskjellige råd om hvordan tjenere kan settes opp for å unngå svakheten. Blant annet foreslår de å velge en annen krypteringsmetode enn CBC og å skru på TLS v1.1. Se artikkelen for flere detaljer.
Referanser
http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspx

Full HTML-versjon av dagens nyhetsbrev.

Monday, 26 September 2011

2011.09.26 - Nyhetsbrev

Det har kommet flere detaljer rundt verktøyet BEAST.

Flere detaljer rundt BEAST og SSL

Det har blitt sluppet noen flere detaljer rundt verktøyet BEAST og muligheten til å dekryptere SSL/TLS-trafikk. Dette viser at TLS versjon 1.0 er moden for utskiftning, selv om angrepet pr dags dato er vanskelig å implementere.
Anbefaling
Bruk TLS v1.1 eller nyere.
Referanser
http://isc.sans.edu/diary.html?storyid=11635
http://nakedsecurity.sophos.com/2011/09/24/secure-web-browsing-cracked-by-beast/

Full HTML-versjon av dagens nyhetsbrev.

Friday, 23 September 2011

2011.09.23 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 22 September 2011

2011.09.22 - Nyhetsbrev

Svakhet i Cisco Identity Services Engine blir patchet 30.september.
Adobe har publisert kritisk patch.

Kritisk patch for Adobe Flash Player er publisert

Adobe har sluppet den kritiske patchen for Flash Player som vi omtalte i går. Svakhetene som blir fikset kan føre til at utenforstående får full kontroll over sårbart system. Følgende systemer er sårbare: Linux, Mac, Windows, Solaris og Android. Oppdateringen dukker automatisk opp for Windows og Mac brukere. Alle andre må selv hente ned oppdateringen manuelt.
Anbefaling
Oppgrader
Referanser
http://www.adobe.com/support/security/bulletins/apsb11-26.html

Svakhet i Cisco Identity Services Engine

Det har blitt oppdaget en udokumentert brukerkonto i Cisco Identity Services Engine. Denne kontoen kan brukes av en angriper for å full tilgang til systemet. Angrepet utføres via Oracle SQL*Net på TCP port 1521. Cisco melder at de vil publisere en patch for problemet 30.september. Bruk av aksesslister på port 1521 vil redusere risikoen betraktelig.
Anbefaling
Følg anbefalinger fra produsent
Referanser
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b95105.shtml
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b95110.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 21 September 2011

2011.09.21 - Nyhetsbrev

Adobe kommer med en patch til Flash Player i løpet av dagen.

Adobe skal patche kritisk 0-day svakhet i løpet av dagen

Adobe har varslet at de i løpet av dagen kommer med en patch til Adobe Flash Player. Oppdateringen retter flere kritiske svakheter, samt en "cross-site-scripting" svakhet som allerede blir aktivt utnyttet i følge Adobe.
Referanser
http://blogs.adobe.com/psirt/2011/09/prenotification-security-update-for-flash-player.html

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 20 September 2011

2011.09.20 - Nyhetsbrev

Et av foredragene på Ekoparty i Buenos Aires skal ta for seg en angivelig svakhet i SSL/TLS-protokollen. Det er publisert informasjon om svakheter Apples passordsikkerhet for OS X Lion.

Forskere påstår de klarer å dekryptere SSL-trafikk

Noen forskere påstår at de har oppdaget en svakhet i SSL/TLS-protokollen som brukes til å kryptere trafikk til og fra web-tjenere. Svakheten finnes i versjon 1.0 av TLS. Foreløpig tar det lang tid å dekryptere trafikken. Angrepet er derfor rettet mot login-cookies fra f.eks. PayPal.

Angriperne må også ha tilgang til trafikk-strømmen mellom web-tjeneren og brukeren for å gjennomføre angrepet. Dette gjøres ved å lure brukeren til å laste javascript i nettleseren. Detaljer rundt svakheten skal publiseres på sikkerhetskonferansen "Ekoparty" i Buenos Aires senere denne uken

Svakheten er utbedret i TLS v1.1, men denne protokollen er foreløpig lite implementert. TheRegister har skrevet en artikkel med detaljer rundt saken.
Referanser
http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

Svakheter i passordsikkerhet i OS X Lion

OX X Lion gir en lokal bruker mulighet til å endre passord uten å oppgi det gamle passordet. En lokal bruker kan også få tilgang til passord-hashene til andre brukere på systemet. Det har blitt sluppet et verktøy for å knekke disse hashene. Ingen av disse problemene fantes i forrige versjon av OS X.
Anbefaling
Vent på patch.
Referanser
http://www.defenceindepth.net/2011/09/cracking-os-x-lion-passwords.html
http://www.theregister.co.uk/2011/09/19/apple_password_security_exposed/

Full HTML-versjon av dagens nyhetsbrev.

Monday, 19 September 2011

2011.09.19 - Nyhetsbrev

Google er ute med ny versjon av Chrome som tetter mange svakheter. Mitsubishi Heavy Industries har blitt hacket. Verizon er ute med sikkerhetsrapport. Oracle tetter endelig DoS svakheten (Apache Killer) i Oracle HTTP webserver.

Ny versjon av Google Chrome

Google har sluppet ny versjon av Google Chrome (14.0.835.163) Denne versjonen retter en rekke sårbarheter. For fullstendig liste, se referansen.
Referanser
http://googlechromereleases.blogspot.com/2011/09/stable-channel-update_16.html

Mitsubishi Heavy Industries har blitt hacket

Mitsubishi Heavy Industries Ltd bekrefter, i følge Reuters, at det er oppdaget 80 infiserte datamaskiner på hovedkontoret og ved forskjellige fabrikker. De aktuelle fabrikkene produserer blant annet missiler, rakettmotorer, ubåter og utstyr til atomkraftverk.
Referanser
http://www.reuters.com/article/2011/09/19/mitsubishiheavy-computer-idUSL3E7KJ0BD20110919

Verizon har publisert årets Data Breach Investigation Report

Verizon har publisert sin Data Breach Investigations Report for 2011.
Referanser
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf

Kritisk sikkerhetsoppdatering sluppet for Oracle HTTP Server

Oracle har publisert en kritisk sikkerhetsoppdatering for Apache HTTP webserver. Oppdateringen tetter den mye omtalte "Apache killer" svakheten som ble patchet (versjon 2.2.21) av Apache.org 24. august i år. Vellykket utnyttelse av svakheten medfører tjenestenekt. Programmet Apache Killer er laget for å utnytte svakheten og er fritt tilgjengelig på Internett. Oracle anser dette sikkerhetshullet for såpass kritisk at de har publisert denne oppdateringen en måned før sin planlagte patchedag 18.oktober.
Anbefaling
Oppgrader.
Referanser
http://blogs.oracle.com/security/entry/security_alert_for_cve_2011
http://www.oracle.com/technetwork/topics/security/alert-cve-2011-3192-485304.html
http://www.securityfocus.com/bid/49303/info

Full HTML-versjon av dagens nyhetsbrev.

Friday, 16 September 2011

2011.09.16 - Nyhetsbrev

Lite nytt på sikkerhetsfronten det siste døgnet.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 15 September 2011

2011.09.15 - Nyhetsbrev

To nye svakheter oppdaget i flere Cisco produkter

To nye svakheter i flere Cisco-produkter

Det har blitt oppdaget to svakheter i Unified Service Monitor, Unified Operations Manager og CiscoWorks LAN Management Solution. Begge svakhetene kan gi en uautentisert ekstern angriper mulighet til å foreta vilkårlig kodeeksekvering. Svakheten utnyttes gjennom å sende spesielt tilpassede TCP-pakker på port 9002. Cisco har publisert oppdatert programvare.
Anbefaling
Oppgrader til nyeste versjon.
Referanser
http://www.cisco.com/warp/public/707/cisco-sa-20110914-cusm.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20110914-lms.shtml

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 14 September 2011

2011.09.14 - Nyhetsbrev

Microsoft har i dag sluppet patcher som utbedrer sikkerhetshull i WINS, Microsoft Excel, Microsoft Office og Microsoft SharePoint. Svakheten i Microsoft Excel kan brukes til målrettede angrep. Alle svakhetene har fått nest høyeste viktighetsgrad av Microsoft (Important).

Adobe har sluppet patcher til Reader og Acrobat som utbedrer flere kritiske sikkerhetshull.

Web-sidene til uTorrent.com har servert malware i løpet av det siste døgnet.

uTorrent.com serverte malware i stedet for uTorrent-klienten

uTorrent er en populær klient for å overføre filer ved hjelp av Bittorent-protokollen. Angripere har i løpet av det siste døgnet tatt kontroll over web-tjeneren til uTorrent.com. Brukere som har lastet ned uTorrent-klienten har i stedet fått servert falsk anti-virus.
Referanser
http://blog.bittorrent.com/2011/09/13/security-incident/

Adobe slipper oppdateringer til Adobe Reader og Acrobat

Adobe har funnet kritiske sårbarheter i Adobe Reader og Acrobat. En angriper kan utnytte den mest alvorlige svakheten til å få kontroll over systemet som vedkommende angriper. Det anbefales å installere oppdateringene så fort som mulig. Adobe Reader vil ha versjonsnummer 10.1.1 etter oppdateringen.
Anbefaling
Oppdater Adobe Reader og Acrobat
Referanser
http://www.adobe.com/support/security/bulletins/apsb11-24.html

Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (MS11-072)

Oppdateringen dekker 5 svakheter i Excel. Svakhetene kan føre ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet Excel-fil. En angriper som vellykket utnytter en av disse svakhetene, kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater Microsoft Office og installer og konfigurer "Office File Validation" slik at brukere ikke kan åpne suspekte filer.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-072

Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (MS11-074)

Oppdateringen dekker 6 svakheter i Microsoft SharePoint og Windows SharePoint Services. Den mest alvorlige svakheten kan føre til rettighetseskalering dersom en bruker åpner en spesialdesignet URL eller besøker en spesialdesignet nettside.
Anbefaling
Oppdater Microsoft Office og Microsoft SharePoint
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-074

Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (MS11-073)

Oppdateringen dekker to svakheter i Microsoft Office. Svakhetene kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet "Office"-fil eller åpner en normal "Office"-fil lokalisert på samme nettverkskatalog som en spesialdesignet bibliotek (DLL)-fil. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater Microsoft Office
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-073

Vulnerability in Windows Components Could Allow Remote Code Execution (MS11-071)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til ekstern kodeeksekvering dersom en bruker åpner en tekstfil (av formatene .txt, .rtf eller .doc) som ligger på samme nettverkskatalog som en spesialdesignet "Dynamic Link Library"-fil. Ved et vellykket angrep vil angriperen få samme brukerrettigheter som den påloggede brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-071

Vulnerability in WINS Could Allow Elevation of Privilege (MS11-070)

Oppdateringen dekker en svakhet i Windows Internet Name Service (WINS) som kan føre til lokal rettighetseskalering hvis en bruker mottar en spesialdesignet WINS-pakke. Svakheten kan kun utnyttes på system som kjører WINS og angriperen må logge seg på lokalt for å utnytte svakheten.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-070

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 13 September 2011

2011.09.13 - Nyhetsbrev

NBC har en artikkel om hvordan de mistet kontroll over Twitter-kontoen sin.

Hvordan NBC's Twitter-konto ble hacket

NBC sin Twitter-konto ble hacket for noen dager siden. Kontoen ble brukt til å spre falske informasjon om et angrep mot Ground Zero i New York. NBC har i dag en sak om hvordan angriperne tok kontroll over Twitter-kontoen ved å sende en e-post med vedlegg til én av de tre som hadde passordet til kontoen.
Referanser
http://today.msnbc.msn.com/id/44464766/#.Tm8NqNT6_Qo

Full HTML-versjon av dagens nyhetsbrev.

Monday, 12 September 2011

2011.09.12 - Nyhetsbrev

Sertifikatutstederen GlobalSign og nettstedet Linux Foundation innrømmer å ha blitt kompromittert. Forskere har designet en Wifi-drone for å bryte seg inn i trådløse nettverk.

Ny sertifikatutsteder (CA) innrømmer å ha blitt hacket

Sertifikatutstederen GlobalSign har nå innrømmet at også de har blitt hacket. Noen har hatt kontroll over deres web-tjener, men de benekter at systemet for utstedelse av sertifikater har blitt kompromittert. GlobalSign tok ned sine systemer for signering 6. september. De håper å ha dem operative igjen 13. september.
Referanser
http://threatpost.com/en_us/blogs/globalsign-says-web-server-was-hacked-no-signs-ca-breach-091011
http://www.globalsign.com/company/press/090611-security-response.html

Wifi-drone hacker trådløse nettverk

Forskere har laget en flyvende drone som kan bryte seg inn i Wifi-nettverk og infisere klienter med malware. Dronen flyr rundt og leter etter dårlig sikrede WLAN-soner. Klienter kan f.eks. infiseres ved hjelp av MITM-angrep (Man in The Middle). En kan også se for seg at dronen kan brukes til mer målrettede angrep ved å lande på taket av bygninger. Den vil der kunne ta seg inn i WLAN-soner som ellers ikke er tilgjengelige fra utsiden.
Referanser
http://nakedsecurity.sophos.com/2011/09/09/diy-drone-helicopter-wifi-attacks/
http://www.usenix.org/events/woot11/tech/final_files/Reed.pdf

Linux Foundation (linux.com) kompromittert

Linux Foundation (Linux.com) opplyser om at serverne deres har blitt kompromittert. Dette skjer to uker etter at nettstedet for Linux-kjernen, kernel.org, ble angrepet. Det blir opplyst om at angrepene muligens har en sammenheng. Linux Foundation har tatt ned alle sine web-sider mens innbruddet blir undersøkt. Vi kan opplyse om at kernel.org fortsatt ikke har kommet opp igjen etter innbruddet.
Referanser
http://linux.com/
http://www.zdnet.com/blog/security/hackers-break-into-linux-foundation/9363

Full HTML-versjon av dagens nyhetsbrev.

Friday, 9 September 2011

2011.09.09 - Nyhetsbrev

Forskere har satt fokus på hvor lett det er å snappe opp e-post ved å opprette domenenavn som ligner på kjente navn. Microsoft og Adobe skal slippe sikkerhetsoppdateringer førstkommende tirsdag. VG har en artikkel om manglende sikkerhet ved Vann- og avløpsetaten i Oslo.

E-post snappes opp ved å opprette domener som ligner på legitime selskaper

To forskere har fått tilgang til 20GB med feilsendte data etter at de opprettet 30 nesten identiske domener til legitime Fortune 500 selskaper. Metoden, som kalles "typosquatting", er en velkjent metode for å lure til seg webtrafikk. F.eks så er det fort å skrive www.goole.com istedet for google.com. I dette eksperimentet fikk man over en periode på seks måneder tak i 120.000 eposter og 20GB med data. Det var kun to avsendere som indikerte at de forstod at eposten var feilsendt og kun et selskap som oppdaget at typosquatting domenet var opprettet. I rapporten vises det til at svært mange av denne typen domener allerede er registrert i Kina. Konklusjonen er at det kan lønne seg å registrere domener som ligner på domenet til bedriften din før noen andre gjør det.
Referanser
http://www.wired.com/images_blogs/threatlevel/2011/09/Doppelganger.Domains.pdf

Microsoft og Adobe slipper oppdateringer førstkommende tirsdag

Både Microsoft og Adobe slipper sikkerhetoppdateringer én gang i måneden. Førstkommende tirsdag skal Microsoft slippe fem viktige oppdateringer som retter 15 ulike svakheter. Adobe opplyser at de skal slippe en patch til Adobe Acrobat og Reader som retter kritiske svakheter.
Referanser
http://blogs.technet.com/b/msrc/archive/2011/09/08/advanced-notification-for-the-september-2011-bulletin-release.aspx
http://www.adobe.com/support/security/bulletins/apsb11-24.html

Manglende sikkerhet ved Vann- og avløpsetaten i Oslo

VG har fått tak i en hemmeligstemplet rapport som omhandler sikkerheten ved flere vannbehandlingsannlegg i Oslo. Det skal ha vært mulig å få tilgang til vannverkene ved hjelp av Bluetooth og koden 0000. Se artikkelen for flere detaljer.
Referanser
http://www.vg.no/nyheter/utenriks/terrorisme/artikkel.php?artid=10098352

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 8 September 2011

2011.09.08 - Nyhetsbrev

Enda en CA er muligens kompromittert. Er de største CAene for store til å feile? Alvorlig svakhet oppdaget i Cisco Nexus.

Er de store sertifikatutstederne (CA) for store til å feile?

En kommentator i threatpost.com tar opp problemet med at konsekvensene vil bli svært store hvis noen av de store sertifikatutstedere som Verisign og Comodo blir kompromittert på samme måte som DigiNotar. Artikkelforfatteren mener at hvis så skjer, så vil det bli nesten umulig å behandle en slik CA på samme som DigiNotar fordi det vil påvirke et enormt antall bedrifter og brukere over hele verden. Problemet er at det per i dag ikke finnes et godt alternativ for å redusere denne risikoen.
Referanser
http://threatpost.com/en_us/blogs/are-some-certificate-authorities-too-big-fail-090711

Mulig kompromittering av enda en sertifikatutsteder i Nederland

GlobalSign har stoppet utstedelsen av nye sertifikater etter påstander om at de har blitt kompromittert. Det er samme hacker som påstår han stod bak innbruddet i DigiNotar, som nå også hevder at han står bak et innbrudd i GlobalSign. GlobalSign melder at de har leid Fox-IT som allerede har utført en audit av DigiNotar.
Referanser
http://www.globalsign.co.uk/company/press/090611-security-response.html

Svakhet i Cisco Nexus 3000 og 5000.

Det har blitt oppdaget en svakhet i tilgangskontrollmekanismen i Cisco Nexus 3000 og 5000. Dette kan føre til at uautoriserte brukere får tilgang til systemet.
Anbefaling
Installer oppdateringer fra produsent.
Referanser
http://www.cisco.com/warp/public/707/cisco-sa-20110907-nexus.shtml

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 7 September 2011

2011.09.07 - Nyhetsbrev

Offentlig rapoprt om DigiNotar saken er publisert av Fox-IT. Microsoft har fjernet all tillit til DigiNotar. Les om pay-per-install og økonomien rundt skadevare.

Offentlig rapport om DigiNotar saken publisert av Fox-IT

Fox-IT har på oppdrag av Nederlandske myndigheter utført en revisjon av DigiNotar og publisert funnene i en offentlig rapport. Rapporten avslører at det har stått svært dårlig til med sikkerheten hos DigiNotar.
Referanser
http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1.html

Microsoft har har fjernet all tillit til samtlige DigiNotar sertifikater

Micorsoft har publisert en oppdatering hvor de fjerner all tillit til samtlige DigiNotar sertifikater. Oppdateringen er tilgjengelig for alle plattformer.
Referanser
http://blogs.technet.com/b/msrc/archive/2011/09/06/microsoft-updates-security-advisory-2607712.aspx

Rapport om "pay-per-install" og hvordan økonomien rundt skadevare er organisert er publisert

En gruppe forskere har publisert en svært detaljert rapport om hvordan distribusjon av skadevare og økonomien rundt det hele er er organisert. Det er tre aktører involvert; En aktør har skadevare (banktrojaner) som skal distribueres. Denne aktøren melder inn behovet til en megler som videreformidler jobben til gruppen som plasserer selve trojaneren på ofrenes maskiner. Selve jobben med å plassere skadevare på ofrenes maskiner koster fra 13US$ til 150US$ per 1000 maskiner.
Anbefaling
Les rapporten
Referanser
http://usenix.org/events/sec11/tech/full_papers/Caballero.pdf

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 6 September 2011

2011.09.06 - Nyhetsbrev

F-Secure er ute med mer informasjon omkring DigiNotar-saken og Computerworld skriver om hvordan norske bankkunder svindles.

DigiNotar hacker fra Iran

F-Secure spekulerer i om DigiNotar-hackeren er den samme som tidligere har hacket Comodo. Via Pastebin har en som omtaler seg som Comodohacker postet innlegg hvor det angivelige CA-administratorpassordet til Diginotar blir oppgitt.
Referanser
http://www.f-secure.com/weblog/archives/00002231.html
http://pastebin.com/u/ComodoHacker

Computerworld skriver om svindel av norske bankkunder.

Computerworld skriver i dag om hvordan DnB NORs kunder har vært utsatt for fire trojanerangrep i år. Artikkelen nevner blant annet SpyEye og Zeus som er to trojanere vi har rapport en god del av til våre kunder.
Referanser
http://www.idg.no/computerworld/article218958.ece

Full HTML-versjon av dagens nyhetsbrev.

Monday, 5 September 2011

2011.09.05 - Nyhetsbrev

DigiNotar-saken har blitt mer alvorlig, flere kompromiterte sertifikater er på avveie. Et DNS-hack er blitt rettet mot en rekke populære websider, foreløpig er det ukjent hvordan dette er utført. Flere sårbarheter er avdekket i løsninger fra Cisco, Microsoft og Symantec.

DigiNotar, saken vokser i omfang.

Vi skrev i forrige uke om hvordan DigiNotar hadde blitt kompromitert og misbrukt til å utstede falske sertifikater. Nå viser det seg at saken er enda mer alvorlig. Antallet sertifikater som er misbrukt har blitt doblet til 531 og angriperne har signert 186 sertifikater som kan være såkalte "intermediate"-sertifikater. Dette er 3.part-sertifikater hvor de kan utgi seg for å være velkjente utstedere som Thawte, Verisign,Comodo og Equifax.

Domener som har fått utstedt falske sertifikater tilhører blant annet: Facebook, Google, Microsoft, Yahoo, Tor, Skype, Mossad, CIA, MI6, LogMeIn, Twitter, Mozilla, AOL og WordPress.
Referanser
http://nakedsecurity.sophos.com/2011/09/05/ssl-certificate-debacle-includes-cia-mi6-mossad-and-tor

DNS-hack

Flere populære websider som blant annet The Register, The Daily Telegraph og UPS har blitt utsatt for et DNS-hack som har medført at brukerne har blitt videresendt til en annen side. Utenforstående har klart å endre DNS-pekerne uten at det er avklart hvordan dette har kunnet skje.
Referanser
http://nakedsecurity.sophos.com/2011/09/04/dns-hack-hits-popular-websites-telegraph-register-ups-etc

sårbarheter i flere Cisco-produkter

Det har blitt oppdaget en svakhet i den versjonen av Apache HTTPd server som benyttes i mange produkter fra Cisco. Denne svakheten kan benyttes for å utføre tjenestenektangrep. Det har ikke blitt publisert oppdateringer for sårbare produkter. Cisco har i stedet publisert detaljert informasjon om hvordan man kan beskytte seg uten å oppgradere programvaren.
Anbefaling
Følg anbefalinger fra produsent.
Referanser
http://www.cisco.com/warp/public/707/cisco-sa-20110830-apache.shtml

0-day sårbarhet i Windows Script Host DLL versjon 5.6

Cybsec.com melder om en 0-day svakhet i Windows Script Host DLL versjon 5.6. Nyere versjoner kan også være sårbare iflg. samme kilde (ikke bekreftet). Svakheten kan utnyttes ved å plassere en spesielt utformet DLL i en mappe eller SMB share. wscript.exe vil da laste den skadelige DLLen i stedet for den ekte. Microsoft har bekreftet problemet, men har foreløpig ikke publisert en oppdatering.
Anbefaling
Oppgrader til siste versjon.
Referanser
http://cybsec.com/EN/research/default.php

Symantec Enterprise Vault Outside In Module Vulnerabilities

Flere svakheter har blitt rapportert i Symantec Enterprise Vault. Svakhetene kan utnyttes av inntrengere som kan føre til DoS angrep eller kompromittering av systemet.
Anbefaling
Installer hotfiks
Referanser
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20110901_00

Full HTML-versjon av dagens nyhetsbrev.

Friday, 2 September 2011

2011.09.02 - Nyhetsbrev

Sans har publisert en oppsummering innbruddet i sertifikatutstederen DigiNotar
Cisco programvare for videkonferanser (for både konferanserom og personlige datamaskiner) er sårbar for tjenestenektangrep.

SANS har publisert en gjennomgang av DigiNotar saken

Internet Storm Center har (isc.sans.edu) har publisert en god oppsummering av innbruddet i sertifikatutstederen DigiNotar. Ordliste finnes på bunnen av innlegget.
Referanser
http://isc.sans.edu/diary/DigiNotar+breach+-+the+story+so+far/11500

Kritisk DoS svakhet i Cisco TelePresence (videkonferanse)

Cisco TelePresence C Series Endpoints, E/EX Personal Video units og MXP Series Codecs er sårbare for tjenestenektangrep. Utnyttelse av sårbarhetene krever verken autentisering eller bruker-interaksjon. Cisco har publisert oppdatert programvare, samt et eget dokument hvor de gir detaljert informasjon om hvordan man kan beskytte seg uten å oppgradere programvaren.
Anbefaling
Følg anbefalingene til Cisco
Referanser
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b91395.shtml
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b91257.html

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 1 September 2011

2011.09.01 - Nyhetsbrev

kernel.org har blitt kompromittert.
Apache har publisert ny versjon av webserveren som tetter DoS svakhet.
Ny phising kampanje treffer norske bedrifter.
FireEye har publisert en halvårsrapport om malware i store bedrifter.
Opera er ute i ny versjon.

kernel.org (Linux) har blitt kompromittert

Kernel.org, som lager kjernen til Linux baserte systemer, har blitt kompromittert. Det er foreløpig uklart hva som har blitt gjort av angriperne, men sannsynligheten for at kildekoden er endret er iflg. kernel.org svært liten. All kildekode verifiseres vha. SHA-1 enveis sjekksummer. Disse sjekksummene ligger lagret på flere servere og det skal dermed være enkelt å oppdage om kildekoden har blitt forandret.
Referanser
http://kernel.org/

Ny phishing kampanje: "ACH Payment Canceled"

Det har det siste tiden internasjonalt blitt observert mange phishingforsøk av typen "ACH Payment Canceled". Vi ser også mye av dette hos våre norske kunder. E-postene inneholder et vedlegg som gir seg ut for å være en PDF-fil, men som egentlig er en .exe-fil. Denne typen e-poster bør slettes uten å åpne dem først.
Referanser
http://isc.sans.edu/diary/Phishing+e-mail+to+custom+e-mail+addresses/11494

FireEye Advanced Threat Report 1H2011

FireEye har sluppet en rapport for første halvår 2011. De oppsummerer med at 99% av større bedrifter (Enterprises) har infeksjoner av nettet og at 80% av dem får over 100 nye infiserte maskiner per uke. Det er verdt å merke seg at FireEye selger løsninger for å få ned antall infeksjoner.
Referanser
http://blog.fireeye.com/research/2011/08/fireeye-advanced-threat-report-1h2011.html

Opera 11.51 ute

Retter flere feil og mindre sikkerhetshull.
Referanser

Apache HTTP server tetter DOS-svakhet

Apache Software Foundation har sluppet versjon 2.2.20 av Apache HTTP Server. Denne versjonen tetter den omlag fem år gamle svakheten som kan utnyttes til å forårsake tjenestenekt mot serveren fra eksternt hold. Oppgradering anbefales.
Anbefaling
Oppgrader fra http://httpd.apache.org/download.cgi
Referanser
https://www.apache.org/dist/httpd/Announcement2.2.html

Full HTML-versjon av dagens nyhetsbrev.