Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 30 November 2011

2011.11.30 - Nyhetsbrev

Ny orm forkledd som skjermsparer sprer seg via facebook. Det har også blitt oppdaget svakheter i to av systemene til Schneider Electric.

Ny orm sprer seg via facebook

Ormen sprer seg via facebook ved å bruke den påloggede brukerens informasjon. Herfra sender den meldinger til alle brukerens venner. I meldingene forsøker den å lokke brukerne til å installere en skjermsparer, noe som i virkeligheten er en dowloader som laster ned en rekke trojanere.
Referanser
http://www.csis.dk/en/csis/news/3387/

Svakheter Vijeo Historian og CitectHistorian kan føre til ekstern eksekvering av kode

Produktene lages av Schneider Electric og brukes til å samle inn data fra industrielle systemer. De tilbyr en rekke muligheter for forskjellige datagivere, blant annet SCADA/ HMI. Svakhetene er i webgrensesnittet og gir en angriper mulighet til å injisere kode, utføre tjenestenekt og i værste fall få eksekvert kode. Schneider Electric har gitt ut patch som fikser disse svakhetene.
Anbefaling
Installer patch fra leverandør.
Referanser
http://www.citect.com/index.php?option=com_content&view=article&id=1656&Itemid=1695

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 29 November 2011

2011.11.29 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Monday, 28 November 2011

2011.11.28 - Nyhetsbrev

Automatiserte exploit-kits har begynt å rulle ut nye versjoner med angrepsvektorer mot Java og dens svakheter.

Exploit-kits oppdateres for å angripe Java

KrebsOnSecurity melder at flere automatiserte exploit-kits har begynt å legge inn angrepsvektorer mot sikkerhetshullene som finnes i alle versjoner av Java, med unntak for siste. Med andre ord: Det er på tide å oppgradere. Sjekk hvilken versjon av Java du har installert på denne linken: http://java.com/en/download/installed.jsp
Referanser
http://krebsonsecurity.com/2011/11/new-java-attack-rolled-into-exploit-kits/
http://java.com/en/download/installed.jsp

Full HTML-versjon av dagens nyhetsbrev.

Friday, 25 November 2011

2011.11.25 - Nyhetsbrev

Det er ingen store sikkerhetsnyheter i dag.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 24 November 2011

2011.11.24 - Nyhetsbrev

Større spredning av bredolab trojaneren via falske iTunes gavekort er observert denne uken.

Større spredning av bredolab via falske iTunes gavekort

Et tysk sikkerhetsfirma melder at de har sett en større spredning at epost som inneholder et falskt iTunes gavekort den siste uken. Eposten forsøker å lokke leseren til å åpne en .zip fil som inneholder trojaneren bredolab. Sophos skriver på sin blogg at det ikke er uvanlig at man ser en økning av spredning av malware rundt helligdager og større begivenheter. Og et iTunes gavekort kan komme godt med for de som venter på "Black Friday" i morgen. "Black friday" er en stor årlig begivenhet i Amerika dagen etter "Thanksgiving" som markerer starten på julehandlingen. Se lenkene under for mer informasjon.
Referanser
http://nakedsecurity.sophos.com/2011/11/24/fake-itunes-gift-certificate-delivers-a-load-of-malware-for-black-friday-shoppers/
http://www.eleven-securityblog.de/2011/11/malware-warnung-angeblicher-itunes-%E2%80%93gutschein-enthalt-schadsoftware/

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 23 November 2011

2011.11.23 - Nyhetsbrev

RSA-512 sertifikater er misbrukt i flere tilfeller.

RSA-512 sertifikater misbrukt i flere saker

Fox-IT har skrevet et interessant blogginnlegg om hvordan RSA-512 sertifikater har blitt misbrukt. Ulike former for malware skal ha blitt signert med gyldige sertifikater og brukt i angrep rettet mot regjeringer, politiske organisasjoner og forsvarsindustrien. Innlegget gir et innblikk i hva de mener har skjedd og hvordan de ulike aktørene jobber med problemstillingene.
Referanser
http://blog.fox-it.com/2011/11/21/rsa-512-certificates-abused-in-the-wild/

Full HTML-versjon av dagens nyhetsbrev.

Monday, 21 November 2011

2011.11.21 - Nyhetsbrev

I vårt nyhetsbrev 18.11 skrev vi om angrep rettet mot SCADA-systemet til et vannverk i Illionois. Nå er det lagt ut informasjon om et SCADA-system for kontroll av infrastruktur i Texas som angivelig er tilgjengelig på internett og beskyttet av et passord på 3 tegn. Vi har publisert et detaljert og interessant blogginnlegg som omhandler et tilfelle av Phishing-angrep mot kunder av Telenor i forrige uke.

SCADA-system beskyttet med 3-tegns passord.

En hacker som kaller seg "pr0f" har lagt ut informasjon via Pastebin som omhandler hvordan han har tatt seg inn på et SCADA-system. Systemet ble benyttet til å styre vann- og kloakksystemene i South Houston (Texas). Passordet for pålogging skal ha bestått av 3 tegn. Linker til informasjonen hackeren har lagt ut med tilhørende skjermdumper finnes i saken som vi har linket til under referanser.
Referanser
http://threatpost.com/en_us/blogs/hacker-says-texas-town-used-three-character-password-secure-internet-facing-scada-system-11201?utm_source=dlvr.it&utm_medium=twitter

Phishing-angrep - full rapport på bloggen.

Vi har skrevet et detaljert blogginlegg som omhandler hvordan kunder av Telenor ble utsatt for et phishing-angrep i forrige uke. Her har vi lagt ut skjermdumper og beskrevet hvordan vi fikk tak i loggfilene hos angriperne. Les også om hvordan Abuse-avdelingen håndterte saken videre for å minimere konsekvensene og hvordan man unngår å bli lurt av denne typen svindel.
Referanser
http://telenorsoc.blogspot.com/2011/11/phishing-mot-telenors-e-post-kunder.html

Full HTML-versjon av dagens nyhetsbrev.

Friday, 18 November 2011

2011.11.18 - Nyhetsbrev

Google slipper ny versjon av Crome som retter opp en rekke svakheter.
CNet melder om brukernavn og passord på avveie fra en SCADA-leverandør som har blitt brukt for å ødelegge en vannpumpe hos en kunde.

Ny versjon av Google Chrome

Google har sluppet ny versjon av Google Chrome (15.0.874.121). For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.com/2011/11/stable-channel-update_16.html

CNet melder om ødeleggelser etter innbrudd hos SCADA-leverandør

Under et datainnbrudd hos en ukjent SCADA-leverandør ble kunders brukernavn og passord stjålet. Denne informasjonen ble brukt til å ødelegge en pumpe hos en vannleverandør i Springfield, Illinois. Pumpen ble ødelagt ved å skru den av og på mange ganger. Hendelsen blir fulgt opp av både FBI og Department of Homeland Security. Følg lenken for flere detaljer.
Referanser
http://news.cnet.com/8301-27080_3-57327030-245/u.s-water-utility-reportedly-hacked-last-week-expert-says

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 17 November 2011

2011.11.17 - Nyhetsbrev

ISC har kommet med en oppdatering til BIND 9 etter at det ble oppdaget en sårbarhet som krasjer DNS serveren. Det er oppdaget en ny versjon av Mac OSX trojaneren DevilRobber.

Ny versjon av Mac OSX trojaneren devilrobber har utvidet funksjonalitet

Devilrobber, som vi skrev om i et tidligere nyhetsbrev, er en Mac OSX trojaner som blant annet hadde mulighet til å samle inn bitcoins (digital valuta). Denne spredte seg via fildelingsnettverket thepiratebay der den ble implementert i forskjellige applikasjoner. F-secure melder nå at de har funnet en ny versjon av denne trojaneren, denne gangen implementert i programmet Pixelmator. Forskjellen på denne utgaven av trojaneren fra de forrige er at denne også har mulighet for å hente ut passord fra passordlagringsapplikasjonen 1Password, hente loggfiler fra systemloggen og historikk fra terminalen. I motsetning til tidligere vil den ikke ta skjermdump eller prøve å slå av LittleSnitch brannmur. Utgående brannmur med applikasjonsgodkjenning vil dermed varsle om at programmet prøver å kommunisere ut.
Referanser
http://www.f-secure.com/weblog/archives/00002270.html

ISC BIND Recursive Query Processing Denial of Service Vulnerability

Det har blitt oppdaget en svakhet i bind9 som kan brukes til ekstern tjenestenekt av rekursive resolvere. Dette medfører at DNS tjenesten stopper med feilmeldingen "INSIST(! dns_rdataset_isassociated(sigrdataset))". Måten angrepet utføres på er at en angriper får DNS serveren til å cache en ugyldig oppføring. I etterkant spør angriper etter denne oppføringen, noe som fører til at DNS serveren krasjer. ISC har gitt ut en patch som fikser denne svakheten.
Anbefaling
Installer patch
Referanser
http://isc.sans.org/diary/Potential+0-day+on+Bind+9/12049
http://www.isc.org/software/bind/advisories/cve-2011-4313

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 16 November 2011

2011.11.16 - Nyhetsbrev

NSM og PST melder om industrispionasje mot norske bedrifter. Apple har oppdatert iTunes. Facebook har fått en ny funksjon som kanskje deler mer enn du er klar over.

Industrispionasje mot norske bedrifter

Aftenposten har i dag en sak om omfattende industrispionasje mot Norge. PST og NSM melder at ti datainnbrudd er oppdaget i norske selskaper innen forsvar, olje og energi. Det antas at enda flere firmaer er rammet, uten at de er klar over innbruddene. Målet har vært å hente ut data som hemmelige kontrakter, industritegninger, brukernavn og passord. Disse angrepene sees i sammenheng.

Det har blitt brukt en ny trojaner for hvert angrep for å unngå oppdagelse fra anti-virus. Disse har så blitt sendt ut til ansatte i bedriftene som vedlegg i e-poster.
Referanser
http://www.aftenposten.no/nyheter/iriks/Stjeler-kontrakter-tegninger-passord-og-hemmelige-data-6698674.html

Ny versjon av iTunes

Apple har sluppet ny versjon av iTunes (10.5.1). Denne versjonen retter en sårbarhet som skyldes at oppdateringfunksjonen bruker HTTP-spørringer for å sjekke etter nye oppdateringer. Denne funksjonen kan utnyttes ved hjelp av et "Man-in-the-Middle"-angrep til å få brukeren til å trykke på linker som gir seg ut for å være fra Apple.
Referanser
http://www.us-cert.gov/current/index.html#apple_releases_itunes_10_51
http://support.apple.com/kb/HT5030

Ny funksjon i Facebook kan dele mer enn du er klar over

Vi skriver i dag på våre Facebook-sider om en ny funksjon kalt "Ticker for apps" eller "Applikasjonspanel" på norsk. Denne funksjonen deler fortløpende med dine venner hvilke Facebook-applikasjoner du bruker og når du bruker dem.

Se vår Facebook-side for mer informasjon rundt saken.
Referanser
http://www.facebook.com/TelenorSOC

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 15 November 2011

2011.11.15 - Nyhetsbrev

Iran sier at de har blitt infisert av Duqu-trojaneren. F-Secure har oppdaget malware signert med et statlig sertifikat.

Iran bekrefter at de er rammet av Duqu

Msnbc skriver at Iran har oppdaget trojaneren Duqu i systemene sine. Iran jobber nå med å indentifisere hvilke maskiner som er blitt infisert av trojaneren og en endelig rapport over hvilke organisasjoner viruset har spredd seg til er enda ikke ferdig. Lederen for Irans sivilforsvar, Gholamreza Jalali, forteller at alle maskiner, i alle sentre og organisasjoner som kan ha blitt infisert, vil bli undersøkt.
Referanser
http://www.msnbc.msn.com/id/45278589/ns/technology_and_science-security/#.TsDTG4JpDUw

Malware signert med statlig sertifikat

I følge en rapport fra F-Secure har et statlig sertifikat blitt brukt til å signere malware. Sertifikatet tilhører instituttet for landbruksforskning og utvikling i Malaysia som forteller at det ble stjålet fra dem for "en god stund siden". Malwaren ble spred via PDF-filer og etter å ha utnyttet en svakhet i Adobe Reader 8 lastet den ned nye ondsinnede komponenter.

Sertifikatet gikk ut på dato den 29. september og malwaren har derfor ikke lengre en gyldig signatur. F-Secure sier at det er sjeldent å finne signert malware og enda sjeldnere å finne malware som er signert med et statlig sertifikat.
Referanser
http://www.f-secure.com/weblog/archives/00002269.html

Full HTML-versjon av dagens nyhetsbrev.

Monday, 14 November 2011

2011.11.14 - Nyhetsbrev

Det er avdekket massive forsøk på infisering av brukere i Brasil ved hjelp av DNS-cache forgiftning.

Massiv utbredelse av DNS-forgiftning i Brasil.

Kriminelle har forgiftet DNS-servere i Brasil slik at brukere som benytter disse til å slå opp domener til lovlige tjenester blir omdirigert til ondsinnede websider. Klientene blir deretter forsøkt infisert. Brasil har anslagsvis over 70 millioner internettbrukere og de store ISP'ene har gjerne 3-4 millioner kunder hver. Slike angrep som utnytter infrastrukturen deres har dermed stor rekkevidde. Det har tidligere også vært tilfeller av utro tjenere hos ISP'er som har endret oppsettet for å oppnå samme effekt.
Referanser
http://www.securelist.com/en/blog/208193214/Massive_DNS_poisoning_attacks_in_Brazil

Full HTML-versjon av dagens nyhetsbrev.

Friday, 11 November 2011

2011.11.11 - Nyhetsbrev

Steam, verdensledende plattform for spill på Internett med 35 millioner brukere, er kompromittert. Apple, Google og Adobe har sluppet oppdateringer for en lang rekke svakheter, flere av dem meget alvorlige. Adobe-oppdateringen fikser en lang rekke sikkerhetshull i Adobe Flash Player og Adobe Air på tvers av en rekke operativsystemer. Apple retter svakheter som blant annet gjorde det mulig å potensielt servere ondsinnet programvare i App Store. Google fikser sikkerhetshull i Chrome.

Google Releases Chrome 15.0.874.120

Google har sluppet ny versjon av Google Chrome (15.0.874.120). Denne versjonen retter en rekke sårbarheter. For fullstendig liste, se referansen.
Referanser
http://googlechromereleases.blogspot.com/2011/11/stable-channel-update.html

Apple er ute med iOS 5.0.1 oppdatering

Apple har gitt ut iOS 5.0.1. Denne retter en rekke svakheter. Flere av dem kan brukes av angripere til å utføre ekstern kodeeksekvering og gi en angriper tilgang til informasjon lagret på enheten. Oppdateringen ordner også svakheten som gjorde at man kunne åpne en iPad 2 uten passord. I nyhetsbrevet vårt 08.11.2011 omtalte vi en svakhet som gjorde det mulig å legge til potensielt ondsinnet programkode i iTunes App Store, denne svakheten er også fikset for iPhone og iPad.
Referanser
http://support.apple.com/kb/HT5052

Adobe gir ut oppdatering til Adobe Flash Player og Air

Adobe har gitt ut en oppdatering som fikser en lang rekke svakheter. Adobe har selv klassifisert oppdateringen som kritisk, siden mange av svakhetene kan utnyttes til kodeeksekvering. Det er også verdt å merke seg at de kan utnyttes på tvers av svært mange operativsystemer.
Referanser
http://www.adobe.com/support/security/bulletins/apsb11-28.html

Steam-spillplattformen er kompromittert

Steam med sine 35 millioner brukere er blitt kompromittert. Den første indikasjonen var at websidene deres ble endret av uvedkommende (såkalt "defacing"). Nå viser det seg at forumet er blitt kompromittert i tillegg til brukerdatabasen for spillerne. Databasen inneholdt brukernavn, passord ("hashed and salted"), kryptert kredittkortinformasjon i tillegg til opplysninger om brukerne. Brukere av Steam oppfordres til å bytte passord. Dersom passordet er brukt andre steder bør det byttes passord også her.
Referanser
http://forums.steampowered.com/forums/

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 10 November 2011

2011.11.10 - Nyhetsbrev

Apple oppdaterer Java for OS X. FBI har gjennom lengre tids samarbeid med ulike instanser tatt ned et botnett med millioner av infiserte klienter. Vi har håndtert infeksjoner i dette botnettet for mange av våre kunder. Fortsatt ser vi infiserte klienter som forsøker å kommunisere med infrastrukturen som nå er tatt ned.

Apple oppdaterer Java for OS X

Apple har sluppet en oppdatering til Mac OS X som retter fire svakheter i Java. Svakhetene har tidligere blitt rettet av Oracle i Java for andre systemer.
Referanser
http://support.apple.com/kb/HT1222

Operation Ghost Click: Stort botnett tatt ned, 6 arrestert i Estland

FBI har i samarbeid med private bedrifter og offentlige instanser tatt ned et botnett bestående av flere millioner infisert klienter. Botnettet bestod av både Windows og Mac klienter. Enkelte varianter av malware som ble benyttet endret også DNS-oppsettet på routeren til brukerne. De kriminelle som stod bak har trolig svindlet til seg 14 millioner dollar ved å manipulere annonsestjenester på Internett.

DNS-tjenerne som ble brukt av de kriminelle har blitt erstattet med lovlige tjenere for å unngå problemer for de som er infisert. Brukerne vil naturligvis fortsatt være infisert og må selv sørge for å bli kvitt infeksjonen, fortrinnsvis ved å reinstallere operativsystem og applikasjoner.
Referanser
http://www.fbi.gov/news/stories/2011/november/malware_110911/malware_110911
http://m.krebsonsecurity.com/?source=cache_based_redirect_high

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 9 November 2011

2011.11.09 - Nyhetsbrev

Firefox har sluppet nye versjoner av Firefox og Thunderbird. Adobe patcher Shockwave Player. Microsoft slipper fire oppdateringer, hvorav én er kritisk og kan føre til en ny Internett-orm.

Mozilla oppdaterer Firefox og Thunderbird

Mozilla Foundation har sluppet versjon 8.0 av Firefox og Thunderbird. Begge produktene har fått oppdatert funksjonalitet og utbedrer også en rekke svakheter. Det anbefales å oppdatere så fort som mulig.
Anbefaling
Oppdater til siste versjon
Referanser
http://www.mozilla.org/security/announce/

Adobe oppdaterer Shockwave Player

Oppdateringen dekker flere svakheter i Adobe Shockwave Player der de mest alvorlige svakheten kan føre til ekstern kodeeksekvering. For fullstendig liste over svakhetene se referansen. Shockwave Player kan være en plugin som mange har installert på PCen uten selv å vite om det. Bruk følgende link for å sjekke om produktet er installert: http://www.adobe.com/shockwave/welcome/
Anbefaling
Oppdater Adobe Shockwave Player
Referanser
http://www.adobe.com/support/security/bulletins/apsb11-27.html

Vulnerability in TCP/IP Could Allow Remote Code Execution (MS11-083)

Det er funnet en svakhet i kjernen i Microsoft Windows, som gjør at uvedkommende kan kompromittere et sårbart system. Svakheten kommer av en integer-overflow feil i TCP/IP implementeringen ved behandling av UDP trafikk, og kan utnyttes ved hjelp av en kontinuerlig strøm av spesielt utformede UDP pakker som sendes til en lukket port.

Ved vellykket utnyttelse av svakheten vil det oppnås full Administrator-tilgang til systemet. Dette er en alvorlig svakhet som det er viktig å patche så fort som mulig! Alle versjoner av Windows etter XP/2003 er sårbare. Svakheten kan utnyttes selv om maskinen ikke har noen åpne porter/tilgjengelige tjenester! For å beskytte mot utnyttelse av svakheten er det viktig at upatchede maskiner ikke kan nås direkte fra Internett. Denne svakheten kan i teorien føre til en ny Internett-orm med stor spredning.

Microsoft har lagt ut en egen side der de skriver at det er vanskelig å utnytte denne svakheten, men ikke umulig. Se referansene for detaljer.
Anbefaling
Oppgrader via patch
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-083
http://blogs.technet.com/b/srd/archive/2011/11/08/assessing-the-exploitability-of-ms11-083.aspx

Vulnerability in Active Directory Could Allow Elevation of Privilege (MS11-086)

Oppdateringen dekker en svakhet i Active Directory som kan føre til rettighetseskalering. For å utnytte svakheten må Active Directory være satt opp til å bruke LDAP over SSL (LDAPS) og angriperen må bruke et tilbakekalt digitalt sertifikat for å godkjenne "Active Directory"-domenet.
Anbefaling
Oppdater Active Directory
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-086

Vulnerability in Windows Mail and Windows Meeting Space Could Allow Remote Code Execution (MS11-085)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til ekstern kodeeksekvering dersom en bruker åpner en fil (.eml eller .wvinc) lokalisert på samme nettverkskatalog som en spesialdesignet bibliotek-fil (DDL). Feilen skyldes at Windows Mail og Windows Meeting Space åpner lokale DLL-filer før systemets egne.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-085

Vulnerability in Windows Kernel-Mode Drivers Could Allow Denial of Service (MS11-084)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til en tjenestenekt-tilstand dersom en bruker åpner en spesialdesignet "TrueFont"-fil. En normal angrepsvektor vil være e-mail eller en annen melding med en link til en webside.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-084

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 8 November 2011

2011.11.08 - Nyhetsbrev

Det er oppdaget svakheter i Oracle Hyperion og Apple iOS.

Oracle Hyperion Strategic Finance Formula One ActiveX Control "SetDevNames()" Buffer Overflow

Det har blitt oppdaget en svakhet i Oracle Hyperion Financial Management som kan føre til ekstern kodeeksekvering. Svakheten ligger i "Formula One ActiveX Control". Denne ActiveX-kontrollen bør skrus av inntil en patch foreligger.
Anbefaling
Sett "kill-bit" for den påvirkede "ActiveX"-kontrolleren.
Referanser
http://retrogod.altervista.org/9sg_ttf16.html
http://secunia.com/advisories/46764/

New iOS Bug Lets Apps Run Unsigned Code

Den kjente hackeren Charlie Miller har oppdaget en svakhet i Apple iOS. Svakheten gjør at han kan kjøre usignert kode på iPhone/iPad. En applikasjon kan altså gjøre hva den vil (innenfor grensene til hva en App har lov å gjøre i iOS) uten at Apple godkjenner dette. Han har deretter gjemt denne funksjonaliteten i en tilsynelatende uskyldig applikasjon som han har fått godkjent i iTunes App Store. Applikasjonen kan beordres til å utføre forskjellige handlinger fra en sentral tjener, som å laste ned telefonens kontaktliste.

Etter offentliggjøringen av dette har Apple slettet applikasjonen fra AppStore og trukket tilbake utviklerlisensen til Charlie Miller.
Anbefaling
Vent på oppdatering fra Apple og vær skeptisk til ukjente apps.
Referanser
http://threatpost.com/en_us/blogs/new-ios-bug-lets-apps-run-unsigned-code-110711

Full HTML-versjon av dagens nyhetsbrev.

Monday, 7 November 2011

2011.11.07 - Nyhetsbrev

Kaspersky melder at Duqu kan være laget for å spionere på Irans atomprogram. F-secure har også kommet med en analyse av Mac OS X trojaneren Devilrobber.

Duqu kan være laget for å spionere på Irans atomprogram

Kaspersky skriver i et blogginnlegg at trojaneren Duqu kan være laget for å spionere på Irans atomprogram. Duqu har tidligere fått mye oppmerksomhet for sine likheter med Stuxnet trojaneren, en trojaner med mulighet til å kontrollere PLS-utstyr. Duqu blir nå også sammenlignet med trojaneren Stars. Stars ble brukt i et angrep mot Iran tidligere i år og IrCERT skriver i en rapport at denne brukte samme type exploit som Duqu trojaneren. Kaspersky konkluderer ut fra dette at Duqu kan være en oppgradert versjon av Stars.
Referanser
http://www.securelist.com/en/blog/208193211/Duqu_First_Spotted_as_Stars_Malware_in_Iran

F-secure ute med analyse av Mac OS X trojaneren Devilrobber

F-secure har oppdaget flere versjoner av trojaneren Devilrobber. Denne er laget for å angripe Mac OS X systemer og har blitt spredd via torrents fra nettsiden thepiratebay. Dette har blitt gjort ved å modifisere tre Mac OS X programmer til å inkludere trojanerens kode. Det har også vist seg at disse tre programmene inneholder tre forskjellige versjoner av trojaneren, med forskjellig funksjonalitet. Trojanerne har blant annet mulighet til å samle inn keychains, safaris nettleser historikk, "bitcoins" og muligheter for å ta screenshots av systemet.
Referanser
http://www.f-secure.com/weblog/archives/00002265.html

Full HTML-versjon av dagens nyhetsbrev.

Friday, 4 November 2011

2011.11.04 - Nyhetsbrev

Microsoft har sluppet en advisory som omhandler zero-day svakheten som har blitt benyttet til å spre Duqu. I påvente av en patch for denne alvorlige svakheten, har Microsoft sluppet et gratis "fix-it"-verktøy som kan benyttes som en midlertidig løsning. Denne bør man vurdere å benytte, da Microsoft ikke rekker å få ferdig en patch til neste ukes månedlige sikkerhetsoppdatering.

Microsoft Releases Advance Notification for November Security Bulletin

Microsoft slipper sikkerhetoppdateringer én gang i måneden. Førstkommende tirsdag skal Microsoft slippe 4 oppdateringer hvor en av disse er kritisk. Svakhetene er i alle versjoner av Micrsoft Windows.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-nov

Microsoft Windows 'Win32k.sys' TrueType Font Handling Remote Code Execution Vulnerability

Microsoft har sluppet en advisory som omhandler zero-day svakheten som har blitt benyttet til å spre Duqu. Iflg. Microsoft dreier det seg om en svakhet i en kernel-mode driver (win32k.sys), og er relatert til håndtering av TrueType font'er. Vellykket utnyttelse, via f.eks. et Word-dokument, vil gi en angriper mulighet til å få kjørt vilkårlig kode med samme rettigheter som kjernen, dvs. root/adminstrator. Microsoft har ennå ikke kommet med en patch for denne svakheten, men har sluppet et gratis "fix-it"-verktøy som midlertidig skal forhindre at man er sårbar for angrepsvektorene man sålangt har sett for denne svakheten. iflg. Microsoft rekker de ikke å få med en oppdatering for denne svakheten i neste ukes sikkerhetsoppdatering.
Anbefaling
Benytt workaround som beskrevet her:
http://support.microsoft.com/kb/2639658 (automatisk fix-it verktøy)
http://technet.microsoft.com/en-us/security/advisory/2639658 (manuelt)
Referanser
http://blogs.technet.com/b/msrc/archive/2011/11/03/microsoft-releases-security-advisory-2639658.aspx
http://technet.microsoft.com/en-us/security/advisory/2639658
http://support.microsoft.com/kb/2639658
http://www.securityfocus.com/bid/50462

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 3 November 2011

2011.11.03 - Nyhetsbrev

Cisco Small Business SRP500 switch-serien lider av en svakhet som kan gjøre det mulig å få kjørt vilkårlige kommandoer med root-rettigheter fra eksternt hold.

Det har blitt påvist en svakhet i en ActiveX-komponent tilhørende Oracle Hyperion Financial Management som kan utnyttes til å få kompromittert et sårbart system.

Svakhet i Cisco Small Business SRP500 serie

Cisco har offentliggjort en svakhet i Cisco Small Business SRP500 serien som kan gi en angriper mulighet til å injisere kommandoer ved å utføre et man-in-the-midle angrep under en administratorbrukers sesjon.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111102-srp500

Oracle Hyperion Financial Management TList ActiveX Control "SaveData()" Insecure Method

Det har blitt oppdaget en svakhet i Oracle Hyperion Financial Management. Svakheten kan gi uvedkommende tilgang til å kompromittere systemet. Svakheten ligger i standard versjonen til TList ActiveX Control.
Anbefaling
Sett "kill-bit" for ActiveX control.
Referanser
http://retrogod.altervista.org/9sg_ohfm_adv.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 2 November 2011

2011.11.02 - Nyhetsbrev

Det har nå blitt avslørt at malwaren Duqu opprinnelig klarte å infisere sine mål gjennom et Word-document som utnyttet en zero-day svakhet i Windows-kjernen.

Cnet.com bringer nyheten om en gruppe forskere som har klart å tilegne seg store mengder brukerinformasjon fra Facebook-brukere ved å la et større antall \'socialbots\', som er kunstige, automatiserte brukerprofiler, infiltrere tilfeldige Facebook-brukere over en seks-ukers periode.

'Socialbots' steal 250GB of user data in Facebook invasion

Cnet.com bringer i dag nyheten om at en gruppe forskere ved University of British Columbia Vancouver har publisert en artikkel der de forteller hvordan de i et forskningsforsøk har fått tilgang til 250 Gigabyte med personlig informasjon om flere tusen Facebook-brukere.

Forsøket gikk ut på å "slippe løs" 102 såkalte "socialbots", programmer som etterlikner virkelige brukere på Facebook, og la disse sende venneforespørsler til omlag 5000 tilfeldige brukere. Av disse godtok 976, altså 19%, forespørselen. I løpet av de neste seks ukene sendte så socialbot'ene ut 3517 venneforespørsler til venner av brukerne som godtok den opprinnelige forespørselen. Nå godtok 59% forespørselen, trolig pga. det faktum at man har felles kjente. Konklusjonen fra forskerne er at sosiale nettverk, som Facebook, trolig er sårbare for storstilt infiltrering, med inntil 80% infiltrasjonsrate.

Dette kan utnyttes til å høste inn store mengder personlig informasjon, som e-post adresser, telefonnummer osv. som igjen kan benyttes videre til spam- og phishing formål. Moralen må bli å være skeptiske til hvem man godtar venneforespørsler fra, samt tenke litt over hva man legger ut av informasjon. Kanskje er nettopp en av dine venner en socialbot?
Referanser
http://news.cnet.com/8301-1009_3-20128808-83/socialbots-steal-250gb-of-user-data-in-facebook-invasion/?part=rss&tag=feed&subj=News-Security
http://lersse-dl.ece.ubc.ca/record/264/files/ACSAC_2011.pdf?version=1

Duqu: Status Updates Including Installer with Zero-Day Exploit Found

CrySyS, firmaet som opprinnelig oppdaget Duqu, har nå funnet ut hvordan malwaren opprinnelig klarte å infisere klientene. Angrepsvektoren viser seg å ha vært et Word-dokument (.doc), som inneholdt en hittil ukjent zero-day exploit for Windows-kjernen. Exploiten har gjort det mulig for malwaren å få kjørt vilkårlig kode med systemrettigheter.
Referanser
http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-exploit

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 1 November 2011

2011.11.01 - Nyhetsbrev

Symantec har laget en rapport om målrettede angrep mot kjemisk industri.

Målrettet trojaner mot kjemisk industri

Symantec har laget en rapport om et målrettet angrep mot 48 firmaer innen kjemisk- og forsvarsindustri. Trojaneren som ble brukt er et gammelt fjernstyringsverktøy kalt PoisonIvy. Denne ble pakket inn i et kryptert arkiv for å gjøre det vanskelig for anti-virus å oppdage den. Nøkkelen var vedlagt i e-posten. Trojaneren ble så sendt ut og ga seg ut for å være en oppdatering av Flash Player eller Adobe Reader.

Den initielle infiserte maskinen ble brukt til å angripe flere maskiner i nettverket ved å benytte seg av lagrede passord fra PCen.

Etter å ha oppnådd nok tilgang i nettverket har angriperne deretter kopiert ut design-dokumenter, formler og detaljer om produksjonsprosesser.
Referanser
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_nitro_attacks.pdf
http://www.theregister.co.uk/2011/10/31/chemical_firms_hacked/

Full HTML-versjon av dagens nyhetsbrev.