Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 30 December 2011

2011.12.30 - Nyhetsbrev

Anonymous har postet data fra totalt 860.000 kontoer etter Stratfor-hack.
Som forhåndsvarslet i vårt nyhetsbrev i går har Microsoft nå kommet med en kritisk oppdatering utenom vanlig patche-dag.

Anonymous gir ut mer data etter Stratfor-hack.

Som vi har skrevet om i løpet av julen har Anonymous/Antisec ved flere anledninger gitt ut data etter hacket av Stratfor.com. Tidligere har de gitt ut kontoer med fornavn som begynner på a og d til og med m, nå har de slupper alt. Data er nå postet for totalt 860.000 brukere hvorav 75.000 med kredittkortinformasjon. Deriblant en rekke norske brukere.

Vi minner om at dersom passordet fra Stratfor.com har blitt brukt andre steder, bør disse endres så fort som mulig. Vær også oppmerksom på phishing-mail og andre typer svindel framover.
Referanser
https://twitter.com/#!/AnonymousIRC

Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (MS11-100)

Oppdateringen dekker fire svakheter i Microsoft .Net Framework. Den mest alvorlige svakheten kan føre til lokal rettighetseskalering dersom en angriper sender en spesialdesignet webforespørsel til en webside. En angriper som vellykket utnytter svakheten kan utføre kommandoer som en eksisterende bruker på ASP.NET websiden. For å utnytte denne svakheten må angriperen kunne registrere en konto på den aktuelle websiden og vedkommende må kjenne til et eksisterende brukernavn på websiden.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-100

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 29 December 2011

2011.12.29 - Nyhetsbrev

Det er funnet en svakhet i FreeBSDs telnetd, og Microsoft vil komme med en patch senere idag.

FreeBSD 'telnetd' Daemon Remote Buffer Overflow Vulnerability

Det er funnet svakheter ved Telnet som kjører på BSD system(også andre telnet systemer som er basert på BSD koden slik som krb5-telnet). Feilen skyldes "buffer-overflow". Det er også utviklet verktøy som scanner for å identifiserte denne svakheten.
Anbefaling
Oppdater til nyeste versjon, eventuelt bytt til SSH.
Referanser
http://www.securityfocus.com/bid/51182
https://community.rapid7.com/community/solutions/metasploit/blog/2011/12/27/bsd-telnet-daemon-encrypt-key-id-overflow

Microsoft: Advanced Notification for out-of-band release to address Security Advisory 2659883

Microsoft vil komme med en patch seinere idag, utenom deres vanlige patche-tirsdag, som skal rette en kjent sårbarhet i ASP.NET.
Anbefaling
Oppgrader, når patchen kommer.
Referanser
http://blogs.technet.com/b/msrc/archive/2011/12/28/advanced-notification-for-out-of-band-release-to-address-security-advisory-2659883.aspx

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 27 December 2011

2011.12.27 - Nyhetsbrev

Anonymous har sluppet informasjon fra enda flere brukerkontoer etter angrepet mot Stratfor.com.

Anonymous sprer informasjon om flere brukerkontoer fra Stratfor.com

Anonymous har sluppet informasjon fra flere brukerkontoer etter hacket av Stratfor.com. Denne gangen er det 83 av brukerne som har adresse i Norge. De aller fleste av disse inkluderer fulle kredittkortopplysninger.

Grupperingen har også lagt ut en intern e-post mellom to ansatte fra Stratfor. Dette skal være en forsmak på de 2.5 millioner e-postene de påstår å ha kopiert ut.

I angrepet skal fire servere ha blitt fullstendig slettet. Wired.com har en artikkel med oppsummering av hendelsene så langt. Stratfor.com er fortsatt nede etter angrepet.
Referanser
http://www.wired.com/threatlevel/2011/12/antisec-hits-private-intel-firm-million-of-docs-allegedly-lifted/
http://twitter.com/#!/AnonymousIRC

Full HTML-versjon av dagens nyhetsbrev.

Monday, 26 December 2011

2011.12.26 - Nyhetsbrev

Vi sender i dag ut et ekstra nyhetsbrev for å få ut informasjon om angrepet mot Stratfor.com. Se detaljer under.

Angrep mot Stratfor.com og lekkasje av brukerdata

Hackergruppen Anonymous/Antisec hacket fredag kveld nettstedet Stratfor.com. Dette er nettstedet til Strategic Forecasting som driver med analyse av politiske hendelser for klienter. Alle tjenester fra Stratfor er fortsatt nede, men de har lagt ut informasjon om hendelsen på sin Facebook-side.

Etter hendelsen har Anonymous lekket e-post adresser, (usaltede) hashede passord, full kredkittkortinfo og postadresse til over 10.000 abonnenter av Stratfors tjenester. Av disse er minst 50 abonnenter fra Norge, blant annet flere kjente norske firmaer og statlige institusjoner. Det største slippet av brukerdata ble gjort for kun to timer siden.

Flere medlemmer av Anonymous skryter av å ha stjålet penger fra mange av Stratfors klienter og overført dem til veldedige organisasjoner.

TSOC anbefaler alle med konto hos Stratfor til å kontakte banken sin for å sperre relevante kredittkort. Dersom passordet fra Stratfor.com har blitt brukt andre steder, bør disse endres så fort som mulig. Vær også oppmerksom på phishing-mail og andre typer svindel framover.

Anonymous lover at de skal komme med flere store angrep gjennom julehelgen.
Referanser
http://news.yahoo.com/anonymous-hackers-target-us-security-think-tank-190846242.html
http://www.facebook.com/stratfor
http://twitter.com/#!/AnonymousIRC

Full HTML-versjon av dagens nyhetsbrev.

Friday, 23 December 2011

2011.12.23 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 22 December 2011

2011.12.22 - Nyhetsbrev

Brukerdatabasen fra det norske forumet hemmelig.com er lekket. US Chamber of Commerce har blitt angrepet av kinesiske hackere. En Google-ansatt melder om sikkerhetsproblemer i et SCADA-system fra Siemens.

Brukerdatabase fra forumet Hemmelig.com lekket

Dagbladet og andre medier har i det siste skrevet om et nettforum kalt Hemmelig.com. Forumet ble for noen dager siden hacket, og er nå nede. I natt ble brukerdatabasen sluppet via nettsider for fildeling. Denne inneholder brukernavn, passord, e-post, kjønn, fødselsår og mobilnummer til over 28.000 medlemmer. Passordet er hashet ved hjelp av MD5, noe som gjør det forholdsvis enkelt å finne det opprinnelige passordet. Hackerne påstår også at de sitter på over 300.000 private meldinger fra forumet som de kan komme til å slippe senere.
Referanser
http://www.dagbladet.no/2011/12/21/nyheter/prostitusjon/sexkjop/19496848/

China Hackers Hit U.S. Chamber

The Wall Street Journal har en sak om kinesiske hackere som har hacket US Chamber of Commerce. Organisasjonen har mer enn 450 ansatte og representerer amerikanske firmaers interesser i Washington. Følg linken for flere detaljer rundt innbruddet og informasjonen som ble hentet ut.
Referanser
http://online.wsj.com/article/SB10001424052970204058404577110541568535300.html

Sikkerhetsproblemer i Siemens SCADA-systemer

En ansatt hos Google har oppdaget flere sikkerhetsproblemer i Siemens SIMATIC SCADA-systemer. Det viser seg at SCADA-systemer ofte har et lavt sikkerhetsnivå, da de ikke er ment å være tilkoblet Internett. Det blir imidlertid mer og mer vanlig å koble slike systemer til nettet.
Anbefaling
Ikke bruk default-passord i systemer
Referanser
http://xs-sniper.com/blog/2011/12/20/the-siemens-simatic-remote-authentication-bypass-that-doesnt-exist/
http://www.digi.no/885703/slakter-sikkerheten-i-kritiske-siemens-system

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 21 December 2011

2011.12.21 - Nyhetsbrev

Ny versjon av Firefox.

Ny versjon av Firefox retter kritiske sårbarheter

Mozilla har gitt ut versjon 9 av sin web-browser. Denne oppdateringen retter seks sårbarheter, hvorav 4 er regnet som kritiske. Brukere av Firefox bør oppgradere så fort som mulig. Den nye versjonen kjører også javascript opp mot 30 prosent raskere enn den gamle.
Anbefaling
Oppgrader til siste versjon
Referanser
http://www.mozilla.org/security/known-vulnerabilities/firefox.html#firefox9

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 20 December 2011

2011.12.20 - Nyhetsbrev

Det meldes om en fersk svakhet i Safari/Windows.

HTML-kode i Safari kan kræsje Windows

Windows kræsjer med blåskjerm dersom en prøver å laste inn en web-side i Safari med en Iframe som er satt til å være svært høy. Noen mener at dette kan utnyttes til å ta kontroll over sårbare maskiner. Secunia har karakterisert svakheten som kritisk. Apple og Microsoft skal være varslet om svakheten, men har ikke uttalt seg om saken enda.
Referanser
http://secunia.com/advisories/47237/
http://www.digi.no/885561/enkel-html-tagg-forer-blaaskjerm-i-windows-7

Full HTML-versjon av dagens nyhetsbrev.

Monday, 19 December 2011

2011.12.19 - Nyhetsbrev

Det har vært en rolig helg.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Friday, 16 December 2011

2011.12.16 - Nyhetsbrev

Adobe slipper en oppdatering utenfor normal oppdateringssyklus som skal fikse alvorlig svakhet i Acrobat 9 og Reader 9. En ingeniør i den iranske hæren hevder at de tok kontroll over et amerikansk dronefly ved bruk av jamming og GPS-spoofing. En alvorlig svakhet i scripting biblioteket Rhino i Java har nå blitt lagt inn i flere kjente exploitkits.

Adobe slipper kritisk oppdatering til Acrobat 9.x og Reader 9.x i dag

Vi meldte i vårt nyhetsbrev i forrige at Adobe hadde annonsert at de ville gi ut en patch til en kritisk svakhet utenfor normal oppdateringssyklus. Dette fordi at de hadde mottatt rapporter om aktiv utnyttelse. Adobe melder at de slipper oppdateringen i løpet av dagen. Oppdateringen gjelder Adobe Reader versjon 9.4.6.
Referanser
http://www.adobe.com/support/security/advisories/apsa11-04.html

Exploit mot nyere Javasvakhet lagt inn i flere populære exploitkits

Exploiten det er snakk om er en svakhet ved bruk av Javascript-rammeverket Rhino i Java (CVE-2011-3544). Svakheten brukes til å skru av Java sin security manager. Angriper vil da i etterkant ha muligheter for å kunne eksekvere kode på systemet med eleverte rettigheter. Det som gjør denne svakheten attraktiv for utviklere av exploitkits, er at den ikke krever avanserte teknikker som heap spraying eller buffer overflow for å utføre kodeeksekvering. I tillegg til dette, skal den fungere på alle plattformer. Denne svakheten skal ha blitt lagt inn i kjente exploitkits som Metasploit, Phoenix og Blackhole exploit kit.

Svakheten finnes i Java Update 27 og eldre versjoner.
Referanser
http://labs.m86security.com/2011/12/prevalent-exploit-kits-updated-with-a-new-java-exploit/

Iran påstår at de fanget amerikansk dronefly ved hjelp av GPS-spoofing

I vårt nyhetsbrev på mandag denne uken skrev vi om at den iranske hæren hadde fått en amerikansk drone til å lande med mindre skader på iransk jord ved bruk av et avansert cyberangrep. En iransk ingeniør har gått ut i media og fortalt mer om hvordan angrepet ble utført. Problemet skal ha vært kjent av den amerikanske hæren i lang tid, men de har ikke funnet noen måte å fikse problemet på, da svakheten ligger i selve GPS-systemet.

Svakheten ble utnyttet ved å sende ut støy for å forstyrre kommunikasjonen mellom operatøren og dronen. Operatøren vil da ikke ha mulighet til å kontrollere dronen, og den er i slike tilfeller programmert til å returnere til basen sin ved å navigere etter GPS-signaler. Ved å spoofe disse GPS-signalene (sende ut egne GPS-signaler) har den iranske hæren (eller samarbeidspartnere) fått dronen til å tro at den landet på basen sin i Tyrkia, mens den i virkeligheten landet på iransk jord.
Referanser
http://www.csmonitor.com/World/Middle-East/2011/1215/Exclusive-Iran-hijacked-US-drone-says-Iranian-engineer

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 15 December 2011

2011.12.15 - Nyhetsbrev

GlobalSign, en engelsk CA, har gjort tilgjengelig en veldig åpen og tilsynelatende oppriktig rapport om en sikkerhetshendelse de har hatt hos seg selv.

Sikkerhetshendelse hos GlobalSign

GlobalSign, en engelsk CA, har gjort tilgjengelig en veldig åpen og tilsynelatende oppriktig rapport om en sikkerhetshendelse de har hatt hos seg selv. De skriver om hva som har skjedd, hva som var vellykket og ikke, tidslinjen og hvordan de responderte.
Referanser
http://www.globalsign.co.uk/company/press/121411-security-incident-report.html

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 14 December 2011

2011.12.14 - Nyhetsbrev

Microsoft har publisert 13 nye oppdateringer, hvorav 3 regnes som kritiske.
Google har kommet med ny versjon av Crome og Adobe har lagt ut en hotfix til ColdFusion.

SMS-angrep mot Windows Phone

Ved å sende en spesielt utformet SMS til Windows Phone 7-telefoner, kan en få telefonen til å kjøre en omstart. Etter omstarten er det umulig å komme inn i applikasjonen som behandler meldinger (Messaging Hub). Det er ikke kommet detaljer om hvordan meldingen er utformet. For å få telefonen til å fungere som normalt igjen må en laste inn fabrikkinnstillingene.
Referanser
http://www.winrumors.com/windows-phone-sms-attack-discovered-reboots-device-and-disables-messaging-hub/

Falsk spill sender dyre SMSer på Android Market

På Android Market har det blitt oppdaget et tjuetalls applikasjoner kamuflert som populære spill. Disse applikasjonene melder deg inn i dyre SMS-tjenester før de laster ned det egentlig spillet. Mer enn 10.000 brukere lastet ned applikasjonene før Google ryddet opp etter over 24 timer. Ved installasjon ble brukeren advart om at applikasjonen hadde tillatelse til å sende SMS-meldinger, men mange brukere leser ikke disse advarslene. Brukeren måtte også godta en lang avtaletekst der det stod opplyst om abbonnementstjenesten, men de fleste brukere leser nok heller ikke dette.

Alt som skal til for å laste opp applikasjoner til Android Market er å betale en liten avgift. Det kan lønne seg å holde seg til applikasjoner som en ser at er lastet ned mange ganger, f.eks. over én million ganger. En kan da være ganske trygg på at noen andre brukere i mellomtiden ville ha oppdaget at applikasjonen eventuelt var malware.

Det kan legges til at akkurat disse applikasjonene ikke har rammet norske brukere. De støtter kun utsending av SMS i 18 land. Norge er ikke ett av disse.
Referanser
http://www.f-secure.com/weblog/archives/00002280.html
http://www.theregister.co.uk/2011/12/12/android_market_malware/

Cumulative Security Update of ActiveX Kill Bits (MS11-090)

Oppdateringen dekker en svakhet i ActiveX som kan føre til ekstern kodeeksekvering i Internet Explorer dersom en bruker besøker en spesialdesignet nettside. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-090
http://blogs.technet.com/b/srd/archive/2011/12/13/more-information-on-the-december-2011-activex-kill-bits-bulletin-ms11-090.aspx

Vulnerability in Windows Media Could Allow Remote Code Execution (MS11-092)

Oppdateringen dekker en svakhet i Windows Media Player og Windows Media Center som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet Microsoft "Digital Video Recording"-fil. Angrepet vil bare være vellykket dersom en bruker velger selv å åpne filen.
Anbefaling
Oppdater Windows Media Player og Windows Media Center
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-092

Vulnerability in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (MS11-087)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til ekstern kodeeksekvering dersom en bruker åpner et spesialdesignet dokument eller besøker en ondsinnet nettside som har integrert en spesialdesignet "TrueType" font. Sårbarheten kan benyttes i målrettede angrep og er blitt brukt til å infisere flere system med Duqu-skadevaren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-087
http://blogs.technet.com/b/srd/archive/2011/12/13/more-information-on-ms11-087.aspx

Ny versjon av Google Chrome

Google har sluppet ny versjon av Google Chrome (16.0.912.63) som fikser flere sårbarheter. For fullstendig liste over rettede sårbarheter, se referanse.
Anbefaling
Oppdater til nyeste versjon
Referanser
http://googlechromereleases.blogspot.com/2011/12/stable-channel-update.html

Vulnerability in OLE Could Allow Remote Code Execution (MS11-093)

Oppdateringen dekker en svakhet i Windows XP og Windows server 2003 som kan føre til ekstern kodeeksekvering dersom en bruker åpner en fil som inneholder et spesialdesignet "OLE"-objekt. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-093

Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (MS11-094)

Oppdateringen dekker en svakhet i Microsoft Office som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet "PowerPoint"-fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater Microsoft Office
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-094

Vulnerability in Active Directory Could Allow Remote Code Execution (MS11-095)

Oppdateringen dekker en svakhet i Active Directory, Active Directory Application Mode (ADAM) og Active Directory Lightweight Directory Service (AD LDS). Svakheten kan føre til ekstern kodeeksekvering dersom en angriper logger seg inn på et "Active Directory"-domene og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må en angriper ha gyldig påloggingsinformasjon.
Anbefaling
Oppdater de påvirkede systemene.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-095

Vulnerability in Microsoft Excel Could Allow Remote Code Execution (MS11-096)

Oppdateringen dekker en svakhet i Microsoft Office som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet "Excel"-fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater Microsoft Office
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-096

Vulnerability in Windows Client/Server Run-time Subsystem Could Allow Elevation of Privilege (MS11-097)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til lokal rettighetseskalering dersom en bruker logger på lokalt og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må en angriper ha gyldig påloggingsinformasjon.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-097

Vulnerability in Windows Kernel Could Allow Elevation of Privilege (MS11-098)

Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til lokal rettighetseskalering dersom en bruker logger på lokalt og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må en angriper ha gyldig påloggingsinformasjon.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-098

Cumulative Security Update for Internet Explorer (MS11-099)

Oppdateringen dekker 3 svakheter i Internet Explorer der den mest alvorlige kan føre til ekstern kodeeksekvering dersom en bruker åpner en "HTML"-fil lokalisert på samme nettverkkatalog som en spesialdesignet bibliotek-fil (DDL).
Anbefaling
Oppdater Internet Explorer
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-099

Vulnerabilities in Microsoft Publisher Could Allow Remote Code Execution (MS11-091)

Oppdateringen dekker 4 svakheter i Microsoft Office der den mest alvorlige svakheten kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet "Publisher"-fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater Microsoft Publisher
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-091/

Adobe ColdFusion Two Cross-Site Scripting Vulnerabilities

Oppdateringen retter en sårbarhet som kan utnyttes til cross-site scripting via en cfform tag. Sårbarheten kan brukes til ekstern kodeeksekvering via en spesielt utformet html fil.
Anbefaling
Oppdater ColdFusion.
Referanser
http://www.adobe.com/support/security/bulletins/apsb11-29.html

Vulnerability in Microsoft Office Could Allow Remote Code Execution (MS11-089)

Oppdateringen dekker en svakhet i Microsoft Office som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet "Word"-fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater Microsoft Office
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-089/

Vulnerability in Microsoft Office IME (Chinese) Could Allow Elevation of Privilege (MS11-088)

Oppdateringen dekker en svakhet i Microsoft Office IME som kan føre til lokal rettighetseskalering dersom en bruker utfører visse handlinger på et system som har installert "Microsoft Pinyin Input Method Editor for Simplified Chinese". En angriper som vellykket utnytter denne svakheten kan oppnå administrator rettigheter.
Anbefaling
Oppdater Microsoft Office
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-088

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 13 December 2011

2011.12.13 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Monday, 12 December 2011

2011.12.12 - Nyhetsbrev

I helgen har Network Norway blitt DDoSet etter en artikkel om lagring av kundedata. DDoS har også vært i bruk under valget i Sør-Korea.
Symantec har skrevet en bloggpost om det siste Adobe Reader zero-day angrepet, samtidig som det er funnet to 0-day i Adobe Flash Player.
Til slutt nyheten om Iran som påstår de har fått tak i en amerikansk drone ved hjelp av et cyberangrep.

Network Norway angrepet av hackere etter nyhetssak

DinSide.no publiserte i helgen en sak om at mobiloperatøren Network Norway logger hvilke nettsider deres kunder besøker via mobilen. Kort tid etter publiseringen, ble Network Norways nettsider tatt ned av et DDoS-angrep. Sidene var nede i rundt to timer før de angripende IP-adressene ble sperret i en brannmur.

Grupperingene "AnonymousNorway" og "Noria" har tatt på seg ansvaret for angrepet. De opplyser via Twitter søndag kveld at de vil fortsette med angrepet på mandag.
Referanser
http://www.dinside.no/884559/network-norway-lagrer-nettlogger
http://www.aftenposten.no/okonomi/Hackere-angrep-mobiloperatr-6718533.html

Symantec med bloggpost om grupperingen bak det siste Adobe Reader zero-day angrepet

Symantec har publisert en bloggpost der de ser på andre angrep som kan settes i sammenheng med forrige ukes målrette angrep med PDF-dokumenter. Grupperingen bak har i flere år høstet inn informasjon fra vestlige regjeringer og industri.

Vi anbefaler brukere av Adobe Reader 9.x å oppdatere til versjon 10.x som ikke er sårbar for det nye angrepet. Adobe har enda ikke sluppet en oppdatert versjon som utbedrer svakheten.
Referanser
http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/232300294/adobe-zero-day-attack-part-of-wider-campaign.html
http://www.symantec.com/connect/blogs/sykipot-attacks

DDoS under valget i Sør Korea

Sekretæren til et av medlemmene i det styrende partiet i Korea har innrømmet å ha utført et DDoS-angrep under valget 26. oktober. Han og tre medhjelpere fra et datafirma er arrestert. Målet for valget var "National Election Comission" som blant annet ga informasjon om hvor folk skulle stemme. Det går nå spekulasjoner om at personer høyere oppe i partistrukturen egentlig står bak angrepet.
Referanser
http://www.koreaherald.com/national/Detail.jsp?newsMLId=20111208000887
http://www.koreaherald.com/national/Detail.jsp?newsMLId=20111211000190

Iran påstår at de har fått tak i amerikansk drone ved bruk av avansert cyberangrep

Det iranske militæret påstår å ha tatt ned en amerikansk drone av typen USAF RQ-170 Sentinel ved bruk av et avansert cyberangrep. Dette skal ha skjedd da dronen var på vei inn i iransk luftrom. Denne typen drone er laget av Lockheed Martin og brukes av det amerikanske militæret til spaningsoppdrag. Dronen har mye avansert elektronisk overvåkningsutstyr installert og skal blant annet være laget for å unngå deteksjon på radar. Mye av den samme teknologien skal også være å finne i amerikanske jagerfly. Dronen skal selvdestruere seg hvis den blir skutt ned for å unngå at fienden får tak i den, men det skal ikke ha fungert i dette tilfellet.
Referanser
http://www.tgdaily.com/security-features/60102-iran-cyber-attack-downed-us-drone
http://english.farsnews.com/newstext.php?nn=9007276581

Two zero-day vulnerabilities found in Flash Player

Det russiske sikkerhetsselskapet Intevydis har sluppet exploit-kode for to nye svakheter i Adobe Flash Player. Svakhetene fungerer mot Windows og omgår beskyttelsesteknologiene DEP og ASLR i siste versjon av Windows. Selskapet har ikke meldt fra til Adobe om svakhetene, men derimot implementert dem i sin modul "Vulndisco" i sikkerhetsverktøyet Immunity Canvas. De sier også at de skal slippe versjoner av exploitene til Mac OS X. Det er usikkert når det blir sluppet en oppdatering for svakhetene.

Både Adobe Reader og Adobe Flash Player har nå svakheter som ikke lar seg patche.
Anbefaling
Ikke bruk Flash Player.
Referanser
http://www.infoworld.com/d/security/two-zero-day-vulnerabilities-found-in-flash-player-181344
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4693
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4694

Full HTML-versjon av dagens nyhetsbrev.

Friday, 9 December 2011

2011.12.09 - Nyhetsbrev

Microsoft har sluppet detaljer om oppdateringene de skal slippe neste uke. Nok en utsteder av PKI-sertifikater har blitt kompromittert.

Nederlandsk utsteder av PKI-sertifikater angrepet

Det nederlandske selskapet Gemnet, som blandt annet gir PKI-sertfikater til den nederlandske regjeringen, skal ha blitt utsatt for et angrep. Angriperen skal ha fått tilgang til databasen via PHPMyAdmin, som var satt opp uten passord. Ifølge KPN, eier av Gemnet, skal det kun ha vært allerede offentlig tilgjengelig informasjon angriperen skal ha fått tilgang til. Det er satt igang etterforskning av saken.
Referanser
http://www.h-online.com/security/news/item/Dutch-PKI-provider-s-web-site-security-breach-under-investigation-1392605.html

Microsoft Releases Advance Notification for December Security Bulletin

Microsoft slipper sikkerhetoppdateringer én gang i måneden. Førstkommende tirsdag skal Microsoft slippe 14 oppdateringer, hvorav tre er kritiske. Svakhetene gjelder alle versjoner av Micrsoft Windows.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms11-dec

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 8 December 2011

2011.12.08 - Nyhetsbrev

Adobe annonserer at de vil gi ut en oppdatering utenfor normal oppdateringssyklus for å fikse en svakhet i Adobe Reader og Adobe Acrobat. Det har også kommet informasjon om at denne svakheten skal ha blitt brukt i målrettet angrep mot sikkerhetsfirmaet Mantech og forsvarsleverandøren Lockheed Martin.

Adobe oppdaterer kritisk sikkerhetshull etter rapporter om aktiv utnyttelse

Adobe har annonsert at de planlegger å gi ut en patch som fikser svakhet med CVE nummer CVE-2011-2462 (U3D memory corruption). Grunnen til dette er at Adobe skal ha mottatt rapporter om at denne skal ha blitt aktivt utnyttet. Svakheten kan i verste fall gi en angriper full tilgang til et sårbart system. Oppdateringer til Adobe Reader og Adobe Acrobat 9 planlegger de å gi ut til neste uke. Adobe Reader X og Adobe Acrobat X Protected View inneholder sandboxing funksjonalitet. Dette gjør denne typen svakheter vanskelige å utnytte, derfor er oppdateringen til disse satt til neste planlagte kvarttalsvise oppdatering den 10. januar. Se linken under for offisiell informasjon fra Adobe.

Det har også kommet informasjon om at den aktuelle svakheten har blitt brukt i målrettet angrep mot sikkerhetsfirmaet Mantech. Lockheed Martin kreditereres av Adobe som informasjonskilde og det spekuleres i at de også har blitt utsatt for angrep. Se lenker under for en mer grundig analyse av den aktuelle svakheten samt bilde av det aktuelle dokumentet.
Anbefaling
Brukere av Adobe Reader og Adobe Acrobat 9 bør installere denne oppdateringen etter utgivelse neste uke.
Referanser
http://www.adobe.com/support/security/advisories/apsa11-04.html
http://blog.9bplus.com/analyzing-cve-2011-2462
http://twitpic.com/7pxfsg

Full HTML-versjon av dagens nyhetsbrev.

Wednesday, 7 December 2011

2011.12.07 - Nyhetsbrev

Det har blitt oppdaget en alvorlig zero-day svakhet i Adobe Reader og Adobe Acrobat. Svakheten kan utnyttes til å ta kontroll over et sårbart system, og skal ha blitt utnyttet i et mindre antall målrettede angrep, bl.a. mot Lockheed Martin. Adobe planlegger å slippe en nød-fiks senest ila. neste uke.

Det ble i går oppdaget en feil i Facebook som kunne medføre at hvem som helst kunne få tilgang til dine private bilder.

Det er rapportert om flere svakheter I Opera.

Facebook-feil ga tilgang til private bilder

I går ble det oppdaget en svakhet i Facebook som gjorde at hvem som helst kunne få tilgang til alle dine bilder. Alt som skulle til var å rapportere profilbildet til en bruker som "upassende". En fikk da tilgang til flere bilder tilhørende den rapporterte brukeren for å se om flere av bildene kunne være upassende. Problemet er nå fikset, men noen rakk først å hente ut flere private bilder av Mark Zuckerberg, grunneleggeren av Facebook.

Dette er en viktig påminnelse om at bilder/video som er private eller delt med en begrenset mengde personer på sosiale medier, ofte ikke forblir det.. Det greieste er kanskje å ta høyde for at alt en laster opp til Facebook o.l. kan bli offentlig tilgjengelig.
Referanser
http://www.zdnet.com/blog/btl/facebook-flaw-allows-access-to-private-photos/64761

Svakhet i Adobe Reader og Adobe Acrobat blir utnyttet

En kritisk svakhet er oppdaget i Adobe Reader og Adobe Acrobat. Svakheten kan utnyttes til å ta kontroll over det sårbare systemet. Adobe skriver på deres blogg at svakheten har blitt utnyttet i målrettede angrep i mindre skala. De skriver deretter at de planlegger å rette opp svakheten i Adobe Reader 9.x og Adobe Acrobat 9.x innen uke 51. Svakheten vil bli rettet opp i de resterende versjonene den 10. Januar 2012.
Anbefaling
Adobe Reader X "Protected Mode" og Adobe Acrobat X "Protected View" forhidrer at sikkerhetshullet kan bli utnyttet.
Referanser
http://www.adobe.com/support/security/advisories/apsa11-04.html
http://blogs.adobe.com/psirt/2011/12/security-advisory-for-adobe-reader-and-acrobat-apsa11-04.html

Opera Multiple Vulnerabilities

Det er rapportert om flere svakheter I Opera. Den ene svakheten har ukjent innvirkning, mens de andre kan utnyttes slik at uvedkommende kan unngå sikkerhetsfunksjoner, avsløre potensielt sensitiv informasjon og kapre brukeres sesjoner. Den ene svakheten kommer av en designfeil i implementeringen av SSL 3.0 og TLS 1.0 protokollene.
Anbefaling
Oppgrader til versjon 11.60.
Referanser
http://www.secunia.com/advisories/47077
http://www.opera.com/docs/changelogs/windows/1160/
http://www.opera.com/support/kb/view/1003/
http://www.opera.com/support/kb/view/1004/
http://www.opera.com/support/kb/view/1005/

Full HTML-versjon av dagens nyhetsbrev.

Tuesday, 6 December 2011

2011.12.06 - Nyhetsbrev

I Russland blir bedrifter utsatt for tyveri av penger gjennom exploit-kits. Det meldes også om DDoS-angrep i forbindelse med valget sist søndag.

Russiske firmaer svindles for penger

Eset har skrevet en blogg-post om russiske firmaer som angripes med exploit-kittet BlackHole. Angriperne får først lagt inn kode på web-sider som ofte besøkes av personer som jobber med finans. Denne koden sender så besøkende videre til sider som serverer exploit-kittet BlackHole. Dette prøver å utnytte forskjellige svakheter i systemet. Som oftest er det svakheter i Java som blir utnyttet. Angriperne overfører deretter penger ut av bedriften ved hjelp av informasjonen de finner.
Referanser
http://blog.eset.com/2011/12/04/carberp-blackhole-growing-fraud-incidents

DDoS i Russland i forbindelse med valget

Flere nettsteder tilhørende opposisjonen i Russland var utilgjengelige på søndag under valget. Russlands største nettsted for blogger var også nede. Grunnen ser ut til å være flere DDoS-angrep. Se linker for flere detaljer.
Referanser
http://www.theregister.co.uk/2011/12/05/russian_election_day_ddos_spate/
http://en.gazeta.ru/news/2011/12/05/a_3858914.shtml

Full HTML-versjon av dagens nyhetsbrev.

Monday, 5 December 2011

2011.12.05 - Nyhetsbrev

Det har vært en rolig helg.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Friday, 2 December 2011

2011.12.02 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

Full HTML-versjon av dagens nyhetsbrev.

Thursday, 1 December 2011

2011.12.01 - Nyhetsbrev

Kaspersky har skrevet et interessant blogginnlegg om trojaneren Duqu og dens kontrollservere. En hackergruppe har publisert hundrevis av brukernavn og passord til FNs ansatte etter datainnbrudd. Mange Android-telefoner kan gi applikasjoner utvidede tilganger til systemet uten at brukeren blir gjort oppmerksom på dette.

Duqu:The Command and Control servers

Kaspersky skriver i et blogginnlegg om kontrollserverne til trojaneren Duqu. Det viser seg at Duqu har kontrollservere lokalisert i Belgia, Vietnam, India, Tyskland, Singapore, Sør Korea, UK og Nederland. Kaspersky mener også at passordet på root-brukeren på de aktuelle serverne mest sannsynlig har blitt bruteforcet, og ikke er et resultat av en "zero-day" svakhet, slik som tidligere antatt. Videre står det i bloggen at det første inntrengerne gjorde etter å ha skaffet seg tilgang til serverne, var å oppgradere OpenSSH 4.3 til versjon 5. Det fortelles også at en opprydnings-operasjon fant sted 20 oktober 2011 der angriperne gikk inn på kontrollserverene og fjernet sporene etter trojaneren.

Hoved-kontrollserveren, som er lokalisert i India, ble dessverre renset bare timer før selskapet som eier denne ga lov til å lage kopi av dataene på den.
Referanser
http://www.securelist.com/en/blog/625/The_Mystery_of_Duqu_Part_Six_The_Command_and_Control_servers

Hackergruppe har publisert brukernavn og passord til FN ansatte etter datainnbrudd

En hackergruppe har publisert hundrevis av brukernavn og passord tilhørende FN på pastebin. De påstår samtidig at flere av passordene til brukerne var blanke. Det spekuleres i at hackergruppen kan fått tilgang til denne informasjonen ved å angripe nettsidene til FNs utviklingsprogram. FN hevder på sin side at serveren ikke lengre var i bruk og at brukernavn og passord var gamle.
Referanser
http://nakedsecurity.sophos.com/2011/11/29/united-nations-hacked-email-addresses-and-passwords-leaked/

Svakhet kan gi applikasjoner utvidede rettigheter i mange Android-telefoner

Forskere fra North Carolina State University har oppdaget en svakhet i mange Android-telefoner. Svakheten kan gi applikasjoner på telefonen rettigheter ut over det brukeren har godkjent ved installasjon av applikasjonen. En applikasjon kan for eksempel avlytte samtaler uten at brukeren får beskjed om at applikasjonen har muligheter for det. Svakheten skyldes utvidelser til Android som forskjellige håndsettleverandører legger inn.
Anbefaling
Vær skeptisk til applikasjoner du installerer og hvem som har laget dem.
Referanser
http://www.theregister.co.uk/2011/11/30/google_android_security_bug/
http://www.csc.ncsu.edu/faculty/jiang/pubs/NDSS12_WOODPECKER.pdf

Full HTML-versjon av dagens nyhetsbrev.