Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 30 March 2012

2012.03.30 - Nyhetsbrev

Større mengder kredittkortinformasjon på avveie i USA etter datainnbrudd tidligere i vår.

Informasjon om millioner av kredittkort i USA stjålet

Krebs on Security melder at informasjon om millioner av kredittkort kan være på avveie i USA. VISA og Mastercard har sendt ut informasjon om et mulig tyveri til banker. Informasjonen ble stålet fra en ukjent betalingsformidler i et datainnbrudd tidligere i år.
Referanser
http://krebsonsecurity.com/2012/03/mastercard-visa-warn-of-processor-breach/

Thursday, 29 March 2012

2012.03.29 - Nyhetsbrev

Threatpost skriver om malware-angrep mot OS X, Adobe tetter kritiske sårbarheter i Flash og Air, mens CISCO kan fortelle om hele 9 sårbarheter i IOS og IOS EX.

Målrettet angrep mot OS X

Brukere av OS X blir nå angrepet av malware på samme måte som Windows-brukere har gjort i lang tid. Threatpost har skrevet en artikkel om et nytt angrep som inkluderer to separate malware, rettet mot Mac og OS X.
Referanser
https://threatpost.com/en_us/blogs/maccontrol-trojan-being-used-targeted-attacks-against-os-x-users-032812

Adobe oppdaterer Flash Player og Air

Adobe har publisert oppdateringer for Flash Player og Air. Svakheten de tetter er en feil i minnehåndteringen som kan utnyttes av en angriper til å eksekvere kode og de beskriver oppdateringen som kritisk.
Anbefaling
Installer oppdatering
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-07.html

Cisco har publisert informasjon om 9 sårbarheter i IOS og IOS EX

Cisco har publisert 9 artikler om svakheter i Cisco IOS og Cisco IOS XE. de har ikke publisert en liste over spesifikke produkter som er rammet, men sier i stedet at det er avhengig av hvordan den enkelte enhet er konfigurert. Se referanse for mer informasjon.
Anbefaling
Følg anbefalinger fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-ssh
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-rsvp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-mace
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-msdp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-nat
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-ike
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-smartinstall
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-pai

Wednesday, 28 March 2012

2012.03.28 - Nyhetsbrev

Opera er sluppet i versjon 11.62, samt ny Java exploit skal være rullet ut i populære exploit kits.

Java svakhet implementert i automatiske exploit kits

KrebsOnSecurity melder at den siste Java svakheten (CVE-20120-0507) nå er implementert i et automatiske angriperverktøy. Dette gir uvedkommende med liten teknisk innsikt muligheten til å utnytte svakheten. Det er derfor viktig å oppdatere Java til versjon 6 update 31, eller Java 7 Update 3.
Referanser
http://krebsonsecurity.com/2012/03/new-java-attack-rolled-into-exploit-packs/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0507

Opera Multiple Vulnerabilities

Det er funnet flere svakheter i Opera. Svakhetene ligger i måten dialogboksene er bygget opp og kan føre til at uvedkommende lurer brukere til å laste ned og kjøre filer. Alle disse er rettet i siste versjon, 11.62
Anbefaling
Oppdater til versjon 11.62
Referanser
http://www.opera.com/docs/changelogs/windows/1162/
http://www.opera.com/support/kb/view/1010/
http://www.opera.com/support/kb/view/1011/
http://www.opera.com/support/kb/view/1012/
http://www.opera.com/support/kb/view/1013/
http://www.opera.com/support/kb/view/1014/

Tuesday, 27 March 2012

2012.03.27 - Nyhetsbrev

Microsoft har igjen slått til mot botnett.

Microsoft and Financial Services Industry Leaders Target Cybercriminal Operations from Zeus Botnets

Microsoft har sammen med partnere i finans- og sikkerhetsbransjen igjen gått rettens vei for å kunne beslaglegge utstyr og domener knyttet til botnet. Denne gangen ble det fokusert på Zeus baserte botnet. Det skal være beslaglagt servere på to lokasjoner, og ca. 800 domener relatert til disse.
Referanser
http://blogs.technet.com/b/microsoft_blog/archive/2012/03/25/microsoft-and-financial-services-industry-leaders-target-cybercriminal-operations-from-zeus-botnets.aspx

Monday, 26 March 2012

2012.03.26 - Nyhetsbrev

Verizon har sluppet sin årlige rapport om datainbrudd, det er opprettet et frivillig anti-botnett-program i USA og Facebook advarer mot malware på sine sider. Og til slutt en artikkel ifra Krebs angående arrestasjoner og dommer i det kriminelle miljøet.

Krebs: A Busy Week for Cybercrime Justice

KrebsOnSecurity har en bra artikkel om hvilke arrestasjoner og dommer som er gjort/satt på folk som lever på den gale siden av loven på Internett. Mange av disse er igjennom samarbeid mellom US og Russland.
Referanser
http://krebsonsecurity.com/2012/03/a-busy-week-for-cybercrime-justice/

Verizon slipper sin årlige rapport om datainnbrudd

Verizon konkluderer i sin rapport at såkalte "hacktivister" som Anonymous stjal flere personopplysninger enn andre organiserte kriminelle i fjor. Følg lenken for å laste ned rapporten og få alle detaljene.
Referanser
http://www.darkreading.com/database-security/167901020/security/attacks-breaches/232700065/anonymous-legacy-hacktivists-stole-more-data-than-organized-crime-in-2011-breaches-worldwide.html
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

Frivillig anti-botnet program for ISPer i USA

USA har fått et frivillig program for bekjempelse av bot-nett. Internettleverandører blir oppfordret til å bli med i programmet for å hjelpe sluttbrukere.
Referanser
http://www.infosecisland.com/blogview/20800-US-Anti-Botnet-Code-of-Conduct-for-ISPs-Unveiled.html
https://otalliance.org/news/releases/ABCsISPsSupport.html

Facebook advarer mot adware på sidene deres

Facebook advarer mot en ny type adware (programvare som serverer uønsket reklame) som er skrevet for å servere reklame på Facebooks sider. Programmene lurer gjerne brukeren til å installere tillegskomponenter (add-ons) til forskjellige nettelesere. Facebook-sidene til brukeren blir deretter bombardert med mye plagsom reklame. Facebook har også postet en liste med navnene på programmene dette gjelder.
Referanser
http://threatpost.com/en_us/blogs/facebook-warns-users-about-timeline-adware-032312
https://www.facebook.com/photo.php?v=10100195470971403
https://www.facebook.com/help/?faq=225507867498721

Friday, 23 March 2012

2012.03.23 - Nyhetsbrev

Stratsec har postet en detaljert gjennomgang av en ny variant av Duqu.

Detaljert gjennomgang av ny variant av Duqu

Stratsec har laget en detaljert gjennomgang av en kernel-mode driver i en ny variant av malwaren Duqu.
Referanser
http://stratsec.blogspot.co.uk/2012/03/actually-my-name-is-duqu-stuxnet-is-my.html

Thursday, 22 March 2012

2012.03.22 - Nyhetsbrev

Google Chrome er ute i ny versjon og det er funnet en feil i en av LG sine svitsjer. Forbes har også skrevet en artikkel om hvordan enkelte tjener store penger på å utvikle og selge exploits.

Artikkel om utvikling og salg av exploits

Forbes har en artikkel om folk som utvikler exploits og selger de videre.
Referanser
http://www.forbes.com/sites/andygreenberg/2012/03/21/meet-the-hackers-who-sell-spies-the-tools-to-crack-your-pc-and-get-paid-six-figure-fees/

Google Chrome ute med en ny oppdatering

Nettleseren Google Chrome er ute i ny versjon. Denne fikser flere svakheter og det kan derfor være lurt å oppdatere til siste versjon.
Anbefaling
Oppdater til siste versjon.
Referanser
http://googlechromereleases.blogspot.com/2012/03/stable-channel-update_21.html

LG-Nortel ELO GS24M Switch contains multiple vulnerabilities

Det er funnet flere svakheter i svisjen LG-Nortel ELO GS24M sitt webadministrasjonsgrensesnitt. Autentisering kan enkelt omgås ved å gå direkte til websiden for konfigurering.
Anbefaling
Produktet er utgått fra leverandør.
Det anbfales derfor å implementere brannmur regler som kun lar godkjente adresser få tilgang til web grensesnittet.
Referanser
http://www.kb.cert.org/vuls/id/523027
http://cwe.mitre.org/data/definitions/592.html
http://cwe.mitre.org/data/definitions/200.html

Wednesday, 21 March 2012

2012.03.21 - Nyhetsbrev

Skatteetatens portal altinn.no er stengt etter sikkerhetsbrudd. Personer bak trojaneren Carberp er pågrepet. Det er også funnet flere feil i logganalyseverktøyet RSA enVision.

Gruppen bak bank-trojaneren Carberp pågrepet i Russland

Russiske medier melder at bakmennene bak bank-trojaneren Carberp har blitt pågrepet. Etter å ha infisert tusenvis av datamaskiner med trojanere, har gruppen overført verdier for over 25 millioner kroner til sine egne kontoer. Over hundre banker er rammet av aktiviteten internasjonalt.
Referanser
http://group-ib.com/news_2012_03_20.html
http://www.theinquirer.net/inquirer/news/2162032/russian-cops-arrest-carberp-phishing-gang

Skatteetatens portal Altinn.no stengt

Tirsdag ettermiddag ble Skatteetatens portal Altinn.no stengt etter en alvorlig sikkerhetsfeil. Når brukere prøvde å logge seg på portalen fikk de i stedet tilgang til opplysningene til en mann i 30-årene. Mannens personnummer samt opplysninger om hans kone og et firma han er tilknyttet har blitt sett av alle som logget seg inn etter klokken 18.17. Altinn ble raskt klar over problemet og stengte tjenesten klokken 18.35. Ettersom Altinn.no er nede vil driftsmeldinger bli lagt ut på nettsidene til Brønnøysundregistrene.
Referanser
http://www.vg.no/nyheter/innenriks/artikkel.php?artid=10079573
http://www.brreg.no/

RSA enVision Multiple Vulnerabilities

Det er funnet flere svakheter i RSA enVision, som kan utnyttes av uvedkommende for å avsløre potensiell sensitiv informasjon og utføre "SQL injection" angrep. Svakhetene ligger i måten visse input blir returnert til brukeren.
Anbefaling
Oppdater til versjon 4.1 Patch 4.
Referanser
http://archives.neohapsis.com/archives/bugtraq/2012-03/att-0081/ESA-2012-014.txt

Tuesday, 20 March 2012

2012.03.20 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Monday, 19 March 2012

2012.03.19 - Nyhetsbrev

Det er mistanke om at PoC-Exploit for RDP-svakhet er lekket fra Microsofts MAPP program. Norske hackere har angrepet sider hostet hos domeneshop.no, og frigitt brukernavn og passord fra disse sidene.

PoC-Exploit for RDP-svakhet lekket fra Microsofts MAPP program

PoC (Proof of Concept) exploit-kode laget for å utnytte svakheten i RDP (MS12-020) er sannsynligvis lekket fra Microsoft. Microsoft har et partner-program kalt Microsoft Active Protections Program (MAPP). Medlemmer i dette programmet utvikler anti-virus programmer og IDS/IPS-systemer. Microsoft slipper detaljer om nye svakheter til medlemmene før patchene blir sluppet, slik at de skal kunne utvikle signaturer for svakhetene.

Et av medlemmene i dette programmet har antakeligvis lekket exploit-koden.
Referanser
http://blogs.technet.com/b/msrc/archive/2012/03/16/proof-of-concept-code-available-for-ms12-020.aspx
http://www.huffingtonpost.com/2012/03/16/microsoft-proof-of-concept-hacking-code_n_1354775.html?ref=tw

Norske hackere angriper nettsteder og slipper brukernavn og passord

Nettstedet ABC Nyheter har en sak om en norsk hackergruppe som har angrepet sider som har vært hostet på domeneshop.no. Blant annet har hackerne brutt seg inn på et nettsted til en støttegruppe for narkomane. Etter angrepene har de spredd tusenvis av brukernavn og passord. Sakene er nå anmeldt.
Referanser
http://www.abcnyheter.no/nyheter/2012/03/17/her-bryter-datasnokene-seg-inn

Friday, 16 March 2012

2012.03.16 - Nyhetsbrev

Det har blitt sluppet proof-of-concept kode samt en relativt detaljert advisory for MS12-020 RDP svakheten.

VMware har sluppet oppdateringer til en rekke produkter:
VMware vCenter Server, Orchestrator, Update Manager, vShield, vSphere Client, ESXi og ESX

MS12-020 PoC sluppet

Det har nå blitt publisert proof-of-concept kode for MS12-020 oppdateringen, som bl.a. tetter en alvorlig svakhet i RDP-tjenesten. PoC-koden får (foreløpig) et sårbart system til å krasje (blåskjerm).
Da det nå også har blitt sluppet en detaljert advisory fra personen som meldte inn denne svakheten til Microsoft, vil vi nok snart se fungerende exploitkode som klarer få kjørt vilkårlig kode, og dermed kompromittere et sårbart systemet. Det anbefales å installere MS12-020 oppdateringen så raskt som mulig dersom man eksponerer RDP.
Anbefaling
Installer MS12-020 patch
Referanser
http://www.securityfocus.com/bid/52353/exploit
http://aluigi.org/adv/termdd_1-adv.txt

VMware vCenter Server, Orchestrator, Update Manager, vShield, vSphere Client, ESXi and ESX address several security issues

VMware har sluppet oppdateringer til en rekke produkter. Oppdateringen tetter en rekke svakheter, både i produktene selv, og i underliggende, bundlede komponenter som Java og Apache Tomcat.
Anbefaling
Oppdater ihht. http://www.vmware.com/security/advisories/VMSA-2012-0005.html
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0005.html

Thursday, 15 March 2012

2012.03.15 - Nyhetsbrev

Et rolig døgn.

Cisco oppdaterer ASA 5500 og Catalyst 6500 ASA

Cisco har gitt ut oppdateringer som retter sårbareheter i to produktserier. Sårbarhetene kan blant annet utnyttes for å gi uvedkommende tilgang til systemene og til å utføre tjenestenektangrep.
Anbefaling
Følg anbefaling fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120314-asa
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120314-fwsm
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120314-asaclient

Wednesday, 14 March 2012

2012.03.14 - Nyhetsbrev

Microsoft har sluppet sin månedlige sikkerhetsoppdatering for mars. Denne gangen er det snakk om seks patcher, der èn av dem regnes som spesielt viktig: MS12-020. Denne oppdateringen fikser to svakheter i Remote Desktop som kan gi en angriper mulighet til å kompromittere et system som eksponerer denne tjenesten mot internett bare ved å sende en spesialutformet RDP-pakke.

De andre oppdateringene tetter tildels alvorlige svakheter i DNS Server, Windows kjernen, Visual Studio, DirectWrite-komponenten og Microsoft Expression Design.

Mozilla har sluppet oppdaterte versjoner av Firefox, Thunderbird og SeaMonkey som tetter en rekke alvorlige svakheter.

Vulnerabilities in Remote Desktop Could Allow Remote Code Execution (2671387) (MS12-020)

Oppdateringen dekker to svakheter i "Remote Desktop"-protokollen som kan føre til ekstern kodeeksekvering dersom en angriper sender en spesialdesignet "RDP"-pakke til et system. Denne protokollen er som standard ikke aktivert og systemer som ikke har den aktivert er ikke sårbare.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-020

Mozilla Firefox/Thunderbird/SeaMonkey multiple vulnerabilities

Mozilla har sluppet nye versjoner av Firefox, Thunderbird og SeaMonkey som tetter minst 8 svakheter, der flere av dem er alvorlige og kan utnyttes til å få kjørt vilkårlig kode med samme rettigheter som den påloggede brukeren. Oppgradering anbefales.
Anbefaling
Oppgrader til:
Mozilla Thunderbird ESR 10.0.3
Mozilla Thunderbird 3.1.20
Mozilla Thunderbird 11.0
Mozilla SeaMonkey 2.8
Mozilla Firefox ESR 10.0.3
Mozilla Firefox 3.6.28
Referanser
http://www.securityfocus.com/bid/52465
https://www.mozilla.org/security/announce/
http://www.securityfocus.com/bid/52467
http://www.securityfocus.com/bid/52466
http://www.securityfocus.com/bid/52464
http://www.securityfocus.com/bid/52463
http://www.securityfocus.com/bid/52461
http://www.securityfocus.com/bid/52460

Vulnerability in DNS Server Could Allow Denial of Service (2647170) (MS12-017)

Oppdateringen dekker en svakhet i Microsoft Windows som kan utnyttes til å utføre et tjenestenektangrep dersom en angriper sender en spesialdesignet "DNS"-forespørsel til en "DNS"-server.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-017

Vulnerability in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (2641653) (MS12-018)

Oppdateringen dekker en svakhet i Microsoft Windows som kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering dersom angriperen logger seg på et system og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må en angriper ha gyldig påloggingsinformasjon.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-018

Vulnerability in Expression Design Could Allow Remote Code Execution (2651018) (MS12-022)

Oppdateringen dekker en svakhet i Microsoft Expression Design som kan føre til ekstern kodeeksekvering dersom en bruker åpner en normal fil (for eksempel .DESIGN) lokalisert i samme nettverkskatalog som en spesialdesignet bibliotek-fil (DDL).
Anbefaling
Oppdater Microsoft Expression Design
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-022

Citrix XenServer Workload Balancing Component Denial of Service Vulnerability

Det er rapportert om svakheter i Citrix XenServer, som kan føre til DoS angrep. Svakheten ser ut til å ligge i "Workload Balancing" delen av systemet.
Anbefaling
Oppdater "WorkLoad Balancing" komponentene til versjon 6.0.0.2
Referanser
http://support.citrix.com/article/CTX132252

Vulnerability in DirectWrite Could Allow Denial of Service (2665364) (MS12-019)

Oppdateringen dekker en svakhet i Windows DirectWrite. Svakheten kan gi en angriper muligheten til å utføre et tjenestenektangrep dersom angriperen sender en spesialdesignet sekvens av "Unicode"-tegn til en "Instant Messenger"-klient.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-019

Vulnerability in Visual Studio Could Allow Elevation of Privilege (2651019) (MS12-021)

Oppdateringen dekker en svakhet i Microsoft Visual Studio som kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering dersom angriperen gjør en endring i filbanen til Visual Studio og får en bruker med høyere rettigheter til å starte Visual Studio. For å utnytte denne svakheten må en angriper ha gyldig påloggingsinformasjon.
Anbefaling
Oppdater Microsoft Visual Studio
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-021

HP Data Protector Express Unspecified Code Execution Vulnerabilities

Det er oppdaget flere svakheter i HP Data Protector Express, som kan gi uvedkommende adgang til å kompromittere systemet. Det foreligger ikke informasjon om hva som fører til svakhetene.
Anbefaling
Oppdater til versjon 5.0.01 build 70262 eller versjon 6.0.0.1 build 13958
Referanser
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03229235

Tuesday, 13 March 2012

2012.03.13 - Nyhetsbrev

Apple har sluppet en oppdatering av Safari som fikser mange svakheter.

Apple lanserer oppdateringer til Safari

Apple har oppdatert Safari til versjon 5.1.4. Oppdateringene dekker flere feil i Safari og i WebKit. Det viser seg at over 40 av feilene kan gi en angriper muligheten til å eksekvere vilkårlig kode på et utsatt system. Det anbefales å oppdatere til den nyeste versjonen ved første anledning. For fullstendig liste over rettede problemer og sårbarheter, se referanse.
Referanser
http://support.apple.com/kb/HT1222

Monday, 12 March 2012

2012.03.12 - Nyhetsbrev

Google Chrome er nok en gang ute i ny versjon. VMware har rettet flere svakheter i vCenter og ESX.

VMware retter flere svakheter i vCenter og ESX

VMware har gitt ut oppdateringer til vCenter og ESX. Svakhetene som rettes er i forbindelse med implementeringen av Oracle JRE og er de samme som ble rettet i JRE 1.5.0_32.
Det har også blitt gitt ut en oppdatering til vCenter Chargeback Manager. Svakheten i vCenter Chargeback Manager er en feil i XML APIet som kan utnyttes av angriper til å få ut sensitiv informasjon eller få applikasjonen til å krasje.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0002.html
http://www.vmware.com/security/advisories/VMSA-2012-0003.html

Google oppdaterer Chrome

Google har oppdatert Chrome til versjon 17.0.963.79. Dette kommer også som et resultat av "pwnium" konkurransen arrangert av Google denne uken. Oppdateringen retter en alvorlig feil i håndteringen av lasting av plug-ins og en feil som kan utnyttes via grafikkminnet. Begge er klassifisert som kritiske av Google. I tillegg har de også rettet noen problemer vedrørende Adobe Flash.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-update_10.html

Friday, 9 March 2012

2012.03.09 - Nyhetsbrev

Microsoft har gitt informasjon angående denne månedens sikkerhetspatcher som kommer i neste uke. Det har også blitt avdekket to 0-day svakheter i Internet Explorer under pwn2own. Apple har gitt ut iOS 5.1 som skal rette en rekke svakheter og Anonymous har gitt ut kildekoden til Norton Antivirus 2006. Til slutt kan vi også melde om at Google Chrome er ute i ny versjon.

Microsoft Security Bulletin Advance Notification for mars 2012

Microsoft har publisert listen over oppdateringer for mars. Den inneholder 6 sikkerhetsoppdateringer, hvorav 1 er angitt som kritiske. Alle versjoner av Windows er omfattet. I tillegg er også Visual Studio og Expression Design rammet.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-mar

Anonymous har lagt ut source koden til Norton Antivirus 2006

Det ble tidligere i år kjent at Norton hadde blitt utsatt for et datainnbrudd der angriperne hadde fått med seg større deler av kildekoden til programvaren deres. I februar i år ble kildekoden for pcAnywhere gjort tilgjengelig på nettet. I går kveld ble det kjent at Anonymous nå også har lagt ut kilekoden til Norton Antivirus 2006.
Referanser
http://www.theinquirer.net/inquirer/news/2158170/anonymous-leaks-symantec-source-code

To 0-day svakheter i Internet Explorer 9 avdekket under pwn2own

Svakhetene omgår ASLR, DEP og fungerer i Internet Explorer 9 under Protected mode. Dette øker alvorlighetsgraden da det vil gi en angriper mulighet til å få kjørt koden på systemet direkte. Det foreligger ingen sikkerhetspatcher som fikser svakhetene i skrivende stund. Svakhetene fungerer under 64 bit Windows 7 med Service Pack 1 installert.
Anbefaling
Minimer bruk av Internet Explorer til svakheten er fikset.
Referanser

iOS 5.1 programvare oppdatering fra Apple

Apple retter en rekke svakheter i sin nye iOS 5.1 oppdatering der noen av disse i værste fall kan føre til eksekvering av kode. Oppdatering anbefales.
Anbefaling
Oppdater til iOS 5.1
Referanser
http://support.apple.com/kb/HT5192

Google Chrome er ute i ny versjon

Etter at det ble avdekket en svakhet i Google Chrome under pwn2own har den populære nettleseren nok en gang fått en oppdatering. Denne fikser også noen problemer i Adobe Flash.
Anbefaling
Oppdater til siste versjon.
Referanser
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-channel-update.html

Thursday, 8 March 2012

2012.03.08 - Nyhetsbrev

Googles Chrome-browser sliter etter første dag av konkurransen Pwn2Own. Svakhet i RSA SecurID Software Token Converter .

Første dag av konkurransen Pwn2Own er over

Første dag av Pwn2Own-konkurransen ved sikkerhetskonfersen CanSecWest er over. I konkurransen skal deltagerne prøve å utvikle exploits for svakheter i web-browsere.

I løpet av den første dagen klarte det Franske firmaet Vupen å utnytte en nyoppdaget sårbarhet i Chrome. De klarte også å unngå beskyttelsesmekanismer som DEP, ASLR og Chromes innebygde "sadbox". I tidligere års konkurranser har ingen tidligere klart å knekke sikkerheten i Chrome.

I konkurransen ble også deltagerne bedt om å skrive exploits fra bunnen av for å utnytte eldre kjente svakheter. Vupen klarte i denne delen av konkurransen å skrive nye exploits for sårbarheter i både Firefox, Internet Explorer og Safari. Det tok fra 20 minutter til to timer å utvikle de nye exploitene.

Google har også en egen konkurransen gående med pengepremier for exploits mot Chrome. I går måtte de betale ut $60.000 til en vinner som utnyttet en annen svakhet i Chrome. Begge svakhetene i Chrome er fortsatt upatchet.

Disse konkurransene viser at dyktige utviklere forholdsvis lett kan finne og utnytte svakheter i de mest brukte browserne, motivert av relativt små pengepremier og berømmelse.
Referanser
http://arstechnica.com/business/news/2012/03/google-chromes-winning-streak-fades-at-annual-hacking-contest.ars
https://pwnium.appspot.com/

RSA SecurID Software Token Converter Unspecified Buffer Overflow Vulnerability

Det har blitt oppdaget en svakhet i RSA SecurID Software Token Converter som potensielt sett kan utnyttes til å få kjørt vilkårlig kode på et sårbart system. Oppdatering til versjon 2.6.1 anbefales.
Anbefaling
Update to version 2.6.1.
Referanser
http://www.secunia.com/advisories/48297
http://archives.neohapsis.com/archives/bugtraq/2012-03/0017.html

Wednesday, 7 March 2012

2012.03.07 - Nyhetsbrev

Flere hundre tusen maskiner fortsatt infisert av DNS-changer trojaneren. 6 medlemmer av Lulzsec har blitt arrestert. Anonymous hevner seg ved å hacke flere sider tilhørende Panda Security.

Seks medlemmer av LulzSec arrestert

Tirsdag morgen ble fem medlemmer av LulzSec arrestert. To av mennene ble arrestert i Storbritania, to i Irland og en i Chicago i USA. Gruppens leder, Hector Xavier "Sabu" Monsegur, skal ha blitt arrestert i august og han erklærte seg da skyldig på 12 tiltalepunkter.

Bevisene mot de fem siste arresterte medlemmene skal ha kommet fra "Sabu", som i følge FBI ha samarbeidet med dem siden hans arrestasjon.

LulzSec er en avgrening av gruppen Anonymous, og det antas at de har gjort skader for store summer gjennom angrep mot myndigheter, banker og andre selskaper. De stod blant annet bak angrepet mot Stratfor, der kredittkortinformasjon til tusenvis av brukere ble sluppet fritt på nettet. FBI mistenker også at de fem medlemmene har vært involvert i angrepene mot CIA, FBI, Fox, PBS og Sony.
Referanser
http://www.foxnews.com/scitech/2012/03/06/hacking-group-lulzsec-swept-up-by-law-enforcement/
http://arstechnica.com/tech-policy/news/2012/03/inside-the-hacking-of-stratfor-the-fbis-case-against-antisec-member-anarchaos.ars
http://www.fbi.gov/newyork/press-releases/2012/six-hackers-in-the-united-states-and-abroad-charged-for-crimes-affecting-over-one-million-victims

Flere hundre tusen enda infisert av DNSChanger

Den 10. november 2011 skrev vi at FBI i samarbeid med private bedrifter og offentlige instanser tok ned et botnett bestående av flere millioner infiserte klienter.

DNS-tjenerne som ble brukt av de kriminelle til å sende infiserte brukere til skadelige sider eller annonser, ble da erstattet med lovlige tjenere fra FBI. De fikk lov av en domstol til å kjøre sine DNS-servere frem til 8. mars. Dette betyr at maskiner som enda er infisert ville mistet tilgang til Internet den 8. mars. Internet-leverandører har forsøkt å kontakte eierne av de resterende infiserte maskinene, men det er i følge forskeren Merike Kaeo enda flere hundre tusen infiserte maskiner.

En distriktsdomstol i New York har nå utsatt fristen fra 8. mars til 9. juli. Brukerne som er infisert må selv sørge for å fjerne infeksjonen og det er viktig å gjøre dette før den nye tidsfristen går ut.

Du kan selv teste om din PC er infisert på følgende link: http://dns-ok.us/
Referanser
http://www.f-secure.com/weblog/archives/00002323.html

Nettsidene til Panda Security hacket

Ca 35 av nettsidene til sikkerhetsselskapet Pandasecurity.com er blitt hacket, angivelig av hackergruppen Anonymous. Det er også lekket flere epost-adresser med tilhørende passord til ansatte ved Panda Security. Gruppen påstår også at de har lagt inn en bakdør i produktene til Panda, noe som ikke er bekreftet.

Anonymous sier i en melding, lagt ut på de kompromitterte sidene, at Panda Security har blitt hacket som en hevn etter at Panda hjalp myndigheter med å arrestere flere medlemmer av Anonymous.
Referanser
http://www.forbes.com/sites/andygreenberg/2012/03/07/anonymous-posts-response-letter-to-snitch-sabu-on-a-hacked-security-firms-website/

Tuesday, 6 March 2012

2012.03.06 - Nyhetsbrev

Adobe har sluppet en kritisk oppdatering til Flash Player.

Kritisk oppdatering av Flash Player

Adobe har sluppet en oppdatering til Flash Player som retter to kritiske sårbarheter. Den ene svakheten kan brukes til å ta kontroll over en sårbar maskin ved å lure en bruker til å besøke en spesiell side med nettleseren. Den andre svakheten kan føre til at en angriper kan lese ut informasjon fra maskinen din.

Vi anbefaler å oppdatere til siste versjon så fort som mulig. Dette er andre gangen Adobe patcher Flash Player på under én måned.
Anbefaling
Oppdater så fort som mulig.
Referanser
https://www.adobe.com/support/security/bulletins/apsb12-05.html

Monday, 5 March 2012

2012.03.05 - Nyhetsbrev

Brukere hos Linode har blitt frastjålet en større mengde bitcoins. Anonymous-tilhengere fikk med Zeus-trojaneren da de installerte angrepsprogrammet sitt og SANS melder om en ny type phishing-epost.

Til slutt er det også verdt å nevne at Google Chrome er ute i ny versjon.

Bitcoins verdt 228,000 USD stjålet

Kunder hos nettsky-leverandøren Linode har blitt frastjålet 46,703 Bitcoins (digital valuta). I en uttalelse fra Linode kommer det frem at det har blitt kompromittert 8 kontoer og at disse brukerne har blitt varslet om hendelsen. Det er fremdeles usikkert hvordan angriperen har kommet seg inn på systemet, men Linode forsikrer at sikkerhet er deres første prioritet og de vil gjøre alt de kan for å forhindre fremtidige angrep.
Referanser
http://www.theinquirer.net/inquirer/news/2156823/linode-compromised-bitcoins
http://status.linode.com/2012/03/manager-security-incident.html

Phishing epost som inneholder javascript, shellcode og malware

SANS ISC melder om en ny type phishing-epost: Brukeren blir ikke spurt om å oppgi sensitiv informasjon som brukernavn og passord, men sendt videre til en nettside med et exploitkit. Dette er laget for å angripe alle de mest kjente nettleserne, samt diverse tredjeparts komponenter som Adobe Flash og Reader.
Referanser
http://isc.sans.org/diary/Phishing+with+obfuscated+javascript+shellcode+and+malware/12700

Anonymous-tilhengere fikk en trojaner med på kjøpet i angrepsverktøyet sitt

Det har vist seg at flere medlemmer og sympatisører av Anonymous, som var delaktige i et DDoS-angrep i 2011, fikk med en trojaner i angrepsverktøyet som ble distribuert til formålet. Verktøyet inneholdt trojaneren Zeus som er kjent for blant annet å høste inn sensitiv informasjon som kredittkortopplysninger, påloggingsinfo og cookies fra nettleseren.
Referanser
http://it.slashdot.org/story/12/03/03/2047225/anonymous-supporters-tricked-into-installing-trojan
http://www.symantec.com/connect/blogs/anonymous-supporters-tricked-installing-zeus-trojan

Google Chrome ute i ny versjon

Google chrome er nå ute i ny versjon. Den inneholder flere sikkerhets- og stabilitetsforbedringer.
Anbefaling
Oppdater til siste versjon.
Referanser
http://googlechromereleases.blogspot.com/2012/03/chrome-stable-update.html

Friday, 2 March 2012

2012.03.02 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.


Thursday, 1 March 2012

2012.03.01 - Nyhetsbrev

F-Secure har publisert sin Mobile Threat Report og Cisco har kommet med sikkerhetsfikser til en rekke av sine produkter.

F-Secure Mobile Threat Report er ute

F-Secure har publisert sin Mobile Threat Report for fjerde kvartal 2011. Den gir en god oversikt over trusselbildet på de største plattformene. I tillegg inneholder den en oversikt over de mest vanlige ondsinnede programmene.
Referanser
http://www.f-secure.com/weblog/archives/00002321.html

Cisco retter feil i 5 produktfamilier.

Cisco har publisert oppdateringer til en rekke produkter. Svakhetene kan blant annet utnyttes til ekstern kodeeksekvering, uautorisert tilgang og tjenestenektangrep. For mer informasjon, se referanse.
Anbefaling
Installer oppdateringer fra produsent
Referanser
http://tools.cisco.com/security/center/publicationListing