Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 31 May 2012

2012.05.31 - Nyhetsbrev

Cisco har sluppet en oppdatering til IOS XR.

Cisco retter feil i IOS XR

Cisco har sluppet en oppdatering til IOS XR. Den retter en sårbarhet som blant annet kan utnyttes for å gi uvedkommende tilgang til å utføre et tjenestenektangrep.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120530-iosxr

Wednesday, 30 May 2012

2012.05.30 - Nyhetsbrev

Nettsidene til Unio, unio.no, ble i går ved flere anledninger utsatt for et tjenestenekt-angrep som tidvis gjorde siden utilgjengelig. Iflg. Unios tekniske leverandør Symfoni, skal 20 millioner infiserte datamaskiner ha deltatt i angrepene. Vi antar imidlertid at det har blitt benyttet forfalskede IP-adresser i disse angrepene, og at det reelle tallet på infiserte datamaskiner som har deltatt derfor er betydelig mindre.

Unios nettsider nede etter hackerangrep

Nettsidene til Unio gikk ned flere ganger i løpet av tirsdagen etter å ha blitt utsatt for hackerangrep. Dette skjer i en periode der Unio er i strek og er veldig avhengig av å publisere nyheter på nettsidene sine. Unios tekniske leverandør, Symfoni, hevder at 20 millioner infiserte datamaskiner står bak angrepene.
Referanser
http://www.aftenposten.no/nyheter/iriks/Hackerangrep-mot-Unios-nettsider-6839098.html

Tuesday, 29 May 2012

2012.05.29 - Nyhetsbrev

Bakdør i microchip fra Actel. Målrettet malware mot Iran og midtøsten.

Actel ProASIC3 - JTAG backdoor

Sikkerhetsanalytikere/forskere har funnet en udokumentert bakdør i en mye brukt microchip kalt Actel ProASIC3 beregnet på militær bruk. Bakdøren gir mulighet til å endre den interne programvaren via en intern debugger. I ytterste konsekvens kan en skru av all intern sikkerhet i brikken og endre krypteringsnøklene.
Referanser
http://www.theregister.co.uk/2012/05/29/silicon_backdoor/
http://www.cl.cam.ac.uk/~sps32/Silicon_scan_draft.pdf

Målrettet malware mot midtøsten: Flame/SkyWiper

Det Iranske CERTet og Crysys Lab har oppdaget målrettet malware rettet mot mål i Iran. Malwaren kalles "Flame" og har også blitt oppdaget i andre land i midtøsten.

Flame inneholder mye kode og er delt opp i flere moduler som blir lastet etter behov. Det har blant annet mulighet for å avlytte rom via innebygde mikrofoner i PCen, avlytte nettverket, sanke inn brukernavn og passord, scanne lagringsmedia etter interessante filer og ta skjermbilder av det brukeren gjør på PCen. Den innsamlede informasjonen blir overført kryptert til en av flere kontroll-tjenere. Kun Microsoft Windows kan bli rammet.

Det er fortsatt ukjent hva slags infeksjonsvektor Flame benytter seg av, men det virker som om infeksjonene har vært målrettede. Antakeligvis er få norske brukere rammet, siden det virker som om Flame er designet for å hente inn informasjon fra mål i midtøsten.

For mer informasjon anbefaler vi Crysys Lab sin 62-sider lange rapport som det er lenket til i referansene.
Referanser
http://www.certcc.ir/index.php?name=news&file=article&sid=1894
http://www.crysys.hu/skywiper/skywiper.pdf
http://www.securelist.com/en/blog/208193522/The_Flame_Questions_and_Answers

Friday, 25 May 2012

2012.05.25 - Nyhetsbrev

Vi har sett at mange norske brukere utsettes for malware via norske nettsteder med kompromitterte OpenX installasjoner.

Malware via norske nettsteder

Vi har den siste tiden sett mange exploitforsøk mot norske og nordiske brukere der brukerne er blitt videresendt fra norske og nordiske nettsteder. Fellesnevneren for de infiserte sidene er at de bruker annonsetjenesten OpenX, og at brukeren utsettes for en exploitkode rettet mot nettleserens Java plugin. Anbefaler alle å oppdatere til siste versjon av Java.
Referanser

Thursday, 24 May 2012

2012.05.24 - Nyhetsbrev

McAfee har sluppet trusselrapport for første kvartal, og Yahoo inkluderte sitt private sertifikat i en utvidelse til Chrome.

McAfee Labs Threat Report for Q1 2012: Threats Gone Wild

McAfee har sluppet sin "Threat Report" for første kvartal 2012.
Referanser
http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2012.pdf

Yahoo Axis Chrome Extension Leaks Private Certificate File

I en utvidelse til Google Chrome har Yahoo ved et uhell inkludert den private sertifikatfilen som brukes til å signere utvidelsene med. Yahoo fjernet umiddelbart utvidelsen og sertifikatet skal være svartlistet.
Referanser
http://nikcub.appspot.com/posts/yahoo-axis-chrome-extension-leaks-private-certificate-file

Wednesday, 23 May 2012

2012.05.23 - Nyhetsbrev

Google vil fra i dag av advare brukere dersom de er infisert av DNS-changer trojaneren. Google har sluppet detaljer rundt et bidrag til Pwnium-konkurransen tidligere i år. Mannen bak trojaneren Bredolab er dømt til fengsel.

Google vil advare brukere om DNSChanger trojaneren

Google vil advare brukere hvis deres maskin viser tegn til å være infisert av DNSChanger trojaneren. Google anslår at det enda er over 500,000 brukere som er infisert. FBI opererer midlertidige DNS-tjenere som blir brukt av de infiserte maskinene, men disse tjenerne kommer til å bli tatt ned den 9. juli og maskiner som enda er infisert vil da miste tilgangen til Internet.

Gitt at infrastrukturen bak DNSChanger ble tatt ned i fjor vil ikke brukere oppleve at søkeresultatene deres blir påvirket av trojaneren, men maskinen vil fremdeles være infisert. DNSChanger trojaneren skrur av anti-virus program på infiserte maskiner og den kan også gjøre annen skade. Google brukte i fjor lignende meldinger for å hjelpe brukere som da var infisert av skremmevare.
Referanser
http://krebsonsecurity.com/2012/05/google-to-warn-500000-of-dns-changer-infections/

Anatomy of a hack: 6 separate bugs needed to bring down Google browser

Google har sluppet detaljer om hvordan en tenåring klarte å bryte sikkerheten i deres Chrome-browser under Pwnium-konkurransen tidligere i år. Google betalte ut $60.000 i premie for det avanserte angrepet.
Referanser
http://arstechnica.com/security/2012/05/anatomy-of-a-hack-6-separate-bugs-needed-to-bring-down-google-browser/
http://blog.chromium.org/2012/05/tale-of-two-pwnies-part-1.html

Bredolab Trojaner bakmann dømt til 4 års fengsel.

Mannen bak Bredolab trojaneren, Georgy Avanesov, ble på tirsdag dømt til 4 års fengsel i Armenia.
Referanser
http://www.azatutyun.am/content/article/24589591.html

Tuesday, 22 May 2012

2012.05.22 - Nyhetsbrev

WHMCS og Bureau of Justice har blitt hacket og interne data sluppet. Versjon 6 av Nmap er ute.

WHMCS hacket. 1.7GB data lekket

WHMCS, som er et fakturerings og support system, har i natt blitt hacket. Hackerne (UGNazi) skal ha fått tilgang til Twitterkontoen til selskapet samt hovedserveren som står for blant annet websidene. Dataene som er tatt skal være hashede passord, kryptert kredittkortinfo samt support-tickets. Alle filene på serveren skal også ha blitt slettet og måtte lastes inn fra backup.
Referanser
http://forum.whmcs.com/showthread.php?t=47644
http://news.softpedia.com/news/UGNazi-Leaks-1-7-GB-of-Data-from-WHMCS-Servers-270914.shtml

Nmap versjon 6 er sluppet

Versjon 6 av det kjente nettverkskartleggings- og sikkerhetstestverktøyet Nmap har blitt sluppet. Forbedringer er blant annet bedre scripting, 289 nye test-scripts, bedre web-scanning, full IPv6-støtte, raskere scanninger og mye mer.
Referanser
http://nmap.org/6

Anonymous hacks Bureau of Justice, leaks 1.7GB of data

Anonymous har hacket "Bureau of Justice" i USA og har lekket 1.7GB med data til The Pirate Bay.
Referanser
http://www.zdnet.com/blog/security/anonymous-hacks-bureau-of-justice-leaks-17gb-of-data/12260

Monday, 21 May 2012

2012.05.21 - Nyhetsbrev

I løpet av helgen har det vært DDoS-angrep mot NATO og flere indiske websider.

Anonymous har tatt ned NATOs nettside og fortsetter angrepene mot indiske nettsider.

Anonymous har i løpet av helgen tatt ned websidene til Nato.

De har også tatt ned det indiske nasjonale CERTet og Reliance Big Entertainment. Angrepene er en fortsettelse av kampanjen mot India som ble startet torsdag med bakgrunn i at India har blokkert ulike nettsider som f.eks Pirate Bay og Vimeo.
Referanser
http://www.cyberwarnews.info/2012/05/20/nato-taken-offline-by-anonymous
http://www.theregister.co.uk/2012/05/21/india_anonymous_cert_ddos/

Friday, 18 May 2012

2012.05.18 - Nyhetsbrev

Apple har sluppet viktige oppdateringer til Quicktime, og Cisco har sluppet oppdateringer til Adaptive Security Appliance Software 7 og 8.

Cisco retter feil i Adaptive Security Appliance Software 7 og 8

Cisco har sluppet en oppdatering til Adaptive Security Appliance Software 7 og 8. Den retter en sårbarhet som blant annet kan utnyttes for å gi uvedkommende tilgang til systemene og til å eksekvere kode.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120314-asaclient

Apple QuickTime Multiple Vulnerabilities

Det har blitt påvist en rekke alvorlige svakheter i Quicktime. De meste alvorlige kan utnyttes til å få kjørt vilkårlig kode fra ekstern hold.
Anbefaling
Oppdater til versjon 7.7.2.
Referanser
http://www.secunia.com/advisories/47447
http://lists.apple.com/archives/security-announce/2012/May/msg00005.html

Wednesday, 16 May 2012

2012.05.16 - Nyhetsbrev

Google Chrome er ute i ny versjon. Ellers har det vært et rolig døgn.

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen dekker en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse
Anbefaling
Oppdater til nyeste versjon
Referanser
http://googlechromereleases.blogspot.com/2012/05/stable-channel-update.html

Tuesday, 15 May 2012

2012.05.15 - Nyhetsbrev

Intervju med en botnet-operatør. F-Secure har sluppet rapport om malware på mobile enheter. Systematisk kompromittering av politiske websider.

Intervju med malware-skriver og botnet-operatør

Reddit har et "intervju" med en cyberkriminell som tjener penger på å skrive malware og kontrollere sitt eget botnet. Personen kommer tilsynelatende fra Europa og er student. Han har utviklet mye av programvaren han bruker selv. Blant annet har han laget et eget root-kit og botnettet hans kommuniserer kryptert inne i anonymiseringsnettverket Tor.

Han kompromitterer for det meste maskiner ved å legge malware inn i crackede programmer. Ofrene blir utnyttet ved at han bruker maskinressurser til å generere bitcoins. Han stjeler også kredittkortinformasjon og selger videre til tredjeparter.

Bakmannen kommer også med mange råd om hvordan en kan unngå å bli infisert og meldt inn i et botnett.
Referanser
http://www.reddit.com/r/IAmA/comments/sq7cy/iama_a_malware_coder_and_botnet_operator_ama/

F-Secure Mobile Threat Report Q1 2012

F-Secure har sluppet sin rapport om malware på mobile enheter for første kvartal.
Referanser
http://www.f-secure.com/weblog/archives/00002363.html

Cyber Espionage & Strategic Web Compromises

Shadowserver har skrevet en interessant blogpost om hvordan websidene til politiske organisasjoner systematisk kompromitteres for å spionere på besøkende.
Referanser
http://blog.shadowserver.org/2012/05/15/cyber-espionage-strategic-web-compromises-trusted-websites-serving-dangerous-results/

Monday, 14 May 2012

2012.05.14 - Nyhetsbrev

Hackere skal ha stjålet bitcoins til en verdi av 87,000 USD fra firmaet Bitcoinica.

Det er oppdaget en alvorlig svakhet i Opera.

Bitcoins verdt 87,000 USD stjålet

Hackere har stjålet 18547 Bitcoins, verdsatt til 87,000 USD, fra firmaet Bitcoinica. I Mars skrev vi om en lignende sak der kunder hos Linode hadde blitt frastjålet Bitcoins. I en uttalelse fra Bitcoinica kommer det frem at det er en veldig liten fraksjon av deres totale mengde Bitcoins og at angrepet ikke vil ha noen innvirkning på kundene deres. Bitcoinica er et firma som driver en "exchange" for bitcoins. En kan altså veksle dem i vanlige penger.
Referanser
http://arstechnica.com/uncategorized/2012/05/bitcoins-worth-87000-plundered/

Opera URL Parsing Code Execution Vulnerability

Det har blitt påvist en alvorlig svakhet i nettleseren Opera. Svakheten kan utnyttes til å få kjørt vilkårlig kode fra eksternt hold, og er relatert til håndtering/parsing av URL'er.
Anbefaling
Oppdatèr til versjon 11.64.
Referanser
http://www.secunia.com/advisories/49081
http://www.opera.com/support/kb/view/1016/

Friday, 11 May 2012

2012.05.11 - Nyhetsbrev

VG har en artikkel om de siste ukenes DDOS angrep mot norske virksomheter.

VG artikkel om siste tids DDOS angrep

VG Nett har en artikkel om DDoS-angrepene som har rammet flere
norske virksomheter de siste ukene. Bakmennene har nå vært inne til
avhør hos politiet.
Referanser
http://www.vg.no/nyheter/innenriks/artikkel.php?artid=10070375

Thursday, 10 May 2012

2012.05.10 - Nyhetsbrev

Kripos har pågrepet og siktet to personer for å være delaktige i DDoS-angrep. Apple lanserer ny versjon av Safari, OSX Lion 10.7.4 og retter sårbarheter i OSX Snow Leopard.

Pågripelser etter DDoS mot norske nettsteder

Kripos har pågrepet og siktet to personer for å være delaktige i DDoS-angrepene som har rammet bl.a. flere store, norske nettsteder de siste ukene, deriblant Norsk Tipping, DNB og Itavisen.no.
Referanser
https://www.politi.no/kripos/
http://www.digi.no/895300/to-paagrepet-etter-ddos

Apple lanserer Safari 5.1.7

Apple lanserer ny versjon av Safari. Noe bugfiks og retting av sikkerhetssårbarheter i WebKit.
Referanser
http://support.apple.com/kb/DL1531

Apple lanserer Lion Update 10.7.4 (Klient)

Apple lanserer Lion 10.7.4 og sikkerhetsoppdatering 2012-002.
Referanser
http://support.apple.com/kb/DL1525

Apple retter flere svakheter i OSX Snow Leopard og Lion

Apple har sluppet oppdateringer for OSX Snow Leopard og Lion. Den inneholder 26 feilrettinger, blant annet for feilen i FileVault som førte til at passord ble lagret i klartekst. enkelte av feilrettingene omfatter kun noen av OS X versjonene.
Anbefaling
Installer oppdateringer fra produsent.
Referanser
http://support.apple.com/kb/HT5167
http://support.apple.com/kb/HT5281

Wednesday, 9 May 2012

2012.05.09 - Nyhetsbrev

Microsoft er ute med månedens oppdateringer, og fordeler seg over 7 bulletins, hvorav 3 rangeres som kritiske av Microsoft. Totalt 22 ulike svakheter. Videre oppdaterer Adobe en rekke av sine produkter og PHP er ute i ny versjon som fikser to alvorlige svakheter.

PHP 5.3.4 og PHP 5.3.13 er ute

Nye versjoner av PHP (5.3.13 og 5.4.3) har blitt sluppet. De nye versjonene fikser to svakheter, der den mest alvorlige svakheten kan gi en angriper muligheten til å eksekvere vilkårlig kode på et utsatt system. Den ene er cgi-parameter-svakheten som de forsøkte å fikse 3. mai, men der fiksen ikke fungerte i alle tilfeller.
Referanser
http://www.php.net/archive/2012.php#id2012-05-08-1

Vulnerability in Microsoft Word Could Allow Remote Code Execution (2680352) (MS12-029)

Oppdateringen dekker en svakhet i Microsoft Word og Microsoft Office som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet 'RTF'-fil. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/MS12-029

Combined Security Update for Microsoft Office, Windows, .NET Framework, and Silverlight (2681578) (MS12-034)

Oppdateringen dekker ti ulike svakheter i Microsoft Office, Microsoft Windows, Microsoft .NET Framework og Microsoft Silverlight. Oppdateringen fikser 9 ulike svakheter som Microsoft selv rangerer exploitability index til 1, som betyr at Microsoft mener at det er mulig å lage stabil exploitkode for svakhetene.

Det er fikset to svakheter i forbindelse med håndtering av TrueType fonter. Svakhetene kan føre til ekstern kodeeksekvering dersom en bruker åpner et spesialdesignet dokument eller besøker en ondsinnet nettside med 'TrueType'-filer innebygd i siden. En vanlig angrepsvektor vil kunne være å sende et slikt dokument per epost eller lure en bruker til å besøke en slik nettside.

Det er fikset to svakheter i .NET rammeverket, der den mest alvorlige skal gjøre det mulig å få kjørt vilkårlig kode med rettigheter som den påloggede brukeren. Svakheten skal kunne utnyttes ved hjelp av nettsider med spesielt utformede XBAPs (XAML browser applications).

Det er fikset to svakheter i GDI+ i forbindelse med håndteringen av EMF bilder. Begge svakhetene skal gjøre det mulig å få kjørt vilkårlig kode med samme rettigheter som den påloggede brukeren. Typiske angrepsvektorer vil kunne være spesielt utformede nettsider eller Office-dokumenter.

Det er fikset en alvorlig svakhet i Silverlight som gjør det mulig å få kjørt vilkårlig kode med samme rettigheter som den innloggede brukeren. Typisk angrepsvekter vil være en spesielt utformet nettside som utnytter svakheten.

Det er fikset 3 ulike svakheter i Windows kernel-mode driver, som gjør det mulig å tilegne seg eleverte rettigheter.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-034

Vulnerabilities in .NET Framework Could Allow Remote Code Execution (2693777) (MS12-035)

Oppdateringen dekker to svakheter i Microsoft .NET Framework. Den mest alvorlige svakheten kan føre til ekstern kodeeksekvering dersom en bruker besøker en spesialdesignet nettside med en nettleser som kan kjøre XAML-applikasjoner.
Anbefaling
Oppdater produktet
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-035

Vulnerability in Microsoft Visio Viewer 2010 Could Allow Remote Code Execution (2597981) (MS12-031)

Oppdateringen fikser en svakhet i Microsoft Visio Viewer som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet Visio-fil. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater produktet
Referanser
http://technet.microsoft.com/en-us/security/bulletin/MS12-031

Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (2663830) (MS12-030)

Oppdateringen dekker seks svakheter i Microsoft Office som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet Office-fil. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som en lokal bruker.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-030

Adobe oppdaterer flere produkter

Adobe har kommet med oppdateringer til Adobe Illustrator, Photoshop, Flash Professional og Shockwave Player. Oppdateringene retter flere svakheter der de mest alvorlige ville gjøre det mulig for en angriper å ta kontroll over en sårbar maskin.
Anbefaling
Oppdater produktene
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-10.html
http://www.adobe.com/support/security/bulletins/apsb12-11.html
http://www.adobe.com/support/security/bulletins/apsb12-12.html
http://www.adobe.com/support/security/bulletins/apsb12-13.html

Vulnerability in TCP/IP Could Allow Elevation of Privilege (2688338) (MS12-032)

Oppdateringen dekker to svakheter i Microsoft Windows, der den mest alvorlige kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering, dersom angriperen logger seg på et system og kjører en spesialdesignet applikasjon. Svakhetene skal være relatert til måten Windows Firewall håndterer utgående broadcast pakker, samt måten ipv6 adresser bindes til lokale interface.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-032

Vulnerability in Windows Partition Manager Could Allow Elevation of Privilege (2690533) (MS12-033)

Oppdateringen dekker en svakhet i Microsoft Windows som kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering dersom angriperen logger seg på et system og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må en angriper ha gyldig påloggingsinformasjon. Svakheten skal skyldes en feil ved måten Windows Partition Manager allokerer objekter i minne.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-033

Tuesday, 8 May 2012

2012.05.08 - Nyhetsbrev

Apple har sluppet iOS 5.5.1. Anonymous navngir angivelig flere av personene bak DotNetFuckers. Troy Hunt har publisert et intervju med person bak de falske oppringingene fra "Microsoft Support".

Apple slipper iOS 5.1.1

Apple har sluppet versjon 5.1.1 av iOS til iPhone og iPad. Denne oppdateringen rekker flere sårbarheter. Den mest alvorlige kan la angripere kjøre vilkårlig kode på en enhet dersom brukeren besøker en fiendtlig side. Det anbefales å oppdatere så fort som mulig.
Referanser
http://support.apple.com/kb/HT5278

Anonymous Norge navngir personer de mener står bak DotNetFuckers

Anonymous Norge har lagt ut opplysninger rundt fire av personene bak DotNetFuckers; gruppen som angivelig står bak en rekke tjenestenekt-angrep mot flere norske nettsider som ITavisen, Digi, PST, Norsk Tipping osv. Anonymous forteller også at de jobber med å identifisere de resterende medlemmene og vil oppdatere dokumentet så fort som mulig. Det ble også lagt ut et lydopptak med samtale med én av de navngitte personene.

DotNetFuckers skal bestå av en gruppe tenåringer med liten datakompetanse. De skal ha kjøpt et botnet bestående av rundt 1000 maskiner som de har brukt til tjenestenekt-angrepene. I tillegg skal de ha brukt et verktøy kalt "NightLight" som de påstår å ha laget selv.
Referanser
http://www.itavisen.no/895166/disse-staar-bak-angrepene

Intervju med person bak "Microsoft Support"-oppringingene

Troy Hunt har publisert et intervju med mannen bak firmaet Comantra. Dette firmaet står antageligvis bak mange av de falske oppringingene fra "Microsoft Support" som rammer mennesker i hele verden.

Selskapet ringer opp tilfeldige personer og overbeviser dem om at PCen deres er infisert av virus. De blir deretter lurt til å betale for progamvare som skal rydde opp på PCen, men programvaren er ubrukelig.
Referanser
http://www.troyhunt.com/2012/05/interview-with-man-behind-comantra-cold.html

Monday, 7 May 2012

2012.05.07 - Nyhetsbrev

NorCERT har gitt ut sin kvartalsvise rapport. Apple sin FileVault applikasjon eksponerer brukernes passord etter oppdatering. VMware fikser flere svakheter i en rekke av deres produkter og Adobe har gitt ut en ny versjon av Flash Player.

NorCERT har lagt ut sin første kvartalsrapport for 2012

NorCERT sin kvartalsvise rapport er lagt ut. Nettaktivisme beskrives som en økende trend og de har observert flere forsøk på spionasje mot norske bedrifter. Se referanse for å laste ned rapporten.
Referanser
https://www.nsm.stat.no/Aktuelt/Nytt-fra-NSM/Framleis-dataspionasje-mot-Noreg/

VMWare retter svakheter i flere produkter

VMWare har publisert informasjon rundt en rekke svakheter i flere produkter. Samtlige svakheter kan utnyttes til å krasje virtuelle maskiner og potensielt føre til uautorisert kodeeksekvering.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0009.html

Adobe Flash Player oppdateres

Adobe har sluppet en oppdatering til Flash Player. Den retter en svakhet som i verste fall kan gi en angriper mulighet til å eksekvere kode på utsatte systemer. Det har blitt rapportert at det allerede eksisterer skadelig programvare som utnytter denne svakheten.
Anbefaling
Installer oppdatering fra leverandør.
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-09.html

Apple logger passord i klartekst

Det er oppdaget en svakhet i FileVault applikasjonen i Mac OS X Lion, versjon 10.7.3. Denne sårbarheten gjelder kun dem som oppdaterte fra Snow Leopard. Etter oppdateringen aktiveres en debug-funksjon i FileVault som muliggjør logging av passord i klartekst til en loggfil lokalt på maskinen.
Anbefaling
Det anbefales å slå av FileVault og dermed oppdatere til FileVault2.
Referanser
http://news.cnet.com/8301-1009_3-57428748-83/mac-os-x-login-passwords-put-at-risk/

Friday, 4 May 2012

2012.05.04 - Nyhetsbrev

Det er sluppet oppdateringer til PHP som fikser en kritisk svakhet i forbindelse med CGI script. Microsoft har sluppet sin advance notification og navngir kilden til lekkasjen rundt MS12-020.

PHP 5.3.12 og PHP 5.4.2 er ute

Nye versjoner av PHP (5.3.12 og 5.4.2) har blitt sluppet. De fikser en alvorlig svakhet vedrørende CGI script som kan gi uvedkommende tilgang til å sende kommandolinje parametre til PHP. Det kan blant annet gjøre det mulig å få vist kildekoden til php-baserte CGI script ved å sende med -s. Webservere som kjører PHP som CGI script er potensielt sårbare. Svakheten kan ikke utnyttes på systemer som kjører Apache med mod_php eller Nginx med php-fpm.
Referanser
http://www.php.net/archive/2012.php#id2012-05-03-1
http://ompldr.org/vZGxxaQ
http://www.kb.cert.org/vuls/id/520827

Microsoft Security Bulletin Advance Notification for may 2012

Microsoft har publisert listen over oppdateringer for mai. Den inneholder 7 sikkerhetsoppdateringer, hvorav 3 er angitt som kritiske. Alle versjoner av Windows er omfattet. I tillegg er også Office, Office for Mac, Silverlight og .NET Framework rammet.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-may

Microsoft navngir kilden til lekkasjen rundt MS12-020

Microsoft har i en bloggpost kunngjort at det kinesiske selskapet Hangzhou DPTech Technologies Co., Ltd. har brutt retningslinjene for deltagelse i Microsoft Active Protections Program. Samarbeidet med dette selskapet har derfor blitt avsluttet. ifølge threatpost.com har dette sammenheng med lekasjen rundt svakheten i RDP tidligere i år.
Referanser
http://blogs.technet.com/b/msrc/archive/2012/05/03/mapp-update-taking-action-to-decrease-risk-of-information-disclosure.aspx
http://threatpost.com/en_us/blogs/microsoft-names-chinese-firm-hangzhou-dptech-source-rdp-code-leak-050312

Thursday, 3 May 2012

2012.05.03 - Nyhetsbrev

Svakhet i Citrix Provisioning Services. OpenX lover oppdatering til annonsesystemet sitt. Android-enheter blir servert malware fra kompromitterte websider.

OpenX lover oppdatering til annonse-systemet sitt

Krebs on Security har en interessant artikkel om en svakhet i OpenX-systemet. Svakheten er av typen cross-site request forgery (CSRF) og kan muligens forklare hvorfor mange annonse-servere av typen OpenX har servert malware sammen med reklame i det siste. Flere norske nettsider har også vært rammet av dette.

Svakheten har gjort det mulig for angripere å opprette nye administrator-kontoer på systemet. Det er også en teori om at OpenX egne servere er kompromittert og brukes til å utføre angrepet når legitime administratorer besøker deres sider.

OpenX lover å komme med en oppdatering mandag eller tisdag neste uke. Bloggen inneholder også en lenke til konfigurasjonsendringer en kan gjøre i mellomtiden for å minimere risikoen for kompromittering.
Referanser
http://krebsonsecurity.com/2012/05/openx-promises-fix-for-rogue-ads-bug/

Kompromitterte web-sider serverer Android-malware

Antivirus-selskapet Lookout melder at kompromitterte web-sider prøver å få besøkende til å installere en Android-app. Dersom web-siden blir besøkt fra en Android-enhet, blir en .apk-fil forsøkt nedlastet. Android-telefoner kan normalt bare installere apps fra Android market, men dersom brukeren har tillatt installasjon fra andre kilder, vil han få opp en installasjons-dialog. Det brukes ikke en exploit for å installere appen.

Appen som lastes ned fungerer som en proxy og kan gi uvedkommende tilgang til nettverk som enheten er tilkoblet.
Referanser
http://blog.mylookout.com/blog/2012/05/02/security-alert-hacked-websites-serve-suspicious-android-apps-noncompatible/

Citrix Provisioning Services Code Execution Vulnerability

Det har blitt påvist en svakhet i Citrix Provisioning Services, som kan utnyttes til å få kjørt vilkårlig kode. Citrix har sluppet en hotfix som utbedrer problemet.
Anbefaling
Installèr hotfix: http://support.citrix.com/article/CTX133039
Referanser
http://www.secunia.com/advisories/48971
http://support.citrix.com/article/CTX133039

Wednesday, 2 May 2012

2012.05.02 - Nyhetsbrev

Oracle har sluppet en workaround til en svakhet i TNS listener. Google Chrome er ute i ny versjon.

Offisiell workaround fra Oracle til svakhet i TNS listener

Oracle har nå sluppet en workaround til svakheten i TNS listener omtalt i vårt nyhetsbrev forrige uke. Svakheten gjorde det mulig for en angriper å lytte på og ta over sesjoner mellom databaseklient og server uten autentisering. Se referanse for mer informasjon.
Referanser
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html

Google Chrome ute med en ny oppdatering

Nettleseren Google Chrome er ute i ny versjon. Denne fikser flere svakheter og det kan derfor være lurt å oppdatere.
Anbefaling
Oppdater til nyeste versjon
Referanser
http://googlechromereleases.blogspot.com/2012/04/stable-channel-update_30.html