Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 29 June 2012

2012.06.29 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Thursday, 28 June 2012

2012.06.28 - Nyhetsbrev

Ny funksjonalitet for OS X åpner for stille automatisk utrulling av sikkerhetspatcher. Det har blitt publisert 19 nye svakheter i Google Chrome. Cisco WebEx Player inneholder en svakhet som åpner for eksekvering av kode. En svakhet i IBM Cognos åpner også for ekstern kode eksekvering.

Automatisk skjult sikkerhetsoppdateringer til OS X

I siste oppdatering til Mountain Lion Developer Preview, installeres en "OS X Security Update Test 1.0". Denne åpner opp for automatisk stille utrulling av sikkerhetspatcher.
Referanser
http://www.zdnet.com/blog/security/silent-security-updates-coming-to-apples-os-x-mountain-lion/12603

IBM Cognos tm1admsd.exe Multiple Operations Remote Code Execution Vulnerabilities

Angripere kan eksekvere kode hos brukeren uten å ha autorisasjon fra brukeren.
Anbefaling
Opptater produktet.
Referanser
http://www.zerodayinitiative.com/advisories/ZDI-12-101

Cisco Security Advisory: Buffer Overflow Vulnerabilities in the Cisco WebEx Player

Angriper kan eksekvere kode hos brukeren.
Anbefaling
Opptater produktet
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120627-webex

Google Chrome Multiple Vulnerabilities

Det har blitt påvist 19 svakheter av varierende alvorlighetsgrad i Google Chrome.
Anbefaling
Oppgradèr til versjon 20.0.1132.43.
Referanser
http://googlechromereleases.blogspot.com/2012/06/stable-channel-update_26.html

Wednesday, 27 June 2012

2012.06.27 - Nyhetsbrev

450 millioner stjålet i et Hackerangrep. Nordmann tatt for hacking og distribusjon av kredittkortinformasjon.

450 millioner stjålet i hackerangrep

I går meldte vi om tyverier fra nettbankkunder i Nederland. Det viser seg at saken også har rammet flere andre land.

Angriperne har benyttet seg av tradisjonelle bank-trojanere som Spyeye og Zeus men har automatisert prosessen med å svindle kundene. Dette har gjort at de har kunnet svindle svært mange brukere for små beløper.

Nytt i denne "kampanjen" er også at angriperne har klart å omgå sikkerheten som ligger i bruk av smartkort og kortterminaler tilkoblet bankkundenes PCer. Noen europeiske banker bruker slike systemer, men til lite nytte.

MCaffee har sluppet en rapport om saken.
Referanser
http://www.aftenposten.no/okonomi/450-millioner-stjalet-i-hackerangrep-6912041.html
http://www.mcafee.com/us/resources/reports/rp-operation-high-roller.pdf

Nordmann tatt av FBI

En nordmann er tatt for hacking og videresalg/bruk av kredittkortinformasjon. Han skal ha tilegnet seg informasjonen via databaser som tilhørte en bank, et hotell og nettbutikker.
Referanser
http://www.nrk.no/nyheter/verden/1.8223085

Tuesday, 26 June 2012

2012.06.26 - Nyhetsbrev

Forskere har oppdaget en svakhet i kryptobrikke fra RSA. Tusenvis av bankkunder i Belgia har blitt frastjålet penger.

RSA SecurID 800 kodebrikke usikker

Forskere har klart å hente ut den private nøkkelen fra RSA SecurID 800 kodebrikker. Angrepet tar rundt 13 minutter å utføre. Kodebrikker av denne typen blir f.eks brukt til å krypterte harddisker, signere e-post og logge inn i bedrifters interne nettverk via VPN-tunneler.

Forskerne skal offentliggjøre sine funn på Crypto 2012-konferansen i August.
Referanser
http://arstechnica.com/security/2012/06/securid-crypto-attack-steals-keys/

Over 10.000 belgiske bankkunder frastjålet penger

Kunder av fem belgiske banker har blitt rammet av trojanere. Tyvene har overført mellom 200 og 300 euro fra hvert offer og fått mellommenn til å overføre pengene videre. Det dreier seg altså om flere millioner euro.
Referanser
http://isc.sans.edu/diary.html?storyid=13555
http://www.standaard.be/artikel/detail.aspx?artikelid=DMF20120625_135

Monday, 25 June 2012

2012.06.25 - Nyhetsbrev

En rolig helg!

Det er ingen nye saker siden sist.


Friday, 22 June 2012

2012.06.22 - Nyhetsbrev

Det er oppdaget en sårbarhet i Apples Quicktime. AOL har oppdatert sin browser toolbar, pga en sårbarhet. En sårbarhet i DataDirect OpenAccess er patchet.

Apple Quicktime TeXML transform Attribute Remote Code Execution Vulnerability

Angriper kan eksekvere kode hos brukere som har sårbare versjoner av Apple Quicktime. Denne sårbarheten krever brukerinteraksjon ved at bruker enten besøker en ondsinnet webside eller åpner en ondsinnet fil.
Anbefaling
Oppdater produktet
Referanser
http://www.zerodayinitiative.com/advisories/ZDI-12-095

AOL Products dnUpdater ActiveX Uninitialized Pointer Remote Code Execution Vulnerability

Angripere kan eksekvere kode hos brukere som har sårbare versjoner av AOL produkter. Disse sårbarhetene krever brukerinteraksjon ved at bruker enten besøker en ondsinnet webside eller åpner en ondsinnet fil.
Anbefaling
Oppdater produktene
Referanser
http://www.zerodayinitiative.com/advisories/ZDI-12-098

DataDirect OpenAccess oaagent.exe GIOP Remote Code Execution Vulnerability

Sårbarheten tillater at angripere kan eksekvere kode på sårbare installasjoner av DataDirect Sequelink.
Anbefaling
Oppdater produktene,
Referanser
http://www.zerodayinitiative.com/advisories/ZDI-12-099

Thursday, 21 June 2012

2012.06.21 - Nyhetsbrev

Cisco er ute med en oppdatering til VPN-klienten AnyConnect Secure Mobility Client.
I tillegg melder flere om aktiv utnyttelse av Microsofts XML Core svakhet.

Cisco retter svakheter i AnyConnect Secure Mobility Client

Cisco har publisert en oppdatering til VPN-klienten AnyConnect Secure Mobility Client. Den retter flere svakheter, som blant annet kan utnyttes av en angriper til å installere eldre versjoner av VPN-klienten, eksekvere kode og tilgang til sesjonsdata fra brukerens nettleser. Svakheten eksisterer på plattformene Windows, OS X og Linux, men mobile plattformer som iOS og Android er ikke rammet.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120620-ac

Upatchet svakhet utnyttes mot Internet Explorer

Svakheten vedrørende Microsoft XML Core Services, som vi har skrevet om tidligere, blir nå aktivt utnyttet. Både Symantec og Naked Security skriver om detaljene, men kort fortalt trenger du bare besøk en webside med Internet Explorer for å bli tatt.
Anbefaling
Følg anbefalingen fra Microsoft: http://support.microsoft.com/kb/2719615
Referanser
http://www.symantec.com/connect/blogs/cve-2012-1889-action
http://nakedsecurity.sophos.com/2012/06/19/unpatched-microsoft-security-vulnerability-exploited/
http://support.microsoft.com/kb/2719615

Wednesday, 20 June 2012

2012.06.20 - Nyhetsbrev

The Washington Post har publisert en interessant artikkel om Flame og dets rolle og opphav.

Bakgrunnsinfo om Flame fra The Washington Post.

The Washington Post har en lengre artikkel rundt Flame og dets rolle i cyberangrepene mot Iran's atomanlegg. Iflg. artikkelen har Flame sitt utspring i et Israelsk-amerikansk samarbeid hvis hensikt er å forsinke Iran's atomprogram.
Referanser
http://www.washingtonpost.com/world/national-security/us-israel-developed-computer-virus-to-slow-iranian-nuclear-efforts-officials-say/2012/06/19/gJQA6xBPoV_story_1.html

Tuesday, 19 June 2012

2012.06.19 - Nyhetsbrev

Exploit mot Internet Explorer utnyttes aktivt.

Svakhet i Internet Explorer utnyttes aktivt

En exploit mot en av svakhetene som ble patchet av Microsoft sist uke blir nå aktivt utnyttet. Brukere av Internet Explorer får installert malware når de besøker infiserte websider.

Exploiten har også blitt lagt inn i rammeverket Metasploit.
Referanser
http://nakedsecurity.sophos.com/2012/06/19/ie-remote-code-execution-vulnerability-being-actively-exploited-in-the-wild/

Monday, 18 June 2012

2012.06.18 - Nyhetsbrev

CareFusion, en amerikanske produsent av medisinsk utstyr har spredt malware i forbindelse med websidene for oppdatering av blant annet respiratorer. Man frykter konsekvensene dersom kritisk medisinsk utstyr blir infisert.
Nye versjoner av PHP er sluppet som retter en svakhet i crypt-funksjonen.
Oracle melder at E-Business Suite er inkompatibel med Java 7 og anbefaler brukere å slå av auto-oppdatering.

PHP 5.3.14 og PHP 5.4.4 er ute

Nye versjoner av PHP (5.3.14 og 5.4.4) har blitt sluppet. De retter en svakhet i crypt-funksjonen vedrørende implementeringen av DES. De inneholder i tillegg en rekke mindre feilrettinger.
Referanser
http://www.php.net/archive/2012.php#id2012-06-14-1

Oracle anbefaler brukere av EBS til å deaktivere autooppdatering av Java

Oracle har gått ut med en anbefaling til brukere av EBS (E-Business Suite) om å deaktivere auto-oppdatering av Java. Dette fordi det er problemer med Java 7 som gjør det inkompatibelt med EBS. Det er ikke kjent når problemene vil være fikset.
Referanser
https://blogs.oracle.com/stevenChan/entry/bulletin_disable_jre_auto_update

CareFusion har servert malware til brukerne av dere oppdateringstjeneste

Det har blitt oppdaget at oppdateringstjenesten til CareFusion Inc. har servert brukere malware. CareFusion Inc.er en amerikansk produsent av medisinsk utstyr og den infiserte tjenesten har adressen Viasyshealthcare.com. Det var gjennom en skanning utført av Googles Safe Browsing program som oppdaget dette og det er anslått at omtrent 6 % av alle sidene var infisert. En talsmann for CareFusion har uttalt at de undersøker saken og at de midlertidig har fjernet de berørte oppdateringene.
Referanser
http://threatpost.com.mx/en_us/blogs/software-update-site-hospital-respirators-found-riddled-malware-061412

Friday, 15 June 2012

2012.06.15 - Nyhetsbrev

VMWare har sluppet oppdateringer til en rekke av sine produkter.

VMWare oppdaterer flere produkter

VMWare har sluppet oppdateringer til for ESX, ESXi, Workstation, Fusion og Player. Oppdateringene retter en sårbarhet i valideringen av Checkpoint-filer, noe som kan gi uvedkommende mulighet til å eksekvere kode på vertmaskinen.
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0011.html

Thursday, 14 June 2012

2012.06.14 - Nyhetsbrev

Apple oppdaterer Java for OSX, og Microsoft har publisert informasjon rundt en sårbarhet i XML Core Services (MSXML).

Apple oppdaterer Java for OSX

Apple oppdaterer Java for OSX 10.6.8 og OSX Lion 10.7.4. Dette er den samme oppdateringen som Oracle nettopp har publisert for andre plattformer.
Referanser
http://support.apple.com/kb/HT5319

Sårbarhet i Microsoft XML Core Services

Microsoft har publisert informasjon rundt en sårbarhet i XML Core Services (MSXML) som kan gi en angriper mulighet til å utføre ekstern kodeeksekvering. Sårbarheten utnyttes ved at en bruker lures til å åpne en spesialdesignet nettside i Internet Explorer. Microsoft jobber med å utvikle en patch til denne sårbarheten.
Anbefaling
Følg anbefalinger fra produsent.
Referanser
http://technet.microsoft.com/en-us/security/advisory/2719615

Wednesday, 13 June 2012

2012.06.13 - Nyhetsbrev

Mange og alvorlige sikkerhetsoppdateringer fra Microsoft, Oracle, Adobe og Symantec.
Microsoft svakhetene omfatter RDP, Internet Explorer, .NET rammeverket, Lync, Dynamisk AE Enterprise portal og flere kjerne modul svakheter. Mange av disse kan misbrukes ved å lokke brukeren inn på en webside med spesialkode.
Symantec patcher sin Web Gateway, mens Adobe oppdatere en svakhet i ColdFusion.
Oracle har sluppet sin kvartalsvise oppdateringspakke til Java SE. Denne dekker 14 sårbarheter hvor 12 er kritiske og kan utnyttes fra eksternt hold.

Oracle gir ut nye oppdateringer for Java SE

Oracle har sluppet sin kvartalsvise oppdateringspakke for Java SE. Oppdateringen dekker 14 sårbarheter i flere Java SE produkter. 12 av svakhetene blir regnet som kritiske av Oracle og kan bli utnyttet fra eksternt hold. For fullstendig liste over sårbarheter, se referanse.
Referanser
http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html

Vulnerability in Remote Desktop Could Allow Remote Code Execution (2685939) (MS12-036)

Oppdateringen dekker en svakhet i "Remote Desktop"-protokollen som kan føre til ekstern kodeeksekvering dersom en angriper sender en spesialdesignet "RDP"-pakke til et system. Denne protokollen er som standard ikke aktivert og systemer som ikke har den aktivert er ikke sårbare.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/MS12-036

Vulnerability in .NET Framework Could Allow Remote Code Execution (2706726) (MS12-038)

Oppdateringen fikser en svakhet i Microsoft .NET Framework som kan føre til ekstern kodeeksekvering dersom en bruker besøker en spesialdesignet nettside med en nettleser som kan kjøre XAML-applikasjoner. Svakheten kan i tillegg bli brukt til å omgå CAS (Code Access Security) sikkerhetsrestriksjoner.
Anbefaling
Oppdater Microsoft .NET Framework
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-038

Cumulative Security Update for Internet Explorer (2699988) (MS12-037)

Oppdateringen fikser 13 svakheter i Internet Explorer. De mest alvorlige svakhetene kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Internet Explorer
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-037

Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2711167) (MS12-042)

Oppdateringen dekker to svakheter i Microsoft Windows som kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering dersom angriperen logger seg på et system og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må en angriper ha gyldig påloggingsinformasjon.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/MS12-042

Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Elevation of Privilege (2709162) (MS12-041)

Oppdateringen fikser fem svakheter i Microsoft Windows, der den mest alvorlige kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering ved å logge seg på et system og kjører en spesialdesignet applikasjon.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-041

Vulnerability in Microsoft Dynamics AX Enterprise Portal Could Allow Elevation of Privilege (2709100) (MS12-040)

Oppdateringen fikser en svakhet i Microsoft Dynamics AX Enterprise Portal som kan føre til rettighetseskalering dersom en bruker åpner en spesialdesignet URL eller besøker en spesialdesignet nettside.
Anbefaling
Oppdater Microsoft Dynamics AX 2012 Enterprise Portal
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-040

Vulnerabilities in Lync Could Allow Remote Code Execution (2707956) (MS12-039)

Oppdateringen fikser fire svakheter i Microsoft Lync. Den mest alvorlige svakheten kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker åpner en fil som inneholder en spesialdesignet "TrueType"-font.
Anbefaling
Oppdater Microsoft Lync
Referanser
http://technet.microsoft.com/en-us/security/bulletin/MS12-039

Symantec oppdaterer Web Gateway

Symantec har publisert Web Gateway 5.0.3. Flere sårbarheter har blitt rettet. Dette er sårbarheter som blant annet kan gi uvedkommende mulighet til å utføre ekstern kodeeksekvering og det har tidligere blitt publisert eksempler fungerende angrep.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://www.symantec.com/business/support/index?page=content&id=DOC5610
http://www.h-online.com/security/news/item/Multiple-vulnerabilities-in-Symantec-Web-Gateway-eliminated-1616463.html

Adobe oppdaterer ColdFusion

Adobe har sluppet en oppdatering til ColdFusion. Den retter en svakhet i håndteringen av HTTP-forespørsler. Adobe har ikke gått ut med mer konkret informasjon rundt denne svakheten.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-15.html

Tuesday, 12 June 2012

2012.06.12 - Nyhetsbrev

Forskere ved Kaspersky hevder å ha funnet en sammenkobling mellom Flame og Stuxnet.

Mulig kobling mellom Flame og Stuxnet

Forskere ved Kaspersky har oppdaget en kobling mellom Flame og Stuxnet. Dette ble oppdaget etter å ha analysert flere forskjellige varianter av Stuxnet. Koblingen ble oppdaget da de analyserte en sample fra 2010 som inneholdt en Flame modul. Denne modulen ble brukt for å spre Stuxnet ved hjelp av autorun. Nyere versjoner inneholder ikke denne modulen, men spres ved å utnytte andre svakheter. Forskerne konkluderer med at Flame er eldre enn Stuxnet, at utviklerne av Stuxnet muligens har hatt tilgang til kildekoden til Flame og at Stuxnet og Flame, siden 2010, har blitt utviklet hver for seg.
Referanser
http://www.securelist.com/en/blog/208193568/Back_to_Stuxnet_the_missing_link

Monday, 11 June 2012

2012.06.11 - Nyhetsbrev

Adobe har sluppet nye oppdateringer. Det har blitt offentliggjort en ny svakhet i autentiseringsmekanismen til databaseserverene MySQL og MariaDB. Vi kan også anbefale en bloggartikkel fra Agilebits som gir en god forklaring på hvordan md5 kollisjoner fungerer og hvordan dette kan ha blitt brukt av trojaneren Flame til å signere falske Microsoft oppdateringer.

AgileBits: Flames and collisions

Bloggposten gir et interessant innblikk i hvordan md5 kollisjoner fungerer og hvordan dette i teorien kan utnyttes av en angriper til å signere helt andre filer enn det som var tenkt i utgangspunktet. Dette er en metode som skal ha blitt brukt av trojaneren Flame til å signere falske Microsoft oppdateringer.
Referanser
http://blog.agilebits.com/2012/06/07/flames-and-collisions/

Adobe Flash Player oppdateres

Adobe har sluppet ut en oppdatering til Adobe Flash Player og Adobe Air som dekker 7 svakheter. Den mest alvorlige svakheten kan gi en angriper mulighet til å eksekvere kode på et utsatt system.
Anbefaling
Oppdater Adobe Flash Player
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-14.html

Autentiseringsvakhet i MySQL og MariaDB

Svakheten gjør det mulig for en angriper å autentisere seg mot sårbare databaser som root brukeren uten å bruke passord. Angrepet er enkelt å gjennomføre og metoden er offentlig tilgjengelig. Svakheten fungerer bare på enkelte databaseinstallasjoner.
Anbefaling
Begrens tilgangen til serveren.
Referanser
https://community.rapid7.com/community/metasploit/blog/2012/06/11/cve-2012-2122-a-tragically-comedic-security-flaw-in-mysql

Friday, 8 June 2012

2012.06.08 - Nyhetsbrev

Microsoft has sluppet sin Advance Notification for neste ukes oppdateringer. Det rapporteres om at Flame har brukt en hittil ukjent metode for å oppnå md5 kollisjoner, og last.fm ber brukerne sine bytte passord etter mulig sikkerhetsbrudd.

Flame brukte ukjent MD5 kollisjons-metode

Experter på kryptografi rapporterer om at malwaren Flame har brukt en hittil ukjent metode for å oppnå MD5-kollisjoner. Flame bruker en ukjent såkalt "chosen-prefix collision attack" metode, som betyr at de har generert fungerende filer som har en forhåndsbestemt MD5-hash.
Referanser
http://www.cwi.nl/news/2012/cwi-cryptanalist-discovers-new-cryptographic-attack-variant-in-flame-spy-malware
http://arstechnica.com/security/2012/06/flame-crypto-breakthrough/

Last.fm ber brukerne sine om å skifte passord

Last.fm har advart brukerne sine om et mulig sikkerhetsbrudd. De kan ikke bekrefte at det har vært et sikkerhetsbrudd, men de undersøker saken og vil publisere mer når de kommer til bunnen av saken. For å være sikre ber de brukerne sine om å logge inn på deres nettsider for å skifte passord. Antall passord som kan ha blitt kompromittert er enda ikke offentliggjort og det ryktes at listen er over ett år gammel.
Referanser
http://www.last.fm/passwordsecurity

Microsoft Security Bulletin Advance Notification for June 2012

Microsoft har publisert listen over kommende oppdateringer for juni. Listen inneholder 7 sikkerhetsoppdateringer som skal dekke 28 svakheter, der 3 av sikkerhetsoppdateringene regnes som kritiske. Microsoft Windows, Internet Explorer, Visual Basic for Applications, Dynamics AX og .NET Framework vil bli oppdatert.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-jun

Thursday, 7 June 2012

2012.06.07 - Nyhetsbrev

Linkedin bekrefter at de lekkede passord-hashene tilhører deres medlemmer. Mozilla har sluppet oppdateringer.

LinkedIn har bekreftet lekkasje av passordhasher

LinkedIn har bekreftet at noen av passordhashene som har blitt lekket korresponderer med passordene til brukere hos dem. Det er sterkt anbefalt å endre passordet sitt på alle tjenester hvor man har brukt det samme passordet. Brukere som har fått kompromittert sitt passord skal motta en e-post fra Linkedin med videre instruksjoner.

De opplyser også at de nettopp har innført bedre sikkerhet rundt tjenesten sin, blant annet med "salting" av passord.
Referanser
http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised/

Mozilla Firefox / Thunderbird / SeaMonkey Multiple Vulnerabilities

Mozilla har sluppet nye versjoner av Firefox, Thunderbird og SeaMonkey som tetter 7 svakheter der 4 regnes som kritiske og kan utnyttes til å få kjørt vilkårlig kode fra eksternt hold. Det anbefales derfor å oppdatere til siste versjon.
Anbefaling
Oppdater produktene
Referanser
http://www.mozilla.org/security/announce/
http://www.mozilla.org/security/announce/2012/mfsa2012-34.html
http://www.mozilla.org/security/announce/2012/mfsa2012-35.html
http://www.mozilla.org/security/announce/2012/mfsa2012-36.html
http://www.mozilla.org/security/announce/2012/mfsa2012-37.html
http://www.mozilla.org/security/announce/2012/mfsa2012-38.html
http://www.mozilla.org/security/announce/2012/mfsa2012-39.html
http://www.mozilla.org/security/announce/2012/mfsa2012-40.html

Wednesday, 6 June 2012

2012.06.06 - Nyhetsbrev

Ekstra nyhetsbrev ang. mulig lekkasje av Linkedin passord-hasher.

Passord-hasher til Linkedin trolig publisert på nettet.

Vi har indikasjoner på at (usaltede sha-1) passord-hasher fra det
populære nettstedet Linkedin kan være sluppet offentlig på nettet. Dette
betyr at angripere kan komme til å finne ut hvilket passord du bruker på
Linkedin og bryte seg inn på kontoen din.

Vi vil derfor anbefale alle Linkedin-brukere å skifte passord så fort
som mulig. Bytt også passord på andre nettsteder dersom du har brukt det
samme passordet der. Bruk et langt passord, gjerne 10 eller fler
bokstaver, tegn og tall. Jo lengre og mer avansert passord du velger, jo
vanskeligere blir det for angripere å finne ut av det.
Referanser
N/A

2012.06.06 - Nyhetsbrev

Økning i angrep mot norske nettsider. Google varsler brukerne av Gmail ved mistanke om statsstøttet angrep. Adobe har adressert flere svakheter i deres produkter.

Økning i angrep mot norske nettsider

I følge Basefarm har det vært en økning fra 5-6 tjenestenektangrep i fjor til 30 i år. I tillegg har intensiteten på angrepene økt. Grunnen er at verktøyene som blir brukt til slike angrep har blitt billigere og bedre. De forteller at angrepene er blitt mer organisert og pågår lengre. Basefarm sier også at det er både lett og billig å leie et botnet som kan brukes i slike angrep, og at de i tillegg har observert en økning i angrep fra mobile enheter. Gruppen DotNetFuckers stod bak flesteparten av angrepene i år. Gruppen utførte en rekke angrep mot norske nettsider før tips fra Anonymous førte til arrestasjonen av to mistenkte ungdommer.
Referanser
http://www.idg.no/computerworld/article246779.ece

Google varsler brukerne av gmail ved mistanke om statsstøttet angrep

Google varsler brukerne av Gmail dersom de mistenker at deres konto kan være utsatt for et statsstøttet angrep iform av for eksempel phishing eller malware. De sier ikke noe om hvordan de kan vite at angrepene er statstøttet, men oppfordrer til å være årvåkne og bruke 2-faktor autentisering.
Referanser
http://googleonlinesecurity.blogspot.no/2012/06/security-warnings-for-suspected-state.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+GoogleOnlineSecurityBlog+(Google+Online+Security+Blog)

Adobe har adressert flere svakheter i deres produkter.

Adobe har utgitt oppdateringer til Adobe Photoshop og Illustrator som fikser et alvorlig sikkerhetshull. Adobe er litt sparsomme med detaljer, men skriver at en angriper vil kunne ta over ditt system ved å utnytte disse svakhetene.
Anbefaling
Brukere av disse produktene anbefales å gjennomgå Adobe sikkerhetsoppdateringer (APSB12-10 og APSB12-11) og oppdatere dersom du har en sårbar versjon.
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-10.html
http://www.adobe.com/support/security/bulletins/apsb12-11.html

Tuesday, 5 June 2012

2012.06.05 - Nyhetsbrev


Flame spres via Microsoft Update. Svakhet oppdaget i Google Bouncer.

Flame spres via Microsoft Update

Flame er et sofistikert malware og inneholder blant annet to moduler, "Gadget"og "Munch". Disse modulene muliggjør man-in-the-middle angrep på Windows Update mot andre maskiner på samme nettverk. En Flame infisert maskin kan oppføre seg som en Web Proxy Autodiscovery Protocol (WPAD) server. Windows maskiner med standard proxy innstillinger vil forsøke å kontakte en WPAD server for instruksjoner angående bruk av HTTP proxy i forbindelse med Windows Update. Den infiserte maskinen kan, ved hjelp av svakheten i Microsoft-sertifikat som vi beskrev i gårsdagens nyhetsbrev, utnytte dette til å spre Flame videre internt i nettverk. Microsoft slapp i går en fiks (KB2718704) mot svakheten i deres sertifikater. Denne blokkerer tre sertifikater brukt av Flame. Vi anbefaler alle Windows brukere å oppdatere.
Referanser
http://www.securelist.com/en/blog/208193558/
Gadget_in_the_middle_Flame_malware_spreading_vector_identified

Svakhet oppdaget i Google Bouncer

Det er blitt oppdaget, og utnyttet, en svakhet i Google Bouncer tjenesten som muliggjør opplasting av ondsinnede applikasjoner til Google Play (Andoid Market).
Referanser
http://news.cnet.com/8301-1009_3-57447172-83/researchers-bypass-googles-android-malware-detector

Monday, 4 June 2012

2012.06.04 - Nyhetsbrev

Microsoft gir ut oppdatering etter at deres egne sertifikater ble brukt til å signere Flame. Symantec har skrevet en oppsummering rundt trojaneren Tatanarg.B. China Telecom, Warner Bros og Cloudflare har blitt hacket.

Microsoft-sertifikat brukt til å signere Flame

Microsoft har sluppet en oppdatering til Windows etter analyse av malwaren Flame. Microsoft har oppdaget at deler av Flame er signert med et av deres sertifikater. Sertifikatet var egentlig kun ment til å signere lisenser i forbindelse med Terminal-servere, men det er også mulig å signere koder/programmer med det. Microsoft trekker i denne sikkerhetsoppdateringen tilbake dette og to andre sertifikater.
Referanser
http://technet.microsoft.com/en-us/security/advisory/2718704
http://blogs.technet.com/b/msrc/archive/2012/06/03/microsoft-releases-security-advisory-2718704.aspx

China Telecom og Warner Bros angrepet av hackergruppe

Hackergruppen SwaggSec påstår at de har brutt seg inn i interne nettverk hos China Telecom og Warner Bros. De har hentet ut diverse intern informasjon som de har lagt ut på The Pirate Bay. Blant annet har de lagt ut login-informasjon til 900 admin-brukere hos China Telecom.
Referanser
http://pastebin.com/u9n2SBUX

Trojan.Tatanarg.B. infiserer nordiske brukere

Symantec har skrevet en oppsummering rundt trojaneren Tatanarg.B. Denne trojaneren har spesielt stor spredning i de nordiske landene. Den har blant annet muligheten til å dekryptere og endre trafikk til nettbanker. Trojaneren blir spredd via infiserte websider og også sendt ut som spam via e-post.
Referanser
http://www.symantec.com/connect/blogs/trojantatanargb-careful

Cloudflare hacket gjennom feil hos Google

Cloudflare er en leverandør av DDoS-beskyttelse. Hackergruppen UGNazi har i helgen fått tilgang til interne systemer hos Cloudflare. Dette ble gjort gjennom en svakhet i Googles autentiseringssystem. Hackerne klarte å legge til en ny e-post-adresse til en Google-konto. Gjennom denne adressen kunne de så nullstille kontoens passord. Hvordan dette var mulig er uklart, men Google opplyser at de har utbedret feilen.
Referanser
http://blog.cloudflare.com/post-mortem-todays-attack-apparent-google-app

Friday, 1 June 2012

2012.06.01 - Nyhetsbrev

The New York Times har en lengre artikkel rundt stuxnet og USAs rolle. Passord til den amerikanske marinen er på avveie, og hacker Cosmo er blitt arrestert i kjølevannet av WHMCS hack.

The New York Times sak rundt stuxnet og USA's rolle

The New York Times har en lengre artikkel rundt stuxnet og cyberangrepene mot Iran, der det hevdes at Obama ga orde om å intensivere cyberangrepene mot Iran's atomprogram.
Referanser
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=1&hp

UGNazi hacker Cosmo arrestert i kjølvannet av WHMCS hack

Cosmo som antas å være hovedmannen bak gruppen UGNazi ble arrestert 30. mai. Dette skjer etter at gruppen i forrige uke kompromitterte WHMCS som leverer betalingssystem til mindre nettsider, og distribuerte sensitive klientdata på pirate bay. Blant annet kryptert informasjon om 13 000 kredittkort ble lekket. I tillegg skal gruppen tatt kontroll over firmaets twitter konto, og utsatt nettsiden for DDOS angrep.
Referanser
http://news.softpedia.com/news/UGNazi-Hacker-Cosmo-Arrested-After-WHMCS-Breach-272565.shtml
http://www.h-online.com/security/news/item/Man-arrested-for-hacking-into-billing-provider-1587517.html?mrw_channel=security;mrw_channel=security;from-mobi=1

Brukerkontoer tilhørende den amerikanske marinen på avveie

En ukjent hackergruppe har publisert en liste over brukerkontoer med passord tilhørende den amerikanske marinen. (Navy.mil). Det er enda ikke kjent hvor disse stammer fra og gruppen har ikke kommet med noen uttalelser. Saken har heller ikke blitt kommentert fra offentlig hold.
Referanser
http://pastebin.com/H3WxpT9V

2012.06.01 - Nyhetsbrev

Cisco har sluppet en oppdatering til IOS XR.

Det er ingen nye saker siden sist.