Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 28 September 2012

2012.09.28 - Nyhetsbrev

Et sertifikat tilhørende Adobe skal ha blitt brukt til å signere to hackerverktøy.

Sertifikat tilhørende Adobe har blitt brukt i hackerverktøy

Adobe har publisert en bloggpost hvor de informerer om at de har blitt gjort kjent med to tilfeller der et sertifikat tilhørende Adobe har blitt brukt i hackerverktøy. Det første tilfellet er pwdump7 v7.1. Dette verktøyet kan brukes til å knekke hashede passord i Windows ifølge Adobe er dette verktøyet offentlig tilgjengelig. Det andre verktøyet er myGeeksmail.dll. Adobe antar at dette er et skadelig ISAPI filter for IIS. De sier videre at de ikke har har fått noen informasjon om at dette verktøyet er offentlig tilgjengelig. Det berørte sertifikatet er signert 10 juli i år. Planen er at det skal bli tilbakekalt 4. oktober. For mer informasjon om saken, se Adobes bloggpost.
Referanser
http://blogs.adobe.com/asset/2012/09/inappropriate-use-of-adobe-code-signing-certificate.html

NSS Labs har testet de mest populære nettleserne

NSS Labs har testet de mest populære nettlesernes evne til å blokkere malware. De har gitt ut resultatene i en to-delt rapport. Testene ble utført over en 175 dagers periode og de har testet motstandsdyktigheten mot tre millioner forskjellige forsøk på malwareinfisering.
Referanser
https://www.nsslabs.com/reports/your-browser-putting-you-risk-part-1-general-malware-blocking
https://www.nsslabs.com/reports/your-browser-putting-you-risk-part-2-click-fraud

Thursday, 27 September 2012

2012.09.27 - Nyhetsbrev

Ny svakhet i Java. Tyske Collin Mulliner har utviklet en fiks til Samsung telefoner for å unngå missbruk via linker til telefon-nummer.

Ny svakhet i Java

Ny svakhet oppdaget i Java skyldes avvik i hvordan JVM håndterer datatyper. Dette tillater fullstendig bypass av Java sandbox. Selv om svakheten er vidt spredt, er det ingen konkrete bevis så langt på utnytting av den.
Referanser
http://news.cnet.com/8301-1009_3-57520532-83/new-java-flaw-could-hit-1-billion-users/
http://www.darkreading.com/vulnerability-management/167901026/security/vulnerabilities/240008029/deja-vu-all-over-again-new-java-vulnerability-found-bypasses-built-in-security.html

Forsker tilbyr fiks for data-utslettingssvakhet på Samsung-telefoner

Tyske Collin Mulliner har laget en applikasjon som kommer med advarsel når en Samsung-telefon forsøker å behandle en tel-url, altså link til telefon-nummer. Det kommer opp spesifikk advarsel for mistenkelige tel-url-er med spesialsymbol som * og %. Applikasjonen kan lastes ned fra Google Play.
Referanser
http://www.theregister.co.uk/2012/09/26/samsung_remote_wipe_app_fix/

Cisco har rettet rettet en rekke svakheter i IOS

Cisco har rettet en rekke svakheter i IOS baserte systemer. Svakhetene gir en angriper mulighet til å resette berørte enheter og å utføre tjenestenektangrep. For å finne ut hvilke IOS baserte enheter som er rammet av hver enkelt svakhet, se referansene.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-bgp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-ios-ips
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-c10k-tunnels
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-dhcpv6
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-nat
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-dhcp
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-sip
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-ecc

Cisco oppdaterer Unified Communications Manager

Cisco har sluppet en oppdatering til Unified Communications Manager som retter en svakhet som utnyttes til å utføre et tjenestenektangrep. Svakheten ligger i implementeringen av SIP og utnyttes ved å sende en spesielt utformet SIP-melding til en enhet som har denne svakheten.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120926-cucm

Wednesday, 26 September 2012

2012.09.26 - Nyhetsbrev

Det funnet en svakhet i Android-telefoner som for Samsung-mobiler kan gjøre det mulig å sette telefonen tilbake til fabrikkinnstillinger. Det ryktes om enda en ny 0-day svakhet i Java. Google er også ute med en ny versjon av nettleseren Chrome.

Dagens nyhetsbilde på sikkerhetsfronten preges også av et sofistikert datainnbrudd hos Telvent og en tabbe hos IEEE som førte til full offentlig eksponering av 100.000 brukernavn og passord.

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen fikser en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.no/2012/09/stable-channel-update_25.html

Ny java 0-day svakhet

Den polske forskeren Adam Gowdiak påstår å ha funnet en ny svakhet i java. Denne skal fungere på versjon 5, 6 og 7 og gjøre det mulig for en angriper å omgå sandkasse funksjonaliteten i produktet. Dette vil i verste fall føre til mulighet for eksekvering av kode. Forskerne skal ha utviklet en Proof Of Concept som de har oversendt Oracle. Detaljer rundt svakheten har ikke blitt offentliggjort.
Referanser
http://seclists.org/fulldisclosure/2012/Sep/170

IEEE har offentliggjort brukernavn og passord til flere av sine brukere ved et uhell

Passordene skal også ha vært lagt ut i klartekst. Brukere av IEEE inkluderer ingeniører hos Apple, Google og IBM. Brukerinformasjonen skal ha blitt eksponert på en offentlig tilgjengelig FTP-server via webserver-logger og skal ha inneholdt 100.000 passord.
Referanser
http://arstechnica.com/security/2012/09/ieee-trade-group-exposes-100000-password-for-google-apple-engineers/

Telvent utsatt for datainnbrudd

Telvent leverer tjenester til flere energileverandører verden over. Dette gjør de blant annet ved bruk av et sentralt styringssystem som de bruker til administrasjon av utstyr hos kundene sine. Firmaet har i en e-post til sine kunder opplyst at det har hatt et datainnbrudd. Eksperter skal ha uttalt at angrepet har blitt utført av en kinesisk hackergruppe. Les referanse for mye mer informasjon rundt saken.
Referanser
http://krebsonsecurity.com/2012/09/chinese-hackers-blamed-for-intrusion-at-energy-industry-giant-telvent/

Kritisk sårbarhet i flere Android-telefoner

Det er funnet sårbarhet i ringe-programmet til Samsungs Galaxy telefonmodeller som gjør at angripere kan sette telefonen tilbake til fabrikkinnstillinger og dermed slette alle data på telefonen. Svakheten utnyttes ved å lure brukeren til å besøke en webside med spesiell kode. En foreløpig test hos TSOC viser at en Samsung Galaxy S2 lar seg utnytte, mens en S3 med siste oppdatering i Norge ikke lar seg utnytte. Det ryktes også at svakheten skal fungere på enkelte HTC modeller og også andre Android-mobiler.

Svakheten er speselt kritisk på Samsung-telefoner siden disse har en kode en kan skrive inn i ringeprogrammet for å slette hele telefonen, inkludert minnekortet. Svakheten fantes i den sentrale Android kildekoden inntil for 3 måneder siden. Mobiler med siste versjon av Android, versjon 4.1 er ikke sårbare.

En måte å beskytte seg på er å installere applikasjonen Telstop. Dette er en App fra Google Play som fungerer som en work-around dersom du har en mobil som er sårbar for dette problemet. Den gjør at du får opp en dialog-boks dersom telefonen din leser en kode av denne typen. Du kan da velge å la Telstop behandle koden, i stedet for ringeprogrammet ditt. Det vil da ikke skje noe, bortsett fra at Telstop viser hvilken kode som egentlig ville ha blitt kjørt. Programmet krever ingen rettigheter på telefonen og er svært lite. Se referanser for link til å installere Telstop.
Anbefaling
Skru av automatisk lasting av lenker gjennom QR-koder. Ikke trykk på lenker fra nettsteder du ikke stoler på. Installer Telstop-programmet som en foreløpig patch.
Referanser
http://www.theregister.co.uk/2012/09/25/samsung_flaw/
http://www.h-online.com/security/news/item/Remote-resetting-a-Samsung-phone-made-easy-1717115.html
http://www.ibtimes.co.uk/articles/387852/20120925/samsung-smartphone-hack-remote-wipe-galaxy-touchwiz.htm
https://play.google.com/store/apps/details?id=org.mulliner.telstop

Tuesday, 25 September 2012

2012.09.25 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Monday, 24 September 2012

2012.09.24 - Nyhetsbrev

Iran benekter angrep mot amerikanske banker. To typer ransomware/utpressingsprogramvare har kommet på norsk.

Iran benekter angrep mot amerikanske banker

Fra offisielt hold benekter Iran å ha stått bak angrepene mot amerikanske banker forrige uke. Flere av de største bankene var delvis utilgjengelige under angrepene.
Referanser
http://www.nbcnews.com/technology/technolog/iran-denies-hacking-american-banks-1B6042947

To typer ransomware/utpressingsprogram i norsk utgave.

Vi ser at ransomware (utpressingsprogramvare) fra to kjente malware-familier nå er kommet med norsk språk og grafikk. I motsetning til mye vi har sett tidligere er teksten denne gangen godt skrevet. Malwaren er vanskelige å fjerne etter at man har blitt infisert. Den tar kontroll over maskinen og lar deg ikke gjøre noe annet enn å betale. Husk å holde alt av programvare på maskinen oppdatert for å unngå denne typen infeksjoner.

Unnskyldningen som brukes for å få deg til å betale er beskyldninger om brudd på opphavsrettigheter og at du må betale en bot til politiet.

Vi må regne med å se mer spredning av denne typen malware i Norge framover.
Referanser
http://malware.dontneedcoffee.com/2012/09/urausy-is-invading-europe-targeting-3.html

Microsoft retter flere feil i Internet Explorer

Microsoft har sluppet en oppdatering som retter 5 svakheter i Internet Explorer. En av dem er 0-day svakheten som ble oppdaget i forrige uke. Svakhetene kan gi en angriper mulighet til å få kjørt ekstern kode. Koden kjøres med samme rettigheter som den innloggede brukeren og det anbefales å oppdatere så snart som mulig.
Anbefaling
Oppdater Internet Explorer
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-063

Friday, 21 September 2012

2012.09.21 - Nyhetsbrev

Det er avdekket svakheter i Oracle 11.1 og 11.2 som gjør det mulig å benytte brute-force angrep for å kompromittere databaser. FBI advarer om målrettede angrep mot bankansatte. Japan er under cyberangrep.

Oracle er sårbar for brute-force angrep

Esteban Martinez Fayo fra AppSec demonstrerte et brute-force angrep mot Oracle 11.1 / 11.2. Ved å ha kjennskap til navnet på databasen samt et brukernavn kunne han knekke passord og dermed få tilgang til data.
Referanser
http://news.cnet.com/8301-1009_3-57517438-83/oracle-databases-easy-to-hack-says-researcher/

FBI advarer om målrettede angrep mot bankansatte

FBI advarer om at kriminelle nå retter angrep mot bankansatte for å få tilgang på finansielle IT-systemer. Finansinstitusjonene har blitt flinkere til å bekjempe svindel og kriminelle forsøker nå å etablere et fotfeste innenfor disse selskapene.
Referanser
http://www.trusteer.com/blog/fraud-20-fbi-warns-of-attacks-targeting-bank-employees

Angrep mot Japanske nettsider

19 Japanske nettsteder har vært under angrep. Flere av disse nettstedene var statlige. Noen av tjenestene ble tatt ned ved hjelp av DDoS-angrep mens andre fikk byttet ut forsiden til å vise et bilde av et kinesisk flagg.

Angrepet settes i sammenheng med uenigheten om suverenitet over noen øyer mellom Japan og Kina.
Referanser
http://english.kyodonews.jp/news/2012/09/183276.html

Thursday, 20 September 2012

2012.09.20 - Nyhetsbrev

Microsoft slipper midlertidig fiks for IE-svakhet, oppdatering kommer fredag. Apple har oppdatert OS X. Sophos har problemer med AV-signaturer. Microsoft har tatt kontroll over malware-domene. Sophos har en oppsummering om ZeroAccess-botnettet. iPhone og Samsung-telefoner hacket på Pwn2Own. JPMorgen og Bank of America utsatt for DDoS-angrep.

Apple oppdaterer OS X Lion og Mountain Lion

Apple har i dag oppdatert de to siste utgavene av OS X til versjon 10.7.5 og 10.8.2. Mange sikkerhetssvakheter er utbedret og det anbefales å oppdatere så fort som mulig.
Referanser
http://support.apple.com/kb/DL1582
http://support.apple.com/kb/HT5460
http://arstechnica.com/apple/2012/09/os-x-lion-mountain-lion-updated-with-security-and-battery-life-fixes/

Microsoft gir ut midlertidig fiks for Internet Explorer. Oppdatering kommer på fredag.

Microsoft har i natt publisert et verktøy (FixIt) for å utbedre sikkerhetsproblemet med Internet Explorer.

En oppdatering via Windows Update vil bli sluppet rundt klokken 19 norsk tid på fredag. Microsoft opplyser at de fortsatt bare ser et fåtall maskiner bli utnyttet ved hjelp av denne svakheten.
Referanser
http://krebsonsecurity.com/2012/09/microsoft-issues-stopgap-fix-for-ie-0-day-flaw/
http://blogs.technet.com/b/srd/archive/2012/09/19/more-information-on-security-advisory-2757760-s-fix-it.aspx
http://blogs.technet.com/b/msrc/archive/2012/09/19/internet-explorer-fix-it-available-now-security-update-scheduled-for-friday.aspx

Sophos slettet sitt eget oppdateringsprogram

Anti-virus selskapet Sophos har det siste døgnet hatt problemer med sine signaturer. En feilaktig signatur klassifiserte programmets egen oppdateringsmekanisme som malware og satte det i karantene. Feilen skal nå være utbedret, men flere kunder har fortsatt problemer.
Referanser
https://isc.sans.edu/diary.html?storyid=14131

Microsoft tar kontroll over 70.000 malware-domener

Microsoft fikk sist uke via en domstol tatt kontroll over det kjente malware-domenet 3322.org. De sender nå trafikken som gikk til de forskjellige domenene videre til sine egne tjenere og har laget en statistikk over trafikken. Noen timer etter overtakelsen hadde over 35 millioner unike IP-adresser prøvd å få kontakt, flesteparten av dem trolig infiserte maskiner. Microsoft har identifisert over 560 malware-typer som benyttet seg av domenet.
Referanser
http://krebsonsecurity.com/2012/09/malware-dragnet-snags-millions-of-infected-pcs/

Sophos skriver om ZeroAccess-botnettet

Sophos har en artikkel om ZeroAccess-botnettet som for tiden har rundt én million infiserte maskiner, hovedsakelig i vestlige land. Botnettet brukes til å vise annonser på infiserte maskiner, samt å generere penger i et system kalt Bitcoin ved å bruke ledig regnekraft i maskinene. Sophos mener at botnettet generer mer enn $100.000 i døgnet for bakmennene.
Referanser
http://nakedsecurity.sophos.com/2012/09/19/zeroaccess-botnet-uncovered/

iPhone og Samsung Android-telefoner hacket under Pwn2own-konferanse

Hackere på Pwn2own konferansen klarte å ta kontroll over både en iPhone med iOS 6 og en Samsung S3-telefon med Android 4.0.4.

iPhone-angrepet tok rundt 3 uker å utvikle og utnytter en sårbarhet i Webkit. Det gjør det mulig å hente ut bilder, filmer, adressebok og en liste over besøkte websider.

Angrepet mot Samsung S3 ble foretatt ved å laste opp en fil via NFC (Near Field Communication) til telefonen. Hackerne sier at det også lar seg gjøre å angripe telefonen via spesielt utformede websider. Angrepet gjør det mulig å laste ned alle data fra telefonen og å initiere samtaler.
Referanser
http://arstechnica.com/security/2012/09/apples-iphone-commandeered-at-hacker-contest/
http://www.zdnet.com/mobile-pwn2own-iphone-4s-hacked-by-dutch-team-7000004498/
http://labs.mwrinfosecurity.com/blog/2012/09/19/mobile-pwn2own-at-eusecwest-2012/

JPMorgan Chase og Bank of America utsatt for DDoS-angrep

Forbrukernettsida til JPMorgan Chase var utilgjengelig onsdag ettermiddag. Dette angrepet kommer etter en tilsvarende hendelse hos Bank of America. Det spekuleres i om dette kan være en hevnaksjon etter publisering av filmen "Innocence of Islam".

En trussel mot BoA og NYSE fra noen som kaller seg "Cyber fighters of Izz ad-din Al qassam" ble lagt ut på Pastebin i forkant av angrepene.
Referanser
http://www.theregister.co.uk/2012/09/19/chase_website_outage/

Wednesday, 19 September 2012

2012.09.19 - Nyhetsbrev

Microsoft skal komme med foreløpig patch til problem i Internet Explorer i løpet av få dager. Norske og tyske myndigheter advarer mot å bruke IE. Apple patcher feil i fjernstyringsprogramvare.

Apple fikser sikkerhetsproblem i fjernstyringsprogramvare

Apple fikser et VNC-sikkerhetsproblem i sin fjernstyringsprogramvare Apple Remote Desktop (ARD). Feilen gikk ut på at data ikke alltid ble kryptert.
Referanser
http://www.h-online.com/security/news/item/Apple-fixes-VNC-security-problem-in-Remote-Desktop-3-5-1710538.html

Microsoft lover foreløpig fiks til IE-svakhet. NSM advarer mot bruk.

Microsoft lover å komme med en foreløpig patch (Fix It-patch) for å utbedre svakhetene i Internet Explorer i løpet av noen få dager. Patchen lastes ned som et program og kjøres på aktuelle maskiner.

Både norske og tyske myndigheter gir råd om å bruke en annen nettleser enn Internet Explorer inntil en fiks foreligger.

Nettstedet Krebs on Security har en gjennomgang av teknikker for å minske risikoen ved bruk av IE, blant annet gjennom å skru av JavaScript i nettleseren.
Referanser
http://blogs.technet.com/b/msrc/archive/2012/09/18/additional-information-about-internet-explorer-and-security-advisory-2757760.aspx
http://www.digi.no/902521/velg-en-annen-nettleser
http://krebsonsecurity.com/2012/09/internet-explorer-users-please-read-this/

Tuesday, 18 September 2012

2012.09.18 - Nyhetsbrev

Microsoft har bekreftet 0-day i Internet Explorer.

0-day i Internet Explorer.

Microsoft har nå bekreftet at det finnes en 0-day Internet Explorer 7, 8 og 9. Sårbarheten gir en angriper mulighet til å få kjørt ekstern kode. Koden kjøres med brukerens rettighetsnivå.
Anbefaling
Oppdatert til Explorer 10 om mulig. Bruk en evetuelt en annen nettleser.
Referanser
http://technet.microsoft.com/en-us/security/advisory/2757760

Monday, 17 September 2012

2012.09.17 - Nyhetsbrev

Det ryktes om en ny sårbarhet i Internet Explorer 7 og 8. Mexico oppgraderte Internett-linjer for å stå imot DDoS-angrep i forbindelse med presidentvalget.

Mexico forberedt på DDoS-angrep under presidentvalg

Det meksikanske valginstituttet (IFE) forsøkte å være godt forberedt på DDoS-angrep under det nylig avholdte presidentvalget. Dedikert båndbredde for deres nettverk ble i forkant økt til 600 Mbps, som er rundt 300 ganger gjennomsnittlig båndbredde i Mexico. Til tross for angrep var websidene tilgjengelige under hele avviklingen av valget.
Referanser
http://www.scmagazineuk.com/a-rare-case-of-a-prepared-government/article/258810/

New 0-day in Microsoft Internet Explorer 7 and 8?

Eric Romang hevder i et blogg-innlegg at det trolig finnes en ny 0-day svakhet i IE 7 og 8 i omløp. Romang skal ha "snublet over" exploit-filer som utnytter den angivelige 0-day svakheten i forbindelse med overvåking av noen servere brukt av Nitro-gjengen i målrettede Java 0-day angrep for noen uker tilbake. Romang skal så ha delt filene med enkelte personer tilknyttet Metasploit-miljøet, og disse skal ha bekreftet hans antakelser. Ifølge blogg-posten planlegger Metasploit å publisere en exploit-modul for svakheten i løpet av dagen (mandag).

Vi vil anbefale alle å oppgradere eldre installasjoner av IE til versjon 9.0.
Anbefaling
Bruk en annen nettleser inntil videre, dersom mulig.
Referanser
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/

Friday, 14 September 2012

2012.09.14 - Nyhetsbrev

iTunes 10.7 er lansert. Microsoft har tatt kontrollen over Nitol botnettet. Det er oppdaget en sårbarhet i FortiOS som gir angripere mulighet til å manipulere Fortigate UTM.

iTunes 10.7 lansert. Fikser 163 sikkerhetsfeil

Apple har gitt ut en oppdatering til iTunes som blandt annet fikser 163 sikkerhetsfeil. Blandt disse er det flere av feilene som blir rangert som kritiske med mulighet for å kjøre kode dersom de blir utnyttet.
Referanser
https://support.apple.com/kb/HT5485

Microsoft har tatt over kontrollen av Nitol botnettet

Etter å ha etterforsket Nitol botnettet har Microsoft tatt over 3322.org domenet som skal ha blitt brukt til å hoste over 500 forskjellige typer malware.
Referanser
http://blogs.technet.com/b/microsoft_blog/archive/2012/09/13/microsoft-disrupts-the-emerging-nitol-botnet-being-spread-through-an-unsecure-supply-chain.aspx

Fortigate UTM WAF Appliance Cross Site Scripting

Det er oppdaget en sårbarhet i FortiOS v4.3.7 og lavere som gjør at man kan manipulere Fortigate UTM, for å endre innstillinger, manipulere sesjoner og drive permanent phishing.
Anbefaling
Oppdater til v4.3.8 B0537 eller v5
Referanser
http://packetstormsecurity.org/files/116495/VL-557.txt

Thursday, 13 September 2012

2012.09.13 - Nyhetsbrev

Blackhole som er ett av de mest brukte Exploit kit er kommet i ny versjon. Det meldes om svakheter i BIND 9 og to Cisco-produkter.

Blackhole 2.0 - oppdatert exploit-kit

Det oppdaterte exploit-kitet Blackhole 2.0 genererer nye tilfeldige URL-adresser for hver ny besøkende. Dette for å hindre sikkerhetsanalytikere i å laste ned malwaren for nærmere undersøkelser. Det er også mulig for exploit-kitet å generere URL-adresser som er lesbare for mennesker for å gjøre det mindre mistenkelig. Blackhole 2.0 inneholder tre "exploit-pakker" som utnytter svakheter i henholdsvis Java, Adobe PDF LibTiff og Microsoft Data Access Components.
Referanser
http://arstechnica.com/security/2012/09/blackhole-2-0-gives-hackers-stealthier-ways-to-pwn/
http://malware.dontneedcoffee.com/2012/09/blackhole2.0.html

Svakhet i BIND 9 navnetjenere

ISC har lagt ut informasjon om en sårbarhet i BIND 9. Sårbarheten kan utnyttes til å få rekursive navnetjenere til å krasje. Den finnes i alle versjoner av BIND. En patch for svakheten er utgitt. Det finnes enda ingen offentlig tilgjengelig exploit for svakheten.
Anbefaling
Oppdater til patchet versjon.
Referanser
https://kb.isc.org/article/AA-00778

Cisco oppdaterer Cisco Unified Presence og Jabber XCP

Cisco tetter en svakhet iUnified Presence og Jabber XCP. En vellykket utnyttelse av denne svakheten kan benyttes for å utføre et DoS-angrep mot berørte systemer.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120912-cupxcp

Cisco oppdaterer ASA-CX Content-Aware Security og PRSM

Cisco tetter en svakhet i ASA-CX Content-Aware Security og PRSM. En vellykket utnyttelse av denne svakheten kan benyttes for å utføre et DoS-angrep mot berørte systemer.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120912-asacx

Wednesday, 12 September 2012

2012.09.12 - Nyhetsbrev

Microsoft har sluppet to oppdateringer denne måneden. Disse er for System Center Configuration Manager og Visual Studio Team Foundation Server. Ingen "vanlige" Windows-komponenter er oppdatert denne måneden. Adobe har også sluppet en oppdatering for Cold Fusion. Wired har et intervju med en ung hacker som spesialiserte seg på social engineering. NSM har tallfestet hva datakriminalitet koster i Norge.

Interjvu med hackeren Cosmo fra UGNazi

Wired har et interessant intervju med hackeren Cosmo (15) som var med i hackergruppen UGNazi. Denne gruppen stod bak mange innbrudd og DDoS-angrep tidligere i år, også mot norske mål. Intervjuet viser at mange av innbruddene ble gjort gjennom social engineering. I forbindelse med denne artikkelen har både AOL og PayPal oppdatert sikkerheten sin.
Referanser
http://www.wired.com/gadgetlab/2012/09/cosmo-the-god-who-fell-to-earth/

Datakrim for 20 milliarder kroner i Norge

NSM har for første gang tallfestet hva datakriminalitet koster Norge. Artikkelen inneholder også tall fra mørketallsundersøkelsen som ble sluppet i går.
Referanser
http://www.nrk.no/helse-forbruk-og-livsstil/1.8318728

Vulnerability in System Center Configuration Manager Could Allow Elevation of Privilege (MS12-062)

Oppdateringen fikser en sårbarhet i Microsoft System Center Configuration Manager. Svakheten kan gi en angriper muligheten til å forårsake en rettighetseskalering dersom en bruker besøker en nettside, som utnytter sårbarheten, via en spesialdesignet URL.
Anbefaling
Oppdater produktet
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-062

Vulnerability in Visual Studio Team Foundation Server Could Allow Elevation of Privilege (MS12-061)

Oppdateringen fikser en sårbarhet i Visual Studio Team Foundation Server. Svakheten kan gi en angriper muligheten til å forårsake en rettighetseskalering dersom en bruker besøker en nettside som utnytter sårbarheten.
Anbefaling
Oppdater produktet
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-061

Adobe oppdaterer ColdFusion

Adobe har kommet med en sikkerhetsoppdatering for Adobe ColdFusion. Oppdateringen fikser en svakhet som en angriper kan utnytte til å utføre et tjenestenektangrep. Se referanse for informasjon om hvordan man oppdaterer produktet.
Anbefaling
Oppdater ColdFusion
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-21.html

Tuesday, 11 September 2012

2012.09.11 - Nyhetsbrev

Listen med 1 million Apple-enheter var ikke stjålet fra FBI som Anonymous hevdet. GoDaddy har hatt problemer med nettverket sitt.

Listen med 1 million Apple-enheter ble ikke stjålet fra FBI

I forrige uke skrev vi at hackergruppen AntiSec påstod at de hadde stjålet en liste med oversikt over 1 million Apple-enheter fra FBI. Det er nå kommet frem at listen var stjålet fra serverene til BlueToad, et lite forlag i Florida. Innbruddet ble oppdaget av David Schuetz, en forsker innen mobil sikkerhet, som kontaktet BlueToad og fortalte dem om funnet. Paul Dehart fra BlueToad forteller at det ikke er umulig at listen kan ha havnet på en FBI-maskin og deretter blitt stjålet derfra, men at det virker veldig usannsynlig.
Referanser
http://redtape.nbcnews.com/_news/2012/09/10/13781440-exclusive-the-real-source-of-apple-device-ids-leaked-by-anonymous-last-week
http://intrepidusgroup.com/insight/2012/09/tracking-udid-src/

GoDaddys DNS-tjenere ustabile

DNS-tjenerne til GoDaddy har vært ustabile det siste døgnet. Dette har ført til nedetid for kunders e-post og web-sider. Firmaet har ikke opplyst hva som er årsaken til nedetiden, men at de jobber med å undersøke dette.
Referanser
http://arstechnica.com/security/2012/09/godaddy-outage-makes-websites-unavailable-for-many-internet-users/
http://support.godaddy.com/system-alerts/

Monday, 10 September 2012

2012.09.10 - Nyhetsbrev

I morgen kutter Microsoft støtte for RSA-sertifikater med nøkkellengde kortere enn 1024 bits. Symantec har skrevet om en avansert angrepsplattform kalt The Elderwood Project som har blitt benyttet til målrettede angrep rettet mot spesifikke bedrifter eller bransjer.

Slutt på 1024-bits og kortere RSA-nøkler i Windows

I forbindelse med sikkerhetsoppdateringen for Windows som blir sluppet i morgen, kutter Microsoft støtte for RSA-sertifikater med nøkkellengde kortere enn 1024 bits. Eksempler på servere som kan bli berørt av dette er web-servere som bruker SSL og Exchange-servere. Klienter vil etter oppdateringen ikke kunne koble seg til servere med korte nøkkellengder.
Referanser
http://blogs.technet.com/b/msrc/archive/2012/09/06/september-ans-and-an-important-heads-up-concerning-certificates.aspx
http://www.theregister.co.uk/2012/09/07/microsoft_certificate_update_advisory/

The Elderwood Project

Symantec har skrevet en white-paper om en avansert angrepsplattform kalt "The Elderwood Project". Denne plattformen er brukt til flere avanserte angrep de siste årene.

De innfører også et nytt begrep kalt "watering hole attack". Angriperne vil her kompromittere en web-server de vet at offeret sannsynligvis vil besøke. Et avansert "exploit-kit" vil så ligge klart og kun aktiveres dersom det er offeret som besøker siden for å ta kontroll over offerets PC.
Referanser
http://www.symantec.com/connect/blogs/elderwood-project-infographic

Friday, 7 September 2012

2012.09.07 - Nyhetsbrev

Microsoft har sluppet informasjon om neste ukes oppdateringer. Hacker dømt til fengsel.

Microsoft advance notification for september

Microsoft har publisert informasjon om månedens oppdateringer. Listen inneholder 2 sikkerhetsoppdateringer, der begge er klassifisert som viktige. Oppdateringene omfatter Microsoft Visual FoxPro og Microsoft System Center Configuration Manager.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-sep

Hacker dømt til 30 måneders fengsel.

En hacker er dømt til 30 måneders fengsel, tiltalt for å ha kontrollert og leid ut infiserte maskiner fra et stort bot-net.
Referanser
http://arstechnica.com/security/2012/09/botnet-master-gets-30-month-prison-term-for-renting-out-infected-pcs/

Thursday, 6 September 2012

2012.09.06 - Nyhetsbrev

En ny sikkerhetsoppdatering til Mac OS X.

Mac OS X-oppdatering fikser Java-sikkerhetshull

En ny oppdatering av Java for Mac OS skal tette minst to sikkerhetshull. Det er sterkt anbefalt å kjøre systemoppdatering for Mac.
Referanser
http://krebsonsecurity.com/2012/09/apple-releases-fix-for-critical-java-flaws/

Wednesday, 5 September 2012

2012.09.05 - Nyhetsbrev

FBI benekter at de har blitt utsatt for datainnbrudd som respons på AntiSec/ Anonymous sin pressemelding tidligere i uken.

FBI benekter at de har blitt utsatt for datainnbrudd

I gårsdagens nyhetsbrev omtalte vi en pressemelding fra AntiSec/ Anonymous der de offentliggjorde en fil med store mengder data. Disse påsto de å ha hentet ut som følge av et datainnbrudd hos FBI. FBI tilbakeviser nå dette i en pressemelding.
Referanser
http://www.fbi.gov/news/pressrel/press-releases/statement-on-alleged-compromise-of-fbi-laptop

Tuesday, 4 September 2012

2012.09.04 - Nyhetsbrev

En hackergruppe påstår at de har stjålet en liste med oversikt over millioner av Apple-enheter fra FBI.

AntiSec claims to have snatched 12M Apple device IDs from FBI

En hackergruppe påstår at de har stjålet en liste med oversikt over 12 millioner Apple-enheter fra FBI. De har postet 1 million av disse offentlig. Listen inneholder angivelig UDID (unik Apple-ID), brukernavn, navn på enhet, type enhet, APN-tokens, postnummer og telefonnummer. Personlig informasjon har blitt fjernet fra listen.
Referanser
http://news.cnet.com/8301-1009_3-57505330-83/antisec-claims-to-have-snatched-12m-apple-device-ids-from-fbi/

Monday, 3 September 2012

2012.09.03 - Nyhetsbrev

Ny sårbarhet er oppdaget i nylig oppdatert versjon av Java. Vmware har sluppet oppdateringer for ESX, ESXi, Workstation, og Player. Sans skriver om hvordan besøkende lures til Blackhole-side fra falsk e-post for Microsofts tjeneste-avtale. En feilkonfigurering i Facebook gjør det det mulig å hente ut epost-adresser.

Ny sårbarhet oppdaget i fersk Java-oppdatering

Det polske sikkerhetsfirmaet Security Explorations rapporterte fredag til Oracle om en ny svakhet i oppdateringen av Java 7 fra dagen før. Svakheten kan bli brukt til omgå Java sandbox og kjøre kode i det underliggende systemet.
Referanser
https://isc.sans.edu/diary.html?storyid=14017&rss
http://www.securityfocus.com/archive/1/524073

VMWare oppdaterer flere produkter

VMWare har sluppet oppdateringer til for ESX, ESXi, Workstation, og Player. Oppdateringene retter en rekke svakheter, hvor de mest alvorlige kan gi rettighetseskalering. For mer utfyllende informasjon, se referansene.
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0013.html
http://www.vmware.com/security/advisories/VMSA-2012-0005.html
http://www.vmware.com/security/advisories/VMSA-2012-0012.html

Spredning av malware ved hjelp av java-svakhet og falsk Microsoft-e-post

Besøk av Blackhole-nettsted med Java-svakhet fører til nettlasting av Zeus-trojaner. Ofre blir dirigert til denne sida ved at de trykker på link i falsk e-post for Microsofts tjeneste-avtale.
Referanser
https://isc.sans.edu/diary.html?storyid=14020&rss

Feil hos Facebook lar phishere gi seg ut for å være venner

En "foreløpig feilkonfigurering" lar folk med onde hensikter hente ut epostadresser til Facebook-kontakter. Disse kan benyttes til å sende linker på e-post som ser ut til å komme fra en venn.
Referanser
http://nakedsecurity.sophos.com/2012/08/31/facebook-glitch-spear-phishing/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+nakedsecurity+%28Naked+Security+-+Sophos%29