Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 31 October 2012

2012.10.31 - Nyhetsbrev

Kindsight er ute med sin kvartalsvise rapport over malware trender. Symantec har i et nytt blogginnlegg beskrevet nye metoder som brukes av malware for å unngå å bli detekert i virtuelle miljø.

Kindsight er ute med sin kvartalsvise malware rapport

I rapporten går sikkerhetsselskapet Kindsight gjennom deres registrerte trender i forhold malware det siste kvartalet. Her påpeker de at ZeroAccess har vært det mest aktive botnettet i siste kvartal med over 2,2 millioner infiserte PCer. ZeroAccess er kjent for å bruke såkalt click fraud for å gi inntekter til bakmennene. Denne click fraud trafikken skal ha generert 140 millioner klikk per dag, noe som tilsvarer 260 terabyte med nettverkstrafikk. Kindsigth nevner også at de har sett en oppgang av Android malware distribuert gjennom Google Play. Se referanse for å få tilgang til rapporten i sin helhet.
Referanser
https://www.kindsight.net/sites/default/files/Kindsight_Security_Labs-Q312_Malware_Report-final.pdf

Trojanere bruker musedriver for å unngå deteksjon

Symantec har i et nytt blogginnlegg beskrevet forskjellige metoder som brukes av malware til å skjule seg på systemet, spesielt i forhold til å skjule seg for automatiske deteksjonssystemer som kjører koden "live" i virtuelle sandkasse miljøer. Disse metodene har i det siste vist seg å gå fra å enkelt sjekke etter kjente prosesser til å eksekvere spesiell assembler kode for å detektere det virtuelle miljøet. I en ny metode de har oppdaget legger trojaneren koden sin inn i rutiner som vanligvis bare blir brukt til å kontrollere input fra museklikk og -flytting. Noe som fører til at koden kun er aktiv når musen er i bruk. Siden et automatisert malwareanalyse system ikke bruker musen vil koden aldri kjøre og dermed unngå å bli detektert.
Referanser
http://www.symantec.com/connect/blogs/malware-authors-using-new-techniques-evade-automated-threat-analysis-systems

Tuesday, 30 October 2012

2012.10.30 - Nyhetsbrev

TechRepublic har en rask gjennomgang av sikkerhetsfunksjoner i Windows 8. FBI jobber med å identifisere bakmennene i forbindelse med millioner av infiserte PCer.

Sikkerhet i Windows 8

Windows 8 er nå sluppet. TechRepublic har en rask gjennomgang av de nye sikkerhetsfunksjonene samt hvilke muligheter som finnes i de forskjellige utgavene av Windows.
Referanser
http://www.techrepublic.com/blog/security/what-you-should-know-about-windows-8-security-features/7900

FBI lanserer ny kampanje for å identifisere cyberkriminelle

FBI har lansert en ny kampanje der de skal prøve å spore opp og identifisere hackere som står bak de mange angrepene som sprer seg via web-sider. Gjennom initiativet håper de å identifisere bakmennene bak millioner av infiserte maskiner. Disse maskinene er gjerne meldt inn i botnet og brukes til å svindle brukerne, innhente sensitiv informasjon, utføre DDoS-angrep, servere reklame osv.
Referanser
http://thinkprogress.org/security/2012/10/29/1107411/fbi-tracking-hackers/?mobile=nc
http://www.fbi.gov/news/stories/2012/october/cyber-division-focusing-on-hackers-and-intrusions

Monday, 29 October 2012

2012.10.29 - Nyhetsbrev

Ars Technica melder at det har blitt oppdaget en bakdør i industristyringssystem.

Alvorlig svakhet i industrisystemet CoDeSys avdekket

Ars Technica melder at det har blitt oppdaget en bakdør i industristyringssystemet CoDeSys. Dette medfører at det er mulig å oppnå full tilgang til styringssystemet uten autentisering. Svakheten er funnet i både Windows CE og Linux-baserte systemer. CoDeSys er utviklet av 3S-Smart Software Solutions og er integrert i industrisystemer fra 221 forskjellige leverandører. For komplett liste, se referanse.
Referanser
http://arstechnica.com/security/2012/10/backdoor-in-computer-controls-opens-critical-infrastructure-to-hackers/
http://3s-software.com/index.shtml?en_Company_ref

Friday, 26 October 2012

2012.10.26 - Nyhetsbrev

Det har blitt avslørt en stor svakhet i TSA sitt precheck system. Feil implementering av SSL er oppdaget i flere biblioteker og SDKer.

Forskere har oppdaget svakheter i SSL implementeringen i flere biblioteker

Forskere ved University of Texas og Stanford University har oppdaget at flere populære programbiblioteker og SDKer inneholder feil i implementeringen av SSL. Blant leverandørene som er rammet er PayPal og Amazon. For mer utfyllende informasjon, se referansen.
Referanser
http://threatpost.com/en_us/blogs/ssl-vulnerabilities-found-critical-non-browser-software-packages-102512

Stor svakhet i TSA sitt PreCheck system

TSA (Transportation Security Administration) er en underavdeling til U.S. Department of Homeland Security som skal ha ansvaret for all amerikansk transporttrafikk, med hovedfokus på flytransport. PreCheck systemet som TSA har ansvaret for gir passasjerer som ofte er ute og flyr mulighet til å bestille en grundig bakgrunnsjekk før de skal ut og reise. Dette mot at de får mulighet til å hoppe over flere kritiske deler av sikkerhetssjekken før de går ombord på flyet. TSA tar riktignok likevel stikkprøver av personer som har utført denne kontrollen for å opprettholde sikkerheten. Problemet er at informasjonen som sier noe om en passasjer skal utsettes for en slik kontroll ligger lagret på billetten, i strekkodeformat, uten kryptering. Når det da også er slik at TSA ikke har noe system for å sjekke om billetten har blitt tuklet med åpner det muligheter for personer med onde hensikter til å virkelig utnytte systemet.
Referanser
http://www.theregister.co.uk/2012/10/26/tsa_barcode_boarding_pass/

Thursday, 25 October 2012

2012.10.25 - Nyhetsbrev

Foto.no hacket og informasjon om opptil 100.000 brukerkonto kan være på avveie.
Google har oppgradert mail-kryptering fra 512 bit til 2048 bits nøkler.

100'000 brukerkontoer fra Foto.no kan være på avveie

I følge dinside.no har en hacker fått tilgang til brukerinformasjon fra foto.no, deriblant brukernavn og passord i klartekst. Eieren av nettstedet har innført obligatorisk resetting av passord og sier at nye passord blir lagret kryptert. Vi anbefaler at alle som har konto hos foto.no bytter passord på andre tjenester hvor samme passord har blitt benyttet.
Referanser
http://www.dinside.no/904789/foto-no-brukeropplysninger-paa-avveie
http://foto.no/cgi-bin/articles/articleView.cgi?articleId=45178

Matematiker oppdaga svak kryptering i e-post fra Google

Den amerikanske matematikeren Zachary Harris oppdaga i en e-post med innkalling til jobbintervju at den var kryptert med en nøkkel på bare 512 bit. Med riktige ressurser kan en enkeltperson finne dekrypteringsnøkkelen på bare 3 døgn. Som resultat av denne avsløringa gikk Google over til 2048 bits nøkkel for e-postene sine. Også andre store amerikanske selskap bruker 512 bits krypteringsnøkkel.
Referanser
http://www.theregister.co.uk/2012/10/24/uscert_dkim_spoofing_flaw/

Wednesday, 24 October 2012

2012.10.24 - Nyhetsbrev

Adobe Shockwave Player er ute i ny versjon. Det er oppdaget en svakhet i synkroniseringsapplikasjonen til Google Drive som gir brukeren tilgang til mer av Google brukerkontoen enn det som er nødvendig. SC Magazine har skrevet en artikkel om den nye kalde krigen.

The new Cold War

SC Magazine har en artikkel om den nye kalde krigen som utkjempes via Internett.
Referanser
http://www.scmagazineuk.com/the-new-cold-war/article/264854/

Svakhet i Google Drive-applikasjon

En svakhet i synkroniseringsverktøyet for Google Drive gjør det mulig å få tilgang til Google kontoen som programmet kjører med. Dette er mulig grunnet en funksjon i programmet som lar brukeren trykke på en lenke for å bruke Google Drive gjennom nettleseren. Lenken logger brukeren automatisk inn og denne sesjonen kan brukes til å aksessere andre Google tjenester uten ekstra autentisering.
Referanser
http://www.h-online.com/security/news/item/Google-Drive-opens-backdoor-to-Google-accounts-1735069.html

Adobe Shockwave Player ute i ny versjon

Adobe har gitt ut en sikkerhetsoppdatering til Adobe Shockwave Player som skal fikse en rekke svakheter. Flere av disse kan gi en angriper mulighet til å eksekvere kode. Shockwave er en plugin som mange har i nettleseren uten å være klar over det.
Anbefaling
Oppdater til siste versjon: http://get.adobe.com/shockwave/
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-23.html
http://get.adobe.com/shockwave/

Tuesday, 23 October 2012

2012.10.23 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Monday, 22 October 2012

2012.10.22 - Nyhetsbrev

Brian Krebs omtaler en tjeneste som selger kompromitterte klienter og tjenere. Mer enn tusen Android applikasjoner har feilaktige implementeringer av SSL som kan gjøre den krypterte kommunikasjonen sårbar.

Mer enn 1000 Android applikasjoner har svakheter i SSL-implementering

Mer enn 1000 av 13000 Android-applikasjoner viste seg å ha alvorlige feil i implementeringa av SSL i en studie utført av tyske forskere. De klarte å fange opp opplysninger til ulike kredittkort og for innlogging til diverse nett-tjenester. Årsaken skal være at applikasjonsutviklerne har benyttet SSL-innstillingene til Android API'et på feil måte. Feilene innebærer blant annet godkjenning av alle mulige sertifikat. For å utnytte svakhetene må en ha tilgang til trafikkstrømmen mellom telefonen og serveren.
Referanser
http://www.theregister.co.uk/2012/10/21/android_app_ssl_vulnerability/
http://arstechnica.com/security/2012/10/android-apps-expose-passwords-e-mail-and-more/

Tjeneste selger kompromitterte klienter og tjenere.

Brian Krebs skriver om en tjenester som videreselger kompromitterte klienter og tjenere med RDP-tilgang. Tjenesten tilbyr å søke opp klienter innenfor gitte IP-intervaller slik at man kan peke seg ut bedrifter man ønsker tilgang til. En av Fortune 100 bedriftene han fant var Cisco.
Referanser
http://krebsonsecurity.com/2012/10/service-sells-access-to-fortune-500-firms/

Friday, 19 October 2012

2012.10.19 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Thursday, 18 October 2012

2012.10.18 - Nyhetsbrev

Etter gårsdagens store Java-oppdatering har Apple nå valgt å fjerne sin Java nettleser-plugin helt.

Apple fjerner Java-plugin i nyeste oppdatering

I gårsdagens nyhetsbrev skrev vi om en større oppdatering til Java som retter en rekke kritiske svakheter. Det har i lengre tid vært slik at Apple har vedlikeholdt sin egen Java med nettleser-plugin til mac. Dette har gitt rom for angripere til å utnytte svakheter mot Mac-brukere i tidsrommet mellom Oracle sin nye Java-utgivelse og Apple sin. Apple har nå kommet med en patch som skal rette opp i de siste svakhetene, og det viser seg at de samtidig har fjernet sin egen Java-plugin for nettlesere helt i denne oppdateringen. Mac brukere må nå installere Java fra Oracle hvis de ønsker å bruke denne fra nettleseren.
Referanser
http://nakedsecurity.sophos.com/2012/10/18/apple-gets-aggressive-latest-os-x-java-security-update-rips-out-browser-support/

Wednesday, 17 October 2012

2012.10.17 - Nyhetsbrev

Oracle er ute med sin kvartalsvise oppdateringspakke og Adobe er ute med en ny versjon av Reader. Av siste døgns nyheter på sikkerhetsfronten kan det være verdt å nevne at Google nå er i gang med utvikling av en malware scanner for Google Play, at Kaspersky utvikler noe de påstår er et malware sikkert operativsystem og at Santander er i hardt vær for tiden. Det sies nemlig at de lagrer brukernes passord i cookies. Forskere har sluppet en rapport om zero-day svakheter.

Oracle ute med nye oppdateringer

Oracle har sluppet sin kvartalsvise oppdateringspakke som dekker hele 109 sårbarheter i produkter som Oracle Database Server, Fusion med flere. Oracle har også gitt ut en oppdateringspakke for Java SE som dekker hele 30 svakheter der ti av disse er klassifisert som kritiske. For fullstendig liste over sårbarheter, se referansene.
Referanser
http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html
http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html

Rapport om zero-day angrep

Forskere har sluppet en rapport om zero-day angrep, altså angrep som utnytter hittil ukjente svakheter i programvare. Det viser seg at de ukjente svakhetene ofte blir benyttet i lang tid før de blir oppdaget av sikkerhetsindustrien. Følg lenker for oppsummering og full rapport.
Referanser
http://arstechnica.com/security/2012/10/zero-day-attacks-are-meaner-and-more-plentiful-than-thought/
http://users.ece.cmu.edu/~tdumitra/public_documents/bilge12_zero_day.pdf

Adobe Reader XI ute

PDF-leseren fra Adobe er ute i ny versjon. Denne inneholder flere forbedringer, også sikkerhetsmessige. Protected mode er forbedret til å inkludere beskyttelse mot datatyveri. Det skal også være en ny Protected view som inneholder ny funksjonalitet. De har også implementert whitelisting for visning i Javascript i PDF. Dette gir brukeren mulighet til å selv velge hvilke PDF-filer som skal kunne eksekvere Javascript-kode.
Referanser
http://blogs.adobe.com/adobereader/

Santander lagrer passord i cookies

Santander, i alle fall den britiske delen av banken, lagrer passord til brukere i klartekst i session-cookie. Det skal likevel være vanskelig for hackere å få tak i passordet, fordi informasjon for cookien blir transportert over HTTPS. Santander lover H-online å revurdere bruken sin av cookies.
Referanser
http://www.h-online.com/security/news/item/Santander-s-online-banking-keeps-passwords-in-cookies-Update-1730364.html

Google utvikler malware-skanner til Google Play appen

Google skal nå være i gang med å utvikle en malware-skanner som bli en del av applikasjonen Google Play til Android. Den vil sjekke alle programmer som har blitt lastet ned til Android-enheten, selv de som har blitt lastet ned fra andre steder enn Googles eget marked. Hvis det er noe mistenkelig ved en applikasjon, vil skanneren gi brukeren en advarsel.
Referanser
http://www.theinquirer.net/inquirer/news/2217084/google-is-working-on-a-malware-scanner-for-its-google-play-app-store

Kaspersky utvikler malware-sikkert operativsystem

Sikkerhetsfirmaet Kaspersky Lab utvikler et operativsystem der de skal gjøre det umulig å få kjørt tredjeparts kode. Dette skal være spesiallaget for industrien og skal skreddersys for de aktuelle oppgavene det skal utføre. Se link i referanse for mer informasjon.
Referanser
http://eugene.kaspersky.com/2012/10/16/kl-developing-its-own-operating-system-we-confirm-the-rumors-and-end-the-speculation/

Tuesday, 16 October 2012

2012.10.16 - Nyhetsbrev

En bloggpost demonsterer en ny form for phishing ved hjelp av HTML5. Metasploit kan nå utnytte en ny svakhet i Novell ZENworks 7.5. Kaspersky har oppdaget mer malware relatert til Flame.

Using the HTML5 Fullscreen API for Phishing Attacks

Feross Aboukhadijeh har skrevet en blogg-post der han demonstrerer hvordan HTML 5 kan bli brukt til avansert phishing.

Først lurer han brukeren til å tro at en blir sendt til en legitim nettside. Dette gjøres ved å forfalske lenken som vises til brukeren når en holder muspekeren over linken. Deretter presenterer han en falsk webleser med falsk nettadresse i fullskjemsmodus. Den falske webleseren bygges opp slik at den stemmer overens med webleseren og operativsystemet til brukeren.
Referanser
http://feross.org/html5-fullscreen-api-attack/

Ny 0-day exploit for Novell ZENworks 7.5

Metasploit har publisert en ny 0-day svakhet i Novell ZENworks Asset Management. Exploiten lar angriper få tak i alle filer som SYSTEM brukeren har tilgang til samt få tak i konfigurasjonsparametre. Dette inkluderer passord i klartekst.
Referanser
https://community.rapid7.com/community/metasploit/blog/2012/10/15/cve-2012-4933-novell-zenworks

Forskere har funnet enda en stats-sponset malware.

Forskere hos Kaspersky har oppdaget en malware som de kaller "miniFlame". Formålet til denne malwaren virker å være presisjonsangrep mot mål i blandt annet Libanon og Iran. Den er laget for å spionere og samle inn data.
Referanser
http://www.wired.com/threatlevel/2012/10/miniflame-espionage-tool/

Monday, 15 October 2012

2012.10.15 - Nyhetsbrev

USA advarer Iran mot cyber-angrep. Krebs on Security har en oversikt over hva kompromitterte PCer brukes til. Det er oppdaget ny malware som krypterer filene dine og skremmer med brudd på SOPA.

USA advarer Iran

Leon Panette sa forrige uke at cybertrusselen fra Iran er økende og antydet koblinger mellom Iran og angrepene mot Saudi Aramco samt andre oljeselskaper i midtøsten. En advarsel gikk ut mot aggressorer om at USA har kapasitet til å lokalisere dem og holde dem ansvarlig for handlinger som måtte skade USAs interesser.
Referanser
http://www.washingtonpost.com/politics/officials-us-blaming-iran-for-persian-gulf-cyberattacks-panetta-says-us-ready-to-act/2012/10/11/91e7c74e-140f-11e2-9a39-1f5a7f6fe945_story.html

Oversikt over hva en kompromittert PC kan brukes til

Malware i infiserte PCer kan ha mye forskjellig funksjonalitet. Krebs on Security har laget en oversikt over hvordan bakmennene på forskjellig vis kan bruke kompromitterte PCer til å tjene penger.
Referanser
http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/

Krypteringsmalware utnytter SOPA-frykt

Ny krypteringsmalware utnytter folk som ikke har fått med seg at den amerikanske kopirettighetsloven SOPA ikke ble vedtatt. Den krypterer filer og påstår at det skjer fordi offeret er på en SOPA-svarteliste. Den uheldige blir da krevd for "økonomisk erstatning" (løsepenger) for å få dekryptert filene igjen. Det er imidlertid enkelt å dekryptere filene selv med oppskrifter som allerede er lagt ut på Internett uten å betale til svindlerne.
Referanser
http://news.cnet.com/8301-1023_3-57531219-93/ransomware-resurrects-the-sopa-specter/

Friday, 12 October 2012

2012.10.12 - Nyhetsbrev

Mozilla har utgitt Firefox 16, igjen.

Mozilla retter feil i Firefox 16

Mozilla har nå rettet svakheten som førte til at Firefox 16 ble trukket tilbake. Den aktuelle svakheten kan av nettsider utnyttes til å få tilgang til besøkendes nettleserlogg. Denne versjonen av Mozilla Firefox har versjonsnummer 16.0.1.
Referanser
http://www.mozilla.org/en-US/firefox/16.0.1/releasenotes/

Thursday, 11 October 2012

2012.10.11 - Nyhetsbrev

Google imponerer med patch under 10 timer etter info om svakheten ble publisert.
Mozilla har feil i versjon 15 av Firefox og Thunderbird. Versjon 16 av Firefox inneholdt en ny feil og er trukket tilbake i påvente av ny fikset versjon i løpet av kort tid.
Cisco retter flere svakheter.

Google kom med patch til Chrome-sikkerhetshull på mindre enn 10 timer

I gårsdagens nyhetsbrev omtalte vi en ny svakhet i Google Chrome. I underkant av 10 timer etter har google sluppet en patch.
Referanser
http://googlechromereleases.blogspot.no/2012/10/stable-channel-update_6105.html
http://arstechnica.com/security/2012/10/google-chrome-exploit-fetches-pinkie-pie-60000-hacking-prize/

Mozilla Firefox / Thunderbird Multiple Vulnerabilities

Mer enn 20 svakheter har blitt oppdaget i Mozilla Firefox og Thunderbird. De mest alvorlige svakhetene kan utnyttes til kompromittere et sårbart system fra eksternt hold.
Anbefaling
Oppgradèr til versjon 16.
Referanser
http://www.secunia.com/advisories/50856

Besøkte nettsider synlige for angriper av Firefox 16

Svakheten kan tillate en nettside å se hvilke andre nettsider brukeren har besøkt og har også tilgang til URL og URL-parametre. Ingenting tyder på at svakheten har blitt utnytta ennå. Mozilla planlegger å komme med ny versjon i løpet av det neste døgnet.
Anbefaling
Bruk en annen browser midlertidig til Mozilla har sluppet varlset patch innen få dager.
Referanser
http://blog.mozilla.org/security/2012/10/10/security-vulnerability-in-firefox-16/

Cisco retter svakheter i flere produkter i 5500, 6500 og 7500 serien

Cisco har gitt ut oppdateringer som retter sårbarheter i implementeringen av DCERPC inspection engine. Sårbarhetene kan utnyttes til å utføre tjenestenektangrep og buffer overflow.
Anbefaling
Installer oppdatering fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121010-asa
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121010-fwsm

Wednesday, 10 October 2012

2012.10.10 - Nyhetsbrev

Mange svakheter blir fikset i den månedlige oppdateringen fra Microsoft denne måneden.

Det er svakheter i Word, SQL Server, Kerberos-server, kernel, Fast-server, Works og også en svakhet i hvordan HTML tolkes. Svakhetene i HTML-tolkning, Kernel og SQL server gir mulighet for å øke rettigheter på systemene. Svakhetene i Word, Fast og Works gir mulighet til å kjøre vilkårlig kode på systemene. Kerberos-svakheten gir mulighet for denial-of-service.

Det meldes også fra ISC.org om en ny og alvorlig svakhet i BIND (DNS). Enkle manipulerte pakker kan forårsake at BIND-serveren henger seg og må restartes for å komme i tjeneste igjen.

Ellers går det rykter om ny svakhet med tilhørende exploit mot Chrome.

Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (2742319) (MS12-064)

Oppdateringen fikser to svakheter i Microsoft Office. En angriper kan utnytte den mest alvorlige svakheten til å eksekvere kode på et utsatt system ved å sende en spesialdesignet RTF-fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Word
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-064

Svakhet i Bind

Ny svakhet som muliggjør tjenestenektangrep mot Bind serveren. Patch og midlertidig fix finnes. Etter vellykket angrep, er det kun en restart som får tjenesten oppigjen.
Anbefaling
Oppgrader hvis mulig. Alternativt kan man midlertidig sette opsjonen minimal-responses til 'yes'
Referanser
https://kb.isc.org/article/AA-00801

Vulnerability in Kerberos Could Allow Denial of Service (2743555) (MS12-069)

Oppdateringen fikser en svakhet i Microsoft Windows. Svakheten kan gi en angriper muligheten til å forårsake en tjenestenekt-tilstand ved å sende en spesialdesignet forespørsel til en Kerberos-server.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-069

Vulnerability in Microsoft Works Could Allow Remote Code Execution (2754670) (MS12-065)

Oppdateringen fikser en svakhet i Microsoft Works. Svakheten kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker åpner en spesialdesignet Microsoft Word fil med Microsoft Works. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Works
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-065

Vulnerability in HTML Sanitization Component Could Allow Elevation of Privilege (2741517) (MS12-066)

Oppdateringen dekker en svakhet i Microsoft Office, Microsoft Communications Platforms, Microsoft Server software og Microsoft Office Web Apps. Svakheten kan gi en angriper muligheten til å forårsake en rettighetseskalering dersom angriperen sender en spesialdesignet pakke til en bruker.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-066

Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2742321) (MS12-067)

Oppdateringen dekker flere svakheter i Microsoft FAST Search Server 2010 for SharePoint. Svakhetene kan gi en angriper mulighet til å eksekvere kode på et utsatt system. FAST Search Server for SharePoint er bare sårbar hvis Advanced Filter Pack er aktivert, noe den som standard ikke er.
Anbefaling
Oppdater produktet
Referanser
http://technet.microsoft.com/en-gb/security/bulletin/ms12-067

Vulnerability in Windows Kernel Could Allow Elevation of Privilege (2724197) (MS12-068)

Oppdateringen dekker en svakhetet i Microsoft Windows som kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering dersom angriperen logger seg på et system og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må angriperen ha gyldig påloggingsinformasjon.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-gb/security/bulletin/ms12-068

Vulnerability in SQL Server Could Allow Elevation of Privilege (2754849) (MS12-070)

Oppdateringen fikser en svakhet i Microsoft SQL Server. Svakheten kan gi en angriper muligheten til å forårsake en rettighetseskalering dersom en bruker besøker en nettside, som utnytter sårbarheten, via en spesialdesignet URL.
Anbefaling
Oppdater Microsoft SQL Server
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-070

Rykte om ny kritisk sårbarhet i Chrome.

Det går rykter om at det er utviklet en ny exploit mot Chrome. Detaljer om dette skal slippes under Chris Evans foredrag under en sikkerhetskonferanse, HITB 2012, i Amsterdam.
Anbefaling
Bruk alternativ browser inntil videre.
Referanser
https://pwnium.appspot.com/

Tuesday, 9 October 2012

2012.10.09 - Nyhetsbrev

Adobe har sluppet en oppdatering for Adobe Flash og Air. Representantenes hus i USA har publisert en rapport om de kinesiske firmaene Huawei og ZTE. Det har kommet en ny variant av malwaren TDL4.

Sikkerhetsoppdatering for Adobe Flash Player og Adobe Air

Oppdateringen fikser 25 svakheter der de mest alvorlige kan gi en angriper muligheten til å ta kontroll over en utsatt maskin. For fullstendig liste over rettede sårbarheter, se referanse. Det anbefales å oppdatere klientmaskiner så fort som mulig.
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-22.html

Ny versjon av TDL4 skjuler seg for antivirus-løsninger

I September skrev Damballa at de hadde oppdaget en ny versjon av malwaren TDL4. TDL4 var tidligere kjent for å infisere "Master Boot Record", noe som gjorde infeksjonen usynlig for antivirus-løsninger og vanskelig å bli kvitt. Nå skriver SurfRight at en ny versjon av TDL4, kalt Sst, infiserer "Volume Boot Record". Ved å infisere VBR er Sst enda vanskeligere å håndtere for antivirus-løsninger.

SurfRight har gitt ut en liste over infeksjoner som blir funnet på maskiner som allerede har antivirus-løsninger installert og der er Sst nummer 2 etter bare 2 måneder.
Referanser
http://hitmanpro.wordpress.com/2012/10/07/new-tdl4-strain-very-successful-in-hiding-from-av/
http://www.net-security.org/malware_news.php?id=2288

Representantenes hus i USA slipper rapport om Huawei/ZTE

Representantenes hus i USA har sluppet en rapport rundt de kinesiske firmaene Huawei og ZTE. I rapporten har de undersøkt om firmaene kan utgjøre en sikkerhetsrisiko for amerikanske interesser. Rapporten konkluderer med at amerikanske firmaer bør bruke andre leverandører enn Huawei/ZTE. Se lenke til vedlagte rapport for detaljer. Huawei tilbakeviser påstandene.
Referanser
http://intelligence.house.gov/sites/intelligence.house.gov/files/documents/Huawei-ZTE%20Investigative%20Report%20%28FINAL%29.pdf
http://arstechnica.com/tech-policy/2012/10/congress-accuses-chinese-tech-giants-of-un-american-activities/
http://www.theregister.co.uk/2012/10/09/huawei_fights_back_against_adverse_security_finding/

Monday, 8 October 2012

2012.10.08 - Nyhetsbrev

Brian Krebs gir et innblikk i noe av det som rører seg i den russiske cyber-undergrunnen og "Project Blitzkrieg" som skal forene kriminelle krefter for å kunne stjele fra amerikanske banker.

Project Blitzkrieg lover aggressive cyber-ran i USA

Krebs skriver om hva som rører seg i cyber-undergrunnen i Russland. Kriminelle går sammen i en kampanje for å utnytte manglende to-faktor autentisering i amerikanske banker. Fra nå og til våren 2013 skal det være planlagt å utnytte både tidligere brukte og nye metoder for å stjele fra bankkontoer.
Referanser
http://krebsonsecurity.com/2012/10/project-blitzkrieg-promises-more-aggressive-cyberheists-against-u-s-banks/

Friday, 5 October 2012

2012.10.05 - Nyhetsbrev

Microsoft har sluppet noe informasjon om neste ukes oppdateringer. Det ble i går gjennomført en større sikkerhetsøvelse i en rekke europeiske land. Ny svakhet annonsert i Oracle klient, og VMWare har sluppet oppdateringer.

Microsoft publiserer forhåndsvarsel av oppdateringer for oktober

Microsoft melder at de kommer til å slippe 7 oppdateringer tirsdag 9. oktober. Oppdateringene som slippes vil fikse svakheter i Windows, Office, SQL Server, Lync/Communicator og SharePoint, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. 1 av oppdateringene blir rangert som kritiske, mens resten rangeres som viktige.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-oct

Global teknisk-støtte-svindel tatt ned

Amerikanske, kanadiske og australske myndigheter hevder å ha identifisert og tatt ned virksomheten til svindlere som gir seg ut for å være teknisk støtte fra for eksempel Microsoft. Canada har gitt dem bøter. USA har fryst midlene deres og satt i gang rettsforfølging.
Referanser
http://www.theregister.co.uk/2012/10/04/tech_support_scam_crushed/

Ny Oracle-svakhet avdekket

I konferansen DerbyCon 2.0 har det blitt avslørt at krypterte brukernavn og passord blir lagra i minnet til klienten også etter at databasesesjonen er avsluttet. Dette gjør at inntrengere har sjansen til å forsøke å dekryptere disse.
Referanser
http://www.h-online.com/security/news/item/New-Oracle-hacks-revealed-1723371.html

Stor europeiske sikkerhets øvelse

Banker, ISP'er og myndigheter i 25 ulike europiske land gjennomførte i går en større simulert øvelse, der et stort DDOS angrep var kjernen av øvelsen. Målet var å teste metoder og samarbeid imellom ulike organisasjoner og land. Totalt måtte de ulike partene håndtere over 1000 ulike hendelser.

Referanser
https://www.enisa.europa.eu/media/news-items/europe-joins-forces-in-cyber-europe-2012
http://www.theregister.co.uk/2012/10/04/simulated_cyber_security_attack_exercise/

VMWare oppdateringer

VMWare har sluppet sikkerhetsoppdateringer til vCenter Operations, CapacityIQ og Movie Decoder. Se referanse for detaljer.
Anbefaling
Oppdater
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0014.html

Thursday, 4 October 2012

2012.10.04 - Nyhetsbrev

Nettsidene til den svenske regjeringen og riksbanken utsatt for DDoS-angrep. Google advarer mot nye statssponsa cyberangrep. Til slutt har vi med en interessant artikkel om DDoS-angrep på amerikanske banker.

Nettsidene til den svenske regjeringen og riksbanken utsatt for DDoS-angrep

Den svenske riksbankens hjemmeside var lenge helt utilgjengelig i natt. Tjenestenektangrepet starta klokka 22 i går kveld og siden var fremdeles utilgjengelig tre timer senere. Den svenske regjeringen byttet ut nettsiden med en forenklet utgave for å holde den tilgjengelig. Mye tyder på at hackernettverket Anonymous står bak som hevn etter razzia hos PRQ.
Referanser
http://www.svt.se/nyheter/sverige/flera-sajter-utslagna

Google advarer mot nye statssponsa cyberangrep

Tirsdag meldte Google at titusenvis av deres brukere har fått melding om at Google-kontoene deres ble komprimittert av cyberangrep som var stats-sponset. Meldinga kom i Gmail-innboksen, Google-hjemmsida eller Chrome-nettleseren. Får man en slik melding, bør man endre passord i Google-kontoen sin. Den anbefales også å aktivere to-trinns autentisering. Slike angrep har i det siste blitt brukt av enkelte land i Midtøsten til å overvåke borgere og aktivister i utlandet.
Referanser
http://bits.blogs.nytimes.com/2012/10/02/google-warns-new-state-sponsored-cyberattack-targets/?smid=tw-nytimestech&seid=auto
http://news.cnet.com/8301-1009_3-57525334-83/middle-east-cyberattacks-on-google-users-increasing/?part=rss&tag=feed&subj=News-Security&Privacy

Interessant artikkel om DDoS-angrep på amerikanske banker.

En interessant artikkel om DDos-angrep mot amerikanske banker og hvilke metoder som ble brukt.
Referanser
http://arstechnica.com/security/2012/10/ddos-attacks-against-major-us-banks-no-stuxnet/?comments=1#comments-bar

Wednesday, 3 October 2012

2012.10.03 - Nyhetsbrev

Av siste døgns svakheter er det Citrix Netscaler som har utmerket seg. Denne gir mulighet for å gi et guest-os rettigheter helt opp på host-os nivå. Noe som er veldig kritisk i denne typen applikasjoner.

Av andre nyheter på sikkerhetsfronten kan vi nevne et interessant blogginnlegg av Brian Krebs der han sammenligner sikkerheten i nettlesere. Twitter har også fått kritikk den siste tiden når det gjelder sikkerheten de har rundt brukerkontoer. Til slutt kan vi også nevne at The Register skriver at hackergruppen GhostShell har offentliggjort 120.000 brukernavn og passord hentet fra over 100 universiteter verden rundt.

Brian Krebs sammenligner sikkerheten til nettlesere

Sikkerhetsekspert skriver at Internet Explorer ikke kommer så dårlig ut når man ser på antall svakheter. Det kommer dermed veldig dårlig ut hvis man ser på hvor mange svakheter som faktisk blir utnyttet. Godt eksempel er 0-dags-sårbarheten fra den siste tiden.
Referanser
http://krebsonsecurity.com/2012/10/in-a-zero-day-world-its-active-attacks-that-matter

Twitter utsetter kontoer for bruteforce angrep

Daniel Jones, offer for kontokapring, mener Twitter ikke har tilstrekkelig med sikkerhet rundt brukerkontoer for å forhindre bruteforce angrep. Innloggingsforsøk bli registert per IP-adresse, ikke per konto, som er mest vanlig. Dermed kan en identitetstyv prøve seg med mange innloggingsforsøk med vanlige passord hvis vedkommende har mange IP-adresser til rådighet.
Referanser
http://news.cnet.com/8301-1009_3-57522601-83/security-hole-exposes-twitter-accounts-to-hacking-victim-claims/

120 000 studentbrukerkontoer lekket i data-innbrudd ved 100 topp-universiteter

Den Anonymous-relaterte hackergruppa GhostShell har brutt seg inn og offentliggjort 120 000 brukerkontoer til studenter og ansatte ved 100 topp-universiteter verden rundt. Blant dem er Princeton, Harvard, Cambridge og Imperial College London. Aksjonen skal være ment som protest mot skolepenger og fallende undervisningskvalitet.
Referanser
http://www.theregister.co.uk/2012/10/02/university_hacking_ghostshell/

Sårbarheter i Citrix NetScaler

Det er funnet flere sårbarheter i Citrix NetScaler som gir en angriper mulighet til å kjøre tjenestenekt, eller å øke rettighetene fra guest-os til host-os.
Anbefaling
Oppdater til siste versjon
Referanser
http://support.citrix.com/article/CTX134876

Tuesday, 2 October 2012

2012.10.02 - Nyhetsbrev

I Sverige har det pågått DDoS-angrep i går, mens i Brasil har man problemer med en sikkerhetsfeil i flere millioner DSL-modem.

DDoS mot flere større svenske nettsteder

Flere større svenske sider, som SEB-banken, Swedbank, TT og Forsvarsmakten ble utsatt for DDoS-angrep i går. Det spekuleres i om dette har en sammenheng med rettsprosessen til Wikileaksgrundaren Julian Assange.
Referanser
http://www.aftonbladet.se/nyheter/minekonomi/article15534398.ab
http://www.dn.se/nyheter/sverige/tt-utsatt-for-natattack

Millioner av brukere angrepet i Brasil via feil i fastvaren til modem.

Siden 2011 skal flere millioner brasilianske kunder ha blitt utsatt for angrep mot DSL-modemene dems. Hackere har brukt en feil i modemene som har gjort at angriperne har kunnet endre DNS-innstillingene i modemet. Når de har tilgang til dette kan de f.eks videreføre brukerne fra lovlige sider til sider med malware på eller servere dem en falsk versjon av nettbanken dems.
Referanser
http://www.securelist.com/en/blog/208193852/The_tale_of_one_thousand_and_one_DSL_modems

Monday, 1 October 2012

2012.10.01 - Nyhetsbrev

Lite nytt.

Det er ingen nye saker siden sist.