Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 30 November 2012

2012.11.30 - Nyhetsbrev

Google ute med oppdatering til nettleseren Chrome som retter kritiske svakheter. Sophos melder om at økt spredning av trojaneren VBNA-X. Dette kan være knyttet til metodene den bruker til å spre seg på, som utelukkende er ved bruk av social engineering. Symantec er ute med ny rapport om trojaneren Crisis. Dette er en avansert multiplattform trojaner med funksjonalitet som blant annet gir den mulighet til å spre seg til VMware gjesteoperativsystemer.

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen fikser en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.no/2012/11/stable-channel-update_29.html

Symantec ute med rapport om trojaneren Crisis

Crisis skal fungere både på Windows, Windows phone og Mac. Den inneholder avanserte avlyttingsfunksjoner som inkluderer logging av tastetrykk, utklippstavle, avlytting av nettleser og uthenting av kontaktlister. Trojaneren kan også ta bilder av skjermen til offeret, samt ta i bruk webkamera og mikrofon. Den kan også bruke WIFI informasjon i forsøk på å avdekke offerets lokasjon. Det symantec betegner som unikt med akkurat crisis i forhold til dette er at alle disse avlyttingsfunksjonene fungerer uavhengig av om den kjører på Windows eller Mac. Hvis klienten bruker VMware på Windows har Crisis også muligheten til å kopiere seg ut på gjesteoperativsystemene. Man ser ofte at denne typen trojanere har spesifikk funksjonalitet for å unngå å bli kjørt i nettopp et VMware miljø. Crisis snur altså denne trenden ved å aktivt forsøke å spre seg over i virtuelle miljøer. Se referanse for å lese hele rapporten fra Symantec.
Referanser
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/crisis_the_advanced_malware.pdf

Sophos melder om økt spredning av trojaneren VBNA-X

Flere antivirusleverandører inkludert McAfee og Symantec melder om det samme. Det er en stund siden denne trojaneren først ble oppdaget, og det er først nå i sin siste versjon at den skal ha begynt å spre seg mer aggressivt. Trojaneren sprer seg via flyttbare medier og over delte nettverksmapper i Windows. Den oppretter eksekverbare filer der den bruker ikoner til mapper, bilder og videoer for å lure brukeren til å trykke på seg. Hvis brukeren ikke har skrudd på at filetternavn skal vises i explorer, noe som er standard på Windows i skrivende stund, så kan det tenkes at man lett kan la seg lure.
Referanser
http://nakedsecurity.sophos.com/2012/11/30/w32vbna-x-spreads-quickly-through-networks-and-removable-media/

Thursday, 29 November 2012

2012.11.29 - Nyhetsbrev

Google Chrome oppdatering for Android. Shylock, en finans-malware unnviker seg analyse.
En hackergruppe har stjålet e-post fra ansatte ved et Israelsk atomkraftverk, og truer med offentliggjøring av disse hvis ikke Israel innrømmer at de har atomvåpen.
16 medlemmer av en rumensk hacker bande er arrestert i Australia for kortsvindel.
Universitetet i Oregon har oppdaget et nytt type hack hvor man bruker en sky-tjeneste til beregning i forbindelse med passordknekking.

Chrome får Android- og iOS-oppdatering

Google har sluppet oppdatering for nettleseren Android i mobiloperativsystema Android og iOS. Begge oppdateringene skal ha forbedring av stabilitet og sikkerhet.
Referanser
http://googlechromereleases.blogspot.no/2012/11/chrome-for-android-update_28.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+GoogleChromeReleases+%28Google+Chrome+Releases%29
http://googlechromereleases.blogspot.no/2012/11/chrome-for-ios-update.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+GoogleChromeReleases+%28Google+Chrome+Releases%29

Finans-malware unnviker analyse

Finans-malwaren Shylock oppdager om den blir forsøkt kjørt via fjernstyrt skrivebord, så den unnviker analyse. Dette blir gjort for å forlenge tida det tar får malwaren blir oppdaga.
Referanser
http://www.darkreading.com/advanced-threats/167901091/security/antivirus/240142738/financial-malware-platform-detects-remote-desktop-environments-to-evade-researchers.html

Wireshark har blitt oppdatert

I oppdaterte Wireshark 1.8.4 har det kommet noen sikkerhetsfikser.
Referanser
http://www.wireshark.org/docs/relnotes/wireshark-1.8.4.html
https://isc.sans.edu/diary.html?storyid=14587&rss

Personlige data stjålet fra atomanlegg i Israel

En trolig iransk hackergruppe som kaller seg Parestoo (persisk for svale), offentliggjore på tirsdag 150 e-postadresser som skal være tilknytta ansatte ved et atomanlegg i Israel. Gruppa oppfordrer Israel til å innrømme at de har atomvåpen, noe landet har vært tvetydig om. Ellers vil hackerne offentliggjøre sensitive data som de ansatte som de også skal ha i besittelse.
Referanser
http://www.theregister.co.uk/2012/11/28/anti_israel_hackers_leak_addresses/

Rumensk hackerbande pågrepet for kredittkorttyveri i Australia

En rumensk bande har stålet kredittkortdata fra 30 000 australske forbrukere og tatt ut 30 millioner dollar fra disse. 16 av medlemmene i gjengen er nå arrestert.
Referanser
http://arstechnica.com/security/2012/11/small-business-point-of-sale-systems-hacked-subway-style-in-australia/

Googles DNS servere i Romania utsatt for DNS-poisoning

Brukere av Googles DNS servere i Romania ble i går henvist til feil nettside for blant annet domener tilhørende Microsoft og Google. Årsaken til dette var at en hacker hadde utført et DNS-poisoning angrep mot Google. Det er ikke kjent om dette gikk utover brukere i andre land.
Referanser
http://www.theregister.co.uk/2012/11/28/google_romania_dns_hack/

Ny hack utnytter sky-baserte nettlesere

En ny type hack førere til at man kan brukere sky-baserte nettleserne til å utføre beregninger til passordknekking. Tjenestenektangrep skal også være mulig. Dette er oppdaga ved forskning ved Universitetet i Oregon. Les mer i referanse.
Referanser
http://www.darkreading.com/cloud-security/167901092/security/news/240142718/new-hack-abuses-cloud-based-browsers.html

Wednesday, 28 November 2012

2012.11.28 - Nyhetsbrev

Java 0-day exploit-kode selges for fem-sifret dollarbeløp. Dark Reading har en artikkel om utvikling innen DDoS-angrep. Chrome har kommet i ny versjon. Hardkodet passord funnet i Samsung-skrivere. Ondsinnet kode har blitt lagt inn lagt inn i verktøyet Piwik.

Java 0-day exploit-kode selges for fem-sifret dollarbeløp

I kriminelle miljøer blir en ny Java 7-exploit angivelig solgt for et femsifret beløp i dollar. Exploiten fungerer trolig ikke på eldre Java-versjoner. Brian Krebs anbefaler i bloggen sin at en bruker to ulike nettlesere, én med Java deaktivert. Browseren der Java er aktivert brukes så kun der Java er nødvendig, som f.eks. ved bruk av BankID.
Referanser
http://krebsonsecurity.com/2012/11/java-zero-day-exploit-on-sale-for-five-digits/

Må tilpasse seg utviklingen i DDoS-angrep

DDoS-angrep blir stadig kraftigere og det utvikles mer avanserte varianter hvor flere angrepsvektorer benyttes samtidig. Det siste året har antallet angrep doblet seg og de største angrepene er nå gjennomsnittlig på 5 Gbit/s.
Referanser
http://www.darkreading.com/security-services/167801101/security/perimeter-security/240142616/evolving-ddos-attacks-force-defenders-to-adapt.html

Chrome-oppdatering

Chrome har kommet med en oppdatering som fikser syv sårbarheter, hvorav flere er rangert som alvorlige.
Referanser
http://googlechromereleases.blogspot.no/search/label/Stable%20updates

Hardkodet passord funnet i Samsung-skrivere

Det har blitt avslørt at Samsung-skrivere som kom til butikkene før forrige månedsskifte har hardkodet administratorkonto og passord. Angripere kan få full lese/skrive-tilgang til skriveren via protokollen SNMP. Det anbefales å begrense nettverkstilgangen til slike skrivere slik at de i alle fall ikke er tilgjengelig fra Internett.
Referanser
http://nakedsecurity.sophos.com/2012/11/27/samsung-printer-password

Ondsinna kode lagt inn i Piwik

Hackere har lagt inn ondsinna kode i analyseverktøyet Piwik som har åpen kildekode. Folk som har lasta ned programvaren i løpet av tida 15:45 UTC til 23:59 UTC på mandag bør slette den.
Referanser
http://arstechnica.com/security/2012/11/malicious-code-added-to-open-source-piwik-following-website-compromise/

Tuesday, 27 November 2012

2012.11.27 - Nyhetsbrev

I dag har vi informasjon om malwaren Narilam samt en gjennomgang av exploit-kittet Propack.

Informasjon om malwaren Narilam

Kaspersky har en oppsummering rundt malwaren Narilam som Symantec meldte om for noen dager siden. Malwaren er over to år gammel og er nå så godt som utryddet. Den var designet for å slette finansiell informasjon fra databaser i programvare levert fra TarrahSystem i Iran. Nesten alle infiserte maskiner har vært i Iran og Afghanistan.
Referanser
http://www.securelist.com/en/blog/208193954/Narilam_A_New_Destructive_Malware_Used_In_the_Middle_East

Gjennomgang av exploit-kittet Propack

Bloggen "Malware don't need Coffee" har en gjennomgang av siste versjon av Propack exploit-kittet og infeksjonsvektorer det benytter seg av. En kan også se priser og informasjon om produktet.
Referanser
http://malware.dontneedcoffee.com/2012/11/meet-propack-exploit-pack.html

Monday, 26 November 2012

2012.11.26 - Nyhetsbrev

Svindelkonkurranse lokker med Ipad og Iphone. Flere svenske sykehus hacket av Anonymous. Malware viser video fra webkameraet ditt og snakker til deg. Google, Microsoft, Ebay osv. tatt ned i Pakistan.

Svindelkonkurranse lokker med Ipad og Iphone

Det pågår en ny runde med svindel som benytter seg av Apple-produkter som lokkemat. Man mottar først en invitasjon via Facebook til å delta i en konkurranse og deretter blir man forsøkt svindlet ved hjelp av en falsk login-side til Facebook. Etter å ha fått tak i brukernavn og passord til offeret sprer svindelen seg videre ved å invitere offerets kontakter.

Denne svindelen retter seg spesielt mot nordmenn. Motivasjonen til bakmennene er som vanlig å tjene penger på å lure ofrene til å abonnere på dyre innholdstjenester via SMS.

Vi meldte om denne svindelen via vår Facebook-side i går kveld.
Referanser
https://www.facebook.com/TelenorSOC

Flere svenske sykehus hacket

Expressen melder at hackere fra Anonymous har brutt seg inn i datasystemene til flere svenske sykehus. Her har de fått tak i opplysninger om hundretusenvis av pasienter. Det er også mulighet for at opplysninger kan være endret. Angrepet er gjort for å støtte Julian Assange.
Referanser
http://www.idg.no/computerworld/helse/article261041.ece
http://www.expressen.se/nyheter/sjukhusen-hackades-av-assangeanhangare/

Malware viser video fra webkameraet ditt og snakker til deg

Ransomware-familien Reveton har nå kommet i en ny versjon. Denne typen malware prøver å få offeret til å tro at politiet har funnet piratkopiert programvare på PCen. Det må deretter betales en bot for å låse opp PCen og unngå straffeforfølgelse.

Den nye versjonen viser live-video fra web-kamera til brukeren og leser opp en beskjed tilpasset brukerens språk. Det ser ikke ut til at lydbeskjeden er oversatt til norsk enda, men malwaren har vært aktiv i Norge i tidligere utgaver.
Referanser
http://malware.dontneedcoffee.com/2012/11/reveton-speaking.html

Google, Microsoft, Ebay osv. tatt ned i Pakistan

Hackere har brutt seg inn hos registreringstjenesten PKNIC i Pakistan. Der har de pekt 285 .pk web-adresser, mange av dem kjente, til en ny web-tjener. Det er ukjent om det finnes noe motiv bak ugjerningen.
Referanser
http://www.zdnet.com/google-microsoft-and-ebay-fall-victim-to-pakistani-hack-7000007887/

Friday, 23 November 2012

2012.11.23 - Nyhetsbrev

En greker skal ha stålet personopplysninger om 9 millioner innbyggere. En exploit for å kapre Yahoo-kontoer selges for $700 i undergrunnsforumer.

Stjal personopplysninger fra 9 millioner grekere

Gresk politi pågrep tirsdag denne uken en 35 år gammel programmerer som er mistenkt for å ha stjålet personlige data fra 9 millioner grekere. Det er uvisst hvordan mannen har fått tak i dataene.
Referanser
http://www.digi.no/906613/stjal-personopplysninger-fra-9-millioner

Exploit for å kapre Yahoo-kontoer selges for $700

En exploit for å kapre Yahoo-kontoer selges for $700 i undergrunnsforumer. Svakheten er enda ikke fikset av Yahoo. Den kan utnyttes ved å lure en person til å trykke på en spesiell lenke mens han er logget inn hos Yahoo.
Referanser
http://krebsonsecurity.com/2012/11/yahoo-email-stealing-exploit-fetches-700/

Thursday, 22 November 2012

2012.11.22 - Nyhetsbrev

I forbindelse med forrige presidentvalg i Frankrike beskyldes USA for cyberangrep mot samarbeidspartnere til tidligere Franske president Nicholas Sarkozy.

USA beskyldt for cyberangrep mot Frankrike

Cyberangrep skal ha skjedd mot samarbeidspartnere til tidligere fransk president Nicholas Sarkozy rett før presidentvalget i mai. Sarkozys strategiplaner skal ha blitt stjålet. USA nekter for at de står bak angrepet. Dette er første gang USA har blitt beskyldt for å utføre slike angrep mot en av sine allierte.
Referanser
http://news.cnet.com/8301-1009_3-57553153-83/u.s-accused-of-cyberattack-on-french-government/?part=rss&tag=feed&subj=News-Security&Privacy
http://threatpost.com/en_us/blogs/france-accuses-us-using-flame-malware-hack-presidents-network-112112

Wednesday, 21 November 2012

2012.11.21 - Nyhetsbrev

Facebook begynner å innføre HTTPS som standard ved all kommunikasjon.
Nytt Linux-rootkit oppdaget.
Mozilla Firefox er lansert i ny og sikrere utgave.
Opera er ute i en ny versjon som fikser en alvorlig sårbarhet.

Facebook innfører HTTPS som standard

Facebook har begynt å innføre bruk av HTTPS som standard ved all tilkobling til nettsidene sine. I første omgang er dette innført for brukere i Nord-Amerika, men resten av verden vil snart følge etter. Fra før blir HTTPS bare brukt ifbm. innlogging, og kun ved videre kommunikasjon dersom brukeren bevisst har valgt å slå det på.
Referanser
http://threatpost.com/en_us/blogs/facebook-enabling-https-default-north-american-users-111912

Nytt Linux-rootkit oppdaget

Det har blitt oppdaget et nytt rootkit for Linux. Rootkitet er laget spesifikt for 64-bit Linux-systemer, og er trolig ment for å redirigere besøkende til exploit-sites via iframe-injisering. Det litt spesielle er iflg. Kaspersky Labs at denne injiseringen av ondsinnede iframes gjøres direkte "on-the-fly" på de utgående HTTP-pakkene. Vanligvis er det selve filene på web-serveren som endres, så denne funksjonaliteten gjør det vanskeligere å rydde opp på web-serveren.
Referanser
https://threatpost.com/en_us/blogs/new-linux-rootkit-emerges-112012

Mozilla Firefox 17 lansert

Firefox 17 er lansert. Den nye versjonen skal være sikrere, og har bl.a. en ny standardfunksjon som kalles "Click-to-play plugins". Dette innebærer at dersom man benytter gamle og utdaterte versjoner av plugins, vil ikke Firefox lenger vise innhold automatisk vha. disse. Man må istedenfor klikke manuelt på innholdet for å få kjørt/vist dette. Samtidig vil man få opp en link med tilbud om å oppdatere den gjeldende plugin.
Referanser
http://arstechnica.com/information-technology/2012/11/firefox-17-is-more-social-and-secure-but-doesnt-care-for-leopards/

Opera-oppdatering fikser alvorlig sårbarhet

Opera er ute i en ny versjon som bl.a. tetter en alvorlig sårbarhet som gjør det mulig å få kjørt vilkårlig kode fra eksternt hold. Typisk angrepvektor er via besøk til en ondsinnet nettside.
Anbefaling
Oppdater til Opera 12.11
Referanser
http://www.h-online.com/security/news/item/Opera-12-11-fixes-high-severity-vulnerability-1753773.html
http://www.opera.com/support/kb/view/1036/

Tuesday, 20 November 2012

2012.11.20 - Nyhetsbrev

Adobe har kommet med en sikkerhetsoppdatering for Adobe ColdFusion.

Adobe oppdaterer ColdFusion

Adobe har kommet med en sikkerhetsoppdatering for Adobe ColdFusion. Oppdateringen fikser en svakhet som en angriper kan utnytte til å utføre et tjenestenektangrep. Se referanse for informasjon om hvordan man oppdaterer produktet.
Anbefaling
Oppdater ColdFusion
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-25.html
http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb12-25.html

Monday, 19 November 2012

2012.11.19 - Nyhetsbrev

VMware er ute med oppdateringer. To servere knyttet til FreeBSD sitt pakkesystem har vært kompromittert siden september i år.

Servere hos freebsd.org kompromittert

Freebsd.org meldte lørdag at to av serverne deres har blitt kompromittert. Dette skal de ha vært fra 19. september til 11. november i år. De mistenker at dette kan ha skjedd som følge av at noen skal ha fått tak i en SSH nøkkel fra en av utviklerne. Disse serverne er en del av et større cluster som har som oppgave å distribuere såkalte tredjepartspakker. Kort fortalt er FreeBSD sitt pakkesystem delt inn i to: En "base" som inneholder de grunnleggende pakkene som danner et standard operativsystem. Det vil si pakker som kjernen, system biblioteker og kompilatoren som brukes osv. Pakker som gir funksjonalitet utover dette kommer fra tredjepartspakkesystemet. Det er denne delen som har blitt kompromittert. Freebsd.org melder at de ikke har fått noen indikasjoner på at noen av disse pakkene skal ha blitt endret som følge av datainnbruddet, men påpeker at de likevel ikke kan være sikre. De anbefaler derfor blant annet reinstallasjon av maskiner som kan ha hentet pakker herfra under perioden serverne var kompromittert. Se vedlagt referanse for å lese hele saken samt få en oversikt over andre anbefalte tiltak.
Referanser
http://www.freebsd.org/news/2012-compromise.html

VMWare retter svakheter i ESX/ESXi 4.1

VMWare har rettet en svakhet i vSphere APIen i ESX og ESXi 4.1. En vellykket utnyttelse av svakheten kan føre til et tjenestenektangrep. Svakheten ligger i to BIND-biblioteker som APIen benytter.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0016.html

Friday, 16 November 2012

2012.11.16 - Nyhetsbrev

Anonymous angriper Israelske websider. Wired har en artikkel om passord og problemer rundt disse.

Anonymous angriper Israelske websider

Anonymous har angrepet flere israelske websteder i forbindelse med at konflikten med palestinerne har eskalert de siste dagene. Noen sider har fått byttet ut innhold, mens andre har blitt utsatt for DDoS-angep.
Referanser
http://bits.blogs.nytimes.com/2012/11/15/anonymous-attacks-israeli-web-sites/

Passord og sikkerhet

Wired har en lengre artikkel om passord. Forfatteren mener at passord ikke lengre er egnet til å beskytte sikkerheten vår på Internett. Det er også alt for lett å lure kundeservice hos forskjellige firmaer til å resette passordet ved hjelp av sosial manipulering.
Referanser
http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/

Thursday, 15 November 2012

2012.11.15 - Nyhetsbrev

Informasjon om 150 000 brukerkontoer hos Adobe er på avveie.
Skypesvakhet som har blitt missbrukt i det stille over en viss tid har nå blitt fikset av Microsoft som eier Skype.
Alvorlig svakhet i Oracle Client Analyzer er nå dessverre tilgjengelig via Metasploit.
Svakhet i Novell NetIQ gir angriper mulighet til å få admintilgang.

150 000 brukerkontoer hos Adobe hacka

Informasjon om 150 000 brukerkontoer har blitt hentet ut fra Adobes forumtjeneste connectuseers.com. Hackeren hevdet at han brukte SQL-injection og at siden databasen var kryptert med MD5, var det veldig lett å få tak i dataene. Adobe bekrefter lekkasjen, og sier at de vil resette passord til de påvirke kontoene og kontakte kundene de tilhører. Hackeren påstår at han kommer til å gjøre tilsvarende med Yahoo for å teste sikkerheten der.
Referanser
http://www.darkreading.com/database-security/167901020/security/attacks-breaches/240134996/adobe-hacker-says-he-used-sql-injection-to-grab-database-of-150-000-user-accounts.html

Metasploit oppdatert med exploitkode mot Oracle Client Analyzer

Metasploit rammeverket har blitt oppdatert med vellykket kode for missbruk av Oracles Client Analyzer. Svakhetene har vært kjent en stund men når er exploitkode tilgjengelig for "alle".
Anbefaling
Patch Oracle og begrens unødvendig tilgang til Oracle Servere.
Referanser
http://packetstormsecurity.org/files/118119 /client_system_analyzer_upload.rb.txt

Novell NetIQ Privileged User Manager 2.3.1 Code Execution

Svakhet oppdaget i auth.dll og idapagnt.dll. Disse svakhetene åpner for at eksterne kan logge seg på systemene med admin tilgang.
Anbefaling
Installer patch når den foreligger.
Referanser
http://packetstormsecurity.org/files/118117/9sg_novell_netiq_i.tgz

Security hole allows anyone to hijack your skype account using only your email address

Det skal ha blitt oppdaget en svakhet i Skype som gjør det mulig for en ondsinnet person å kapre/ta over kontrollen på en annens Skype-konto ved bare å kjenne til email-addressen som er tilknyttet kontoen. Skype fjernet midlertidig den involverte funksjonaliteten "passord reset". Tjenesten er nå oppe igjen og svakheten fikset.
Anbefaling
Oppdater.
Referanser
http://thenextweb.com/microsoft/2012/11/14/security-hole-allows-anyone-to-hijack-your-skype-account-using-only-your-email-address/
https://isc.sans.edu/diary.html?storyid=14512&rss

Wednesday, 14 November 2012

2012.11.14 - Nyhetsbrev

Microsoft har gitt ut sine månedlige oppdateringer. Denne gangen ble det seks stykker der fire av disse har blitt rangert som kritiske. Ellers har det tyske føderale byrået for informasjonsteknologi publisert en interessant artikkel der de har testet sitt eget anbefalte oppsett av Windows 7. Det viser seg også at OSSE skal ha blitt utsatt for et datainnbrudd for andre gang på kort tid. Det er også oppdaget en svakhet i mange implementasjoner av IPv6 som gjør dem sårbare for DoS-angrep på lokalnettet.

OSSE utsatt for datainnbrudd for andre gang

OSSE, Organisasjonen for Sikkerhet og Samarbeid i Europa, har blitt utsatt for datainnbrudd for andre gang på kort tid. Det mistenkes at Anonymous står bak denne gangen også. Den stjålne informasjon omhandler en arbeidsgruppe i OSSE som skulle danne tillitsbyggende tiltak for å redusere risikoen for nettopp cyber-angrep.
Referanser
http://jeffreycarr.blogspot.de/2012/11/osces-cyber-security-confidence.html

BSI har testet egne konfigurasjonsanbefalinger for Windows

Det tyske føderale byrået for sikkerhet i informasjonsteknologi (BSI) har testet ut sine egne anbefalinger for sikker konfigurering av Windows 7. Testen har blitt utført ved bruk av gratis programvare på to maskiner med et BSI anbefalt oppsett og et mer tilfeldig oppsett. På maskinen med det tilfeldige oppsettet finner man Internet Explorer 9, Adobe Reader 9.4 og ett år gamle versjoner av LibreOffice, Java Runtime og Adobe Flash Player. I tillegg er brukerkontoen av typen administrator. På den andre med BSI sitt anbefalte oppsett er Google Chrome 21 og Adobe Reader X installert. Java er ikke installert. Resten av programvaren er oppdatert, og brukerkontoen er av typen standard. Begge systemene har ellers et fullt patchet operativsystem samt Microsoft Security Essentials (MSE) installert.

Nettleserne til begge PC-ene ble satt til å gjøre oppslag mot 100 URL-er som pekte mot exploiter, i de fleste tilfeller Blackhole.
Forskjellen var tydelig mellom systemene: Systemet som fulgte BSI-anbefalingene, ble aldri utsatt for en vellykket infeksjon. Det var bare fire nedlastinger av exe-filer, men ingen kjøring av disse.
På systemet med utdatert oppsett var det 51 mislykkede angrep. 36 ganger var det både vellykket exploit og infeksjon. I ti tilfeller ble infeksjon blokkert av MSE. Ellers var det tre nedlastinger uten kjøring.

Noe påfallende testgruppen i BSI fant ut, var at oppslag mot exploit-URL-adresser i Chrome førte til omdirigering til google.com. Dette mente de kunne tyde på at angriper ikke ser poenget i å forsøke seg på exploit i Chrome, fordi det er lite sannsynlig at det blir vellykket.

Se referanse for hele artikkelen samt for å få en oversikt over BSI sine anbefalinger til de forskjellige operativsystemene.
Referanser
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/OffenerBereich/Analysen/analysen_node.html
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/OffenerBereich/Empfehlungen/empfehlungen_node.html

Vulnerabilities in Windows Shell Could Allow Remote Code Execution (2727528) (MS12-072)

Oppdateringen fikser to svakheter i Microsoft Windows. Svakhetene kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner en spesialdesignet mappe i Windows Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater produktene
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms12-072

Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2761226) (MS12-075)

Oppdateringen dekker tre svakheteter i Microsoft Windows der den mest alvorlige svakheten kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner et spesialdesignet dokument eller besøker en ondsinnet nettside som bruker "TrueType font"-filer
Anbefaling
Oppdater Microsoft Windows.
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms12-075

Vulnerabilities in .NET Framework Could Allow Remote Code Execution (2745030) (MS12-074)

Oppdateringen fikser fem svakheter i Microsoft .NET Framework. En angriper kan utnytte den mest alvorlige sårbarheten til å eksekvere kode på et utsatt system ved å først lure en bruker til å bruke en ondsinnet autokonfigureringsfil og så injisere kode inn i den kjørende applikasjonen.
Anbefaling
Oppdater produktene.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-074

Cumulative Security Update for Internet Explorer (2761451) (MS12-071)

Oppdateringen fikser tre svakheter i Internet Explorer. De kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som klarer å utnytte en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Internet Explorer 9
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-071

Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2720184) (MS12-076)

Oppdateringen fikser fire svakheter i Microsoft Office. Svakhetene kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker åpner en spesialdesignet Excel-fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren. Det kan være verdt å merke seg at Excel 2008 og 2011 for Mac OS også er sårbar og at Microsoft har gitt ut oppdateringer her også.
Anbefaling
Oppdater produktene.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-076

Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Information Disclosure (2733829) (MS12-073)

Oppdateringen dekker to svakheter i Microsoft Internet Information Services (IIS). En angriper kan utnytte den mest alvorlige svakheten til å tilegne seg informasjon ved å sende en spesialdesignet FTP-kommando til en server.
Anbefaling
Oppdater produktene.
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms12-073

Lokalt DoS-angrep gjennom IPv6 Router Advertisement

Marc Heuse har oppdaget at flere operativsystemer er sårbare for et DoS-angrep via IPv6. Angrepet utføres lokalt på nettverket ved å sende store mengder RA (Router Advertisement)-pakker som gjør at maskinen til slutt henger. Ved hjelp av angrepet kan én maskin på et lokalnett få alle andre maskiner som støtter IPv6 til å henge.
Anbefaling
Se artikkel for anbefalinger.
Referanser
http://www.hotforsecurity.com/blog/denial-of-service-attack-through-ipv6-router-advertisement-vulnerability-4362.html
http://conference.hitb.org/hitbsecconf2012kul/materials/D1T2%20-%20Marc%20Heuse%20-%20IPv6%20Insecurity%20Revolutions.pdf

Tuesday, 13 November 2012

2012.11.13 - Nyhetsbrev

Det har kommet en metasploit modul til en kritisk sårbarhet i Java.

Metasploit modul til Java Applet JAX-WS svakhet ute

I forrige måned gav Oracle ut en større oppdateringspakke. Denne rettet blant annet en kritisk svakhet i Java som ga mulighet for ekstern eksekvering av kode. Nå har det blitt kjent at det har kommet ut en metasploit modul til denne svakheten, noe som gjør den offentlig tilgjengelig for aktiv utnyttelse. Det anbefales derfor å oppdatere til siste versjon som i skrivende stund er Java versjon 7 update 9.
Anbefaling
Installer oppdateringer fra Oracle som kom ut i oktober i år.
Referanser
http://packetstormsecurity.org/files/118040/Java-Applet-JAX-WS-Remote-Code-Execution.html

Monday, 12 November 2012

2012.11.12 - Nyhetsbrev

Cisco melder om en svakhet i Ironport. Vmware oppdaterer Workstation, Player og OVF Tool. Krebs on Security skriver om spionasje ved hjelp av malware i midtøsten.

Malware Spy Network Targeted Israelis, Palestinians

Krebs on Security har skrevet en bloggpost om spionasje i midtøsten med input fra Norman i Norge.
Referanser
http://krebsonsecurity.com/2012/11/malware-spy-network-targeted-israelis-palestinians/

VMWare retter flere svakheter i Workstation, Player og OVF Tool

VMWare har publisert oppdateringer til Workstation, Player og OVF Tool som retter flere svakheter, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. Svakhetene finnes kun i Windows-versjonen av produktene. For mer informasjon, se referansen.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0015.html

Cisco retter svakhet i IronPort

Cisco retter en svakhet i implementasjonen av antivirusmotoren Sophos som er en del av IronPort Web Security Appliances og Email Security Appliances. Et vellykket angrep kan føre til at antivirusmotoren krasjer, som igjen kan føre til ekstern kodeeksekvering, tjenestenekt og rettighetseskalering. For mer informasjon, se referansen.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121108-sophos

Friday, 9 November 2012

2012.11.09 - Nyhetsbrev

Apple fikser alvorlige svakheter i Quicktime.
Symantec publiserer bloggpost om Ransomware og de økonomiske aspektene rundt dette.
Microsoft publiserer forhåndsvarsel om oppdateringer 13.oktober.
Adobe jobber med å få bekreftet gårsdagens meldte 0-day exploit mot Adobe Reader, som forøvrig trolig er på vei inn i et utbredt exploit-kit (Blackhole).

Adobe Working to Confirm New Reader Zero-Day Sandbox-Bypass Exploit

Adobe bekrefter at de nå er i dialog med Group-IB for å få bekreftet gårsdagens meldte 0-day svakhet i Adobe Reader. Iflg. Group-IB skal gårsdagens omtalte exploit allerede være tilgjengelig for salg i undergrunnsmarkedet, men foreløpig skal utbredelsen være svært begrenset. Iflg. Group-IB skal også utnyttelse av sårbarheten være innlemmet i det utbredte exploit-kit\'et \"Blackhole\", dog foreløpig trolig ikke i den kommersielle versjonen. Dette må man anta kan endre seg innen relativt kort tid.
Referanser
http://threatpost.com/en_us/blogs/adobe-dark-new-reader-zero-day-sandbox-bypass-exploit-110812

Microsoft publiserer forhåndsvarsel av oppdateringer for oktober

Microsoft melder at de kommer til å slippe 6 oppdateringer tirsdag 13. november. Oppdateringene som slippes vil fikse svakheter i Windows, Windows Server, Windows RT, Office og Office for Mac, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. 4 av oppdateringene blir rangert som kritiske, mens en rangeres som viktig og en rangeres som moderat.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-nov

Ransomware: How to Earn $33,000 Daily

Symantec har publisert en interessant bloggpost der de ser på fenomenet ransomware og de økonomiske mulighetene som ligger i dette utpressingskonseptet.
Referanser
http://www.symantec.com/connect/blogs/ransomware-how-earn-33000-daily

Apple Fixes Critical Flaws in QuickTime 7.7.3

Det har blitt oppdaget 9 alvorlige svakheter i Apple Quicktime, der alle svakhetene kan utnyttes til å få kjørt vilkårlig kode fra eksternt hold.
Anbefaling
Update to version 7.7.3.
Referanser
http://secunia.com/advisories/51226/
http://threatpost.com/en_us/blogs/apple-fixes-critical-flaws-quicktime-773-110812

Thursday, 8 November 2012

2012.11.08 - Nyhetsbrev

Det ryktes om en 0-day exploit til Adobe Reader. Adobe synkroniserer patching av Flash med Microsofts patche-dager. Cisco retter svakhet i TACACS+.

0-day-exploit trenger gjennom sikkerhetsmekanisme i Adobe Reader

I Adobe Reader 10 og 11 skal forskere i det russiske firmaet Group-IB ha funnet en sårbarhet i en sikkerhetsmekanisme (kalt sandbox) som skal minimalisere skader av buffer-overflow-angrep. Adobe skal ennå ikke ha blitt informert om detaljene i exploiten av Group-IB. Exploit for svakheten er foreløpig ikke tilgjengelig.
Referanser
http://krebsonsecurity.com/2012/11/experts-warn-of-zero-day-exploit-for-adobe-reader/
http://arstechnica.com/security/2012/11/zero-day-attack-reportedly-pierces-key-adobe-reader-defense/
http://group-ib.com/index.php/7-novosti/672-group-ib-us-zero-day-vulnerability-found-in-adobe-x

Adobe og Microsoft går sammen om "Patch Tuesday"

Adobe har nå begynt å gi ut patcher til Flash på samme tid Microsoft kommer med oppdateringer. Grunnen er at Flash er integrert i Internet Explorer 10 for Windows 8.
Referanser
http://www.zdnet.com/adobe-microsoft-sync-up-patch-schedule-in-overdue-move-7000007062/

Cisco retter svakhet i Secure Access Control System TACACS+

Cisco har rettet en svakhet i Secure Access Control System TACACS+ som kan gi en angriper mulighet til å bli autentisert, dersom angriperen kun kjenner et brukernavn. Svakheten ligger i implementasjonen av LDAP og et angrep utføres ved at en angriper sender en spesielt utformet tekststreng når det spørres om passord. Se referanse for mer informasjon.
Anbefaling
Installér oppdatering fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121107-acs

Wednesday, 7 November 2012

2012.11.07 - Nyhetsbrev

En ny trojaner skal være laget for å stjele bilder fra offerets PC. Ellers har både Adobe Flash Player, Google Chrome og Opera kommet ut i nye versjoner det siste døgnet.

Pixsteal trojaneren stjeler bildene dine

I følge Raymart Paraiso hos Trend Micro har trenden til nå vært at trojanere lekker informasjon i tekstform. En ny trojaner ved navn Pixsteal-A skal være laget for å stjele bilder fra offerets PC. Dette gjør den ved å søke gjennom harddisken din etter filer i formatene .jpg, .jpeg og .dmp for så å laste disse opp til en ekstern FTP server.
Referanser
http://www.theregister.co.uk/2012/11/06/image_snaffling_malware/

Ny sikkerhetsoppdatering for Adobe Flash Player

Adobe Flash Player er ute i ny versjon til Windows, Mac og Linux. Denne fikser en rekke svakheter som i verste fall kan føre til eksekvering av kode. Det anbefales derfor å oppdatere til siste versjon.
Anbefaling
Installer siste versjon.
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-24.html

Oppdatering av Google Chrome

Nettleseren Google Chrome er ute i ny versjon til både Windows, Mac og Linux. Denne fikser en rekke svakheter. Se referanse for detaljer.
Anbefaling
Oppdater til siste versjon.
Referanser
http://googlechromereleases.blogspot.no/2012/11/stable-channel-release-and-beta-channel.html

Opera 12.10 sluppet

Opera har sluppet versjon 12.10 av sin nettleser. Oppdateringen fikser ulike stabilitets- og sikkerhetssvakheter. For fullstendig liste over rettede svakheter, se referanse.
Anbefaling
Oppdater til siste versjon.
Referanser
http://www.opera.com/docs/changelogs/unified/1210/

Tuesday, 6 November 2012

2012.11.06 - Nyhetsbrev

Tavis Ormandy har funnet flere kritiske svakheter i Sophos-produkter.

Vi kan legge til at opplysningen om at Anonymous hadde hacket PayPal i går viste seg å være feil. Det viste seg å være ZPanel som var hacket.

Alvorlige svakheter i Sophos-produkter

Forskeren Tavis Ormandy har funnet flere feil i produkter fra Sophos. Han mener at flere av disse svakhetene er kritiske. Flere av feilene er allerede fikset av Sophos. Tavis slapp imidlertid detaljer om flere nye svakheter i går. Sophos opplyser at disse vil bli fikset 28. november.

Tavis har publisert en remote-exploit for Sophos v8.0.6 (som er siste versjon) for Mac. Den utnytter en svakhet i måten AV-produktet scanner .png-filer. Svakheten skal være enkel å utnytte også på Windows og Linux-versjonene. Vi har ikke fått bekreftet denne.
Anbefaling
Patcher rulles ut automatisk av Sophos.
Referanser
http://seclists.org/fulldisclosure/2012/Nov/31
http://nakedsecurity.sophos.com/2012/11/05/tavis-ormandy-sophos/

Monday, 5 November 2012

2012.11.05 - Nyhetsbrev

Anonymous har startet sin varslede hackerbølge. Ny svakhet i Android er avdekket som gjør det mulig å opprette SMSer med forfalsket avsender. Firefox kommer med HTTP Strict funksjonalitet. Anonymous har tilsynelatende begynt en hackerbølge i forbindelse med 5. november. Større internasjonale bedrifter blir hacket uten å informere eiere eller myndigheter.

Anonymous har startet hackerbølge.

Anonymous har varslet at de har startet en hackerbølge. Symantec, Paypal, regjeringswebsider i Australia, ImageShack ,NBC.com og flere andre har angivelig blitt hacket. De påstår nå også å inneha en større samling dokumenter fra The Organization for Security and Co-operation in Europe (OSCE).

Det er foreløpig uklart om enkelte av hackene er utført av andre enn Anonymous og om alle er reelle. Blant annet ser det ut som at HTP står bak hackingen av Symantec.
Referanser
http://www.zdnet.com/paypal-symantec-hacked-as-anonymous-begins-november-5-hacking-spree-7000006876/

SMS-phishing svakhet i Android

En svakhet i Android er avdekket. Denne gjør det mulig for en kjørende applikasjon å opprette en falsk SMS lokalt på telefonen med fritt valgt avsendernummer. Svakheten krever ingen spesielle tilganger på telefonen.
Referanser
http://m.itworld.com/software/310234/researcher-uncovers-android-sms-phishing-vulnerability

Firefox eksperimenterer med HTTP Strict Transport Security

Utviklerne av Mozilla Firefox eksperimenterer med funksjonalitet som benytter HTTP Strict Transport Security, det vil si at nettleseren i enkelte tilfeller kun skal kunne koble seg opp mot spesifikke nettsider dersom det benyttes kryptering. Dette vil kunne hindre angripere som har tilgang til trafikkstrømmen i å lykkes med "man-in-the-middle" angrep ved å skru av krypteringen.
Referanser
http://arstechnica.com/security/2012/11/firefox-gets-strict-about-enforcement-of-https-protection/

Hackere fikk ut 2.5 millioner records fra Russland

Flere russiske bedrifter og regjeringsinstitusjoner er blitt hacket og 2.5 millioner records er på avveie. Blant annet ble Joint Institute for Nuclear Research angrepet.
Referanser
http://www.darkreading.com/database-security/167901020/security/attacks-breaches/240034513/team-ghostshell-declares-war-on-russia-s-cyberspace.html

Coke Hacked And Doesn’t Tell

Bloomberg har en artikkel om større bedrifter som blir hacket uten at de varsler eiere eller myndigheter. Angriperne er gjerne på jakt etter sensitiv informasjon i forbindelse med oppkjøp og større transaksjoner.
Referanser
http://www.bloomberg.com/news/2012-11-04/coke-hacked-and-doesn-t-tell.html

Friday, 2 November 2012

2012.11.02 - Nyhetsbrev

Webselskapet Increo Interactive Creations AS har blitt utsatt for et datainnbrudd som rammer mange store kunder. Apple har gitt ut sikkerhetsoppdateringer til både iOS og Safari.

InCreo utsatt for datainnbrudd

InCreo leverer web løsninger til en rekke kjente firmaer som blant annet Eplehuset, Minde sjokolade, Sunkost og Moods of Norway. Angriperne skal i følge InCreo ikke ha fått med seg "sensitiv" kundeinformasjon. De skal ha oppdaget innbruddet i slutten av september. Blant annet Eplehuset.no har valgt å nullstille alle kunders passord.
Referanser
http://www.digi.no/905379/holdt-kjeft-om-datainnbrudd
http://increo.no/sos

Apple iOS og Safari ute i ny versjon

iOS er nå i versjon 6.0.1 og Safari i versjon 6.0.2. Svakhetene som fikses kunne i verste fall ført til full kompromittering av systemet.
Referanser
http://support.apple.com/kb/HT1222

Thursday, 1 November 2012

2012.11.01 - Nyhetsbrev

Georgiske myndigheter kjemper tilbake mot dataspioner. DDoS-angrep med DNS-amplification gir enda større trafikk. Vupen påstår å ha funnet svakhet i Windows 8. Cisco patcher svakhet i Prime Data Center Network Manager.

Georgiske myndigheter hacket dataspion

Georgiske myndigheter mener at Russland er svært aktive når det gjelder å hente ut sensitiv informasjon fra landet. De har nå publisert en artikkel der de viser hvordan de slo tilbake ved å hacke en av spionene. De lurte angriperen til å installere malware og fikk deretter hentet ut opplysninger om han og har også lagt ut bilder fra et webkamera.
Referanser
http://www.tv2.no/nyheter/utenriks/tok-dataspionen-paa-fersken-3913251.html
http://dea.gov.ge/?web=3&action=news&news_id=25&lang=eng

DDoS basert på DNS-amplification

Firmaet CloudFlare har en blogg-post om hvordan angripere fortsatt benytter seg av åpne DNS-tjenere for å forsterke sine DDoS-angrep. Svakheten har vært kjent i mange år, men fortsatt finnes det mengder av åpne DNS-tjenere.

Angrepet som blir beskrevet er på over 20Mbit/s og har pågått i flere uker. Gjennom å bruke DNS-amplification kan angriperne enkelt få 50 ganger mer angrepstrafikk enn det de selv genererer.
Referanser
http://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack

Rykte: Svakheter i Windows 8 allerede funnet av hackere.

Sikkerhetsfirmaet Vupen påstår at de allerede har funnet svakheter i operativsystemet Windows 8, bare en uke etter lansering. Det skal være snakk om en exploit som utnytter nettleseren Internet Explorer 10.
Referanser
http://www.forbes.com/sites/andygreenberg/2012/10/31/government-funded-hackers-say-theyve-already-defeated-all-of-windows-8s-new-security-measures/

Cisco retter svakhet i Prime Data Center Network Manager

Cisco har rettet en svakhet i Prime Data Center Network Manager. Svakheten gjør det mulig å utføre kommandoer uten å være autentisert. Svakheten ligger i implementering av JBoss Application Server. For mer informasjon, se referansen.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121031-dcnm