Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 31 January 2013

2013.01.31 - Nyhetsbrev

Mozilla gjør endringer i Firefox som hindrer automatisk kjøring av alle plugeins bortsett fra siste versjon av Flash. Kinesiske hackere har i løpet av de siste fire månedene angrepet The New York Times.

Mozilla blokkerer plug-ins i Firefox, innfører Click-to-Play

I Firefox er plug-ins nå i utgangspunktet deaktivert, bortsett fra siste versjon av Flash. Det er opp til brukerne å aktivere dem. De har innført funksjonen Click-to-Play som gjør at man må klikke på området på skjermen for at en plug-in som Java eller Silverlight skal starte. Dette blir gjort for å hindre skadelig kode i å kjøre når en side blir åpnet.
Referanser
http://www.darkreading.com/insider-threat/167801100/security/application-security/240147366/mozilla-boldly-blocks-browser-plug-ins-for-firefox.html
http://www.computerworld.com/s/article/9236333/Mozilla_takes_drastic_step_to_automatically_block_virtually_all_plug_ins_in_Firefox

Kinesiske hackere har angrepet The Times

Kinesiske hackere har iløpet av de siste 4 måneder jevnlig angrepet The Times. Angriperne har antakeligvis fått initiell tilgang gjennom målrettede phishing-angrep. Via disse interne maskinene har de siden fått tilgang til domenekontrolleren og derfra fått tilgang til resten av nettverket. Det ble også søkt i eposten til The Times. Det virker som om målet for innbruddet var å finne kildene til en kritisk artikkel om Kinas statsminister Wen Jiabao.
Referanser
http://www.nytimes.com/2013/01/31/technology/chinese-hackers-infiltrate-new-york-times-computers.html
http://arstechnica.com/security/2013/01/chinese-hackers-attacked-new-york-times-computers-for-four-months/

Wednesday, 30 January 2013

2013.01.30 - Nyhetsbrev

Nok en alvorlig sårbarhet i Ruby on Rails med modul i Metasploit. Mange Internett-enheter er sårbare for svakheter i UPNP-protokollen

Ny sårbarhet i Ruby on Rails

Det er oppdaget en sårbarhet i JSON-koden i Ruby on Rails. Denne gjør det mulig å omgå autentisering, injisere fiendtlig kode eller å utføre DoS-angrep mot applikasjoner. Sårbarheten har allerede fått en modul i Metasploit-rammeverket.

Dette er tredje gangen i den siste tiden at det har blitt oppdaget alvorlige svakheter i Ruby on Rails.
Anbefaling
Oppdater til siste versjon.
Referanser
https://groups.google.com/forum/?fromgroups=#!topic/rubyonrails-security/1h2DR63ViGo
https://community.rapid7.com/community/metasploit/blog/2013/01/29/exploit-for-ruby-on-rails-cve-2013-0333

Mange Internett-enheter sårbare for svakheter i UPNP-protokollen

Firmaet Rapid 7 har scannet nettet for enheter med sårbare versjoner av UPNP (Universal Plug and Play). UPNP brukes av mange enheter for å sette opp forbindelser over nettet. Firmaet fant over 80 millioner enheter som svarte på UPNP og minst 50 millioner av disse hadde minst én svakhet.

Sammen med rapporten har firmaet også sluppet en gratis scanner for å sjekke nettverk for de aktuelle svakhetene.
Anbefaling
Undersøk om organisasjonen eksponerer UPNP mot nettet og steng eventuelt dette.
Referanser
https://community.rapid7.com/community/infosec/blog/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play
http://arstechnica.com/security/2013/01/to-prevent-hacking-disable-universal-plug-and-play-now/

Tuesday, 29 January 2013

2013.01.29 - Nyhetsbrev

Det amerikanske forsvaret har planer om å utvide cyberforsvaret sitt. IOS er ute i ny versjon og det er gitt ut proof of concept kode for å utnytte en ny svakhet i Java.

Proof-of-concept kode lar usignerte applikasjoner kjøre selv om Java er satt opp i innstillingene sine til å blokkere det.

I Java 7 update 10 introduserte Oracle muligheten for å endre mellom fire ulike nivåer av sikkerhet i Java Control Panel. Det høyeste nivået er "very high" og her skal i teorien ikke usignerte applikasjoner få lov til å kjøre, men det har nå kommet proof-of-concept kode som viser at det er fult mulig å omgå denne sikkerhetsinnstillingen.
Referanser
http://seclists.org/fulldisclosure/2013/Jan/241

Det amerikanske forsvaret utvider cyberforsvaravdelingen sin

The register skriver at det amerikanske forsvaret har planer om å utvide kompetansen på cyberforsvaret sitt. Det nevnes også at forsvaret skal kunne brukes til å utføre proaktive handliger mot trusselaktører utenfor landegrensene.
Referanser
http://www.theregister.co.uk/2013/01/29/pentagon_expands_online_war/

Apple ute med IOS 6.1

Oppdateringen fikser en rekke sikkerhetsrelaterte svakheter. Flere av disse er relatert til Webkit som brukes av nettleseren Safari.
Anbefaling
Installer siste oppdatering.
Referanser
http://support.apple.com/kb/HT5642

Monday, 28 January 2013

2013.01.28 - Nyhetsbrev

Antall DDoS-angrep fortsetter å øke og varer lengre. Ny Wordpress-oppdatering tetter sikkerhetshull. Det skal være funnet en svakhet i ASLI for Windows 7/8 og Anonymous har gjennom helgen hacket nettstedet til U.S. Sentencing Commission ved flere anledninger.

Antall DDoS-angrep økte med 170 % i fjor

I løpet av 2012 økte antallet DDoS-angrep med 170 %. Dette viser en studie utført av sikkerhetsfirmaet Radware. 58 % hadde minst 7 av 10 poeng i alvorlighetsgrad. Det har dessuten blitt vanligere med langvarige angrep. Angrep som varer lenger enn en uke doblet seg i fjor.
Referanser
http://news.cnet.com/8301-1009_3-57565565-83/corporations-bring-a-knife-to-a-gun-fight-amid-cyberattacks

37 feil har blitt rettet i WordPress-oppdatering

I WordPress 3.5.1 har flere feil blitt rettet. Blant dem er mange Cross-Site-Scripting-feil og en sårbarhet som tillater informasjonstyveri og kompromittering av ikke-patchede nettsteder.

I de fleste tilfelle skal oppdateringen være enkel. Unntaket er WordPress på Microsoft IIS, der man på grunn av en bug må installere en hotfix manuelt.
Referanser
http://wordpress.org/news/2013/01/wordpress-3-5-1/
https://threatpost.com/en_us/blogs/wordpress-fixes-37-bugs-latest-update-012513

Svakhet i ASLI i Windows 7/8

En hacker har publisert informasjon rundt en til nå ukjent måte å omgå "Address Space Layout Randomization" (ASLI) i Windows 7 og 8. Se referanse for mer informasjon.
Referanser
http://kingcope.wordpress.com/2013/01/24/attacking-the-windows-78-address-space-randomization/

Anonymous hacker U.S. Sentencing Commission flere ganger

Anonymous har gjennom helgen hacket nettstedet til U.S. Sentencing Commission flere ganger. I det siste angrepet har de lagt inn en versjon av spillet Asteroids på siden. De påstår også ha sluppet informasjon de har stjålet fra serveren.
Referanser
http://www.zdnet.com/anonymous-re-hacks-us-sentencing-site-into-video-game-asteroids-7000010384/

Friday, 25 January 2013

2013.01.25 - Nyhetsbrev

Ars Technica har en artikkel om gjetting av passord laget ved hjelp av lange setninger. Barracuda har plassert bakdører for fjerninnlogging i flere av sine produkter.

Gjetting av lange passord basert på setninger

Ars Technica har en artikkel rundt gjetning av lange passord basert på setninger. Forskere har brukt statistiske metoder for å gjøre slike gjetninger mer effektive.
Referanser
http://arstechnica.com/security/2013/01/grammar-badness-makes-cracking-harder-the-long-password/

Tidligere ukjent bakdør i flere produkter fra Barracuda

SEC Consult Vulnerability Lab har oppdaget en til nå ukjent bakdør i flere sikkerhetsprodukter fra Barracuda. Bakdøren er en SSH-server der Barracuda har muligheten til å logge seg inn fra deres adresse-ranger med diverse kontoer.

Barracuda har sluppet oppdateringer til flere av deres produkter i forbindelse med saken, men vedkommende som fant problemet mener at bakdøren fortsatt ikke er helt lukket.

Det er imdlertid mulig å kontakte produsenten for å få instruksjoner for å skru av muligheten for fjern-support og dermed låse døren skikkelig.
Anbefaling
Installer oppdatering fra produsent.
Referanser
https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt
https://www.barracudanetworks.com/support/techalerts
/20130124-0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt
http://krebsonsecurity.com/2013/01/backdoors-found-in-barracuda-networks-gear/

Thursday, 24 January 2013

2013.01.24 - Nyhetsbrev

Java-oppdateringer installerer adware på PCen din. FBI har arrestert mannen bak Gozi-malwaren. På Facebook phishes det om dagen via personlige meldinger. Chrome er ute i ny versjon. Cisco retter svakheter i flere WLAN-produkter.

Java-oppdateringer installerer adware på PCen din

ZDNet har en grundig artikkel om verktøylinjen "Ask" som blir installert sammen med Java eller Java-oppdateringer, bortsett fra hvis brukeren aktivt velger å ikke installere den.

Denne verktøylinjen installeres i alle web-browsere den finner på maskinen og tar over standard søkefunksjon. Annonser og faktiske resultater av søkene presenteres så på en måte som gjør at det ikke er mulig å skille dem fra hverandre.
Referanser
http://www.zdnet.com/a-close-look-at-how-oracle-installs-deceptive-software-with-java-updates-7000010038/
http://www.digi.no/910147/java-sprer-villedende-programvare

FBI har arrestert mannen bak Gozi-malwaren

Ars Technica har en artikkel om hvordan FBI arresterte mannen bak Gozi-malwaren. Denne ble i årevis brukt til å tappe bakkontoer for penger over hele verden. FBI klarte også ta ned hosting-leverandøren som Gozi benyttet seg av i Romania.

Gozi-operatøren risikerer nå 95 års fengsel i USA. Følg lenkene for mer informasjon rundt saken. To andre involverte risikerer å bli utlevert til USA.
Referanser
http://arstechnica.com/security/2013/01/how-the-feds-put-a-bullet-in-a-bulletproof-web-host/
http://www.justice.gov/usao/nys/pressreleases/January13/GoziVirusPR.php

Phishing i personlige meldinger på Facebook

Nå for tida er det en svindel ute og går i personlige meldinger på Facebook. Disse gir seg ut for å være fra "The Facebook Security Team" og påstår at man har brutt brukervilkårene om å plage eller fornærme andre brukere. Man blir så bedt om å gi fra seg personopplysninger i en "sikkerhetssjekk" på en svindelside som linken i meldinga fører til. Også kredittkortinformasjon blir krevd inn. Slike meldinger bør naturligvis ignoreres og slettes.
Referanser
http://www.gfi.com/blog/phishing-scam-spreads-via-facebook-pm/

Google Chrome Multiple Vulnerabilities

Det har blitt oppdaget 5 svakheter i Google chrome, som bl.a. kan utnyttes til å kompromittere et sårbart system.
Anbefaling
Update to version 24.0.1312.5
Referanser
http://www.secunia.com/advisories/51935
http://googlechromereleases.blogspot.com/2013/01/stable-channel-update_22.html

Cisco retter svakheter i flere WLAN-produkter

Cisco har publisert informasjon om fire svakheter i en WLAN-kontroller som brukes i en rekke produkter, hvor de to mest alvorlige kan utnyttes til å utføre ekstern kodeeksekvering via HTTP og gi uautorisert tilgang via SNMP. Enkelte av de berørte produktene er ikke lengre støttet av Cisco, det er derfor kun gitt ut oppdateringer til noen av produktene.
Anbefaling
Installer oppdatering dersom tilgjengelig.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130123-wlc

Wednesday, 23 January 2013

2013.01.23 - Nyhetsbrev

Kaspersky har en artikkel om malware som utgir seg for å være den siste Java oppdateringen fra Oracle. Ellers har det vært et rolig døgn.

Malware forkler seg som Java oppdatering

Kaspersky labs melder at de har sett malware som utgir seg for å være den siste Java oppdateringen fra Oracle. Den har filnavnet javaupdate11.jar og når denne kjøres åpnes det et vindu som ser ut som det originale Java installasjonsvinduet. Malwaren ser ikke ut til å bruke noen exploits og er derfor avhengig av interaksjon fra brukeren for å bli installert på systemet.
Referanser
http://threatpost.com/en_us/blogs/security-firms-warn-users-fake-java-updates-012113

Tuesday, 22 January 2013

2013.01.22 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Monday, 21 January 2013

2013.01.21 - Nyhetsbrev

Det er kommet en høyesterettsdom for datainnbrudd. Det er funnet nye svakheter i Java.

Høyesterettsdom for datainnbrudd

I norsk høyesterett har det kommet en dom for datainnbrudd, hvor én person er dømt til 1 år. Artikkelen til NorSIS beskriver hvilke lover som retten diskuterte og hvilke som hadde innvirkning på dommen.
Referanser
http://www.norsis.no/nyheter/2013-01-15-Lovsak.html

Nye kritiske sårbarheter i siste versjon av Java

Firmaet Security Explorations melder at de har funnet nye svakheter som gjør det mulig å utnytte Java. De nye svakhetene er meldt inn til Oracle og ikke offentliggjort.

Akkurat nå er det ikke noe som tyder på at siste versjon av Java (Java 7 update 11) blir utnyttet til å ta kontroll over maskiner.
Anbefaling
Avvent ny patch og avinstaller Java dersom mulig.
Referanser
http://seclists.org/fulldisclosure/2013/Jan/142

Friday, 18 January 2013

2013.01.18 - Nyhetsbrev

Et rolig døgn. Det er gitt ut en rapport som omhandler Pobelka-botnettet.

Demystifying Pobelka

Det er utgitt en teknisk rapport om Pobelka-botnettet, og dens stilling i sammenheng med andre botnet og malware (f.eks SpyEye).
Referanser
http://blog.fox-it.com/2013/01/11/demystifying-pobelka/
http://foxitsecurity.files.wordpress.com/2013/01/demystifying-pobelka1.pdf

Thursday, 17 January 2013

2013.01.17 - Nyhetsbrev

Microsoft Security Essentials strøk for andre gang på testen til av-test.org. Bouncer, et toolkit for phishing, benytter nå hvitelisting. Cisco retter svakhet i ASA 1000V Cloud Firewall.

Phishing toolkit bruker hvitelisting

Et nytt toolkit for phishing, Bouncer, bruker en unik URL for hvert offer. Toolkitet infiserer legitime nettsider. Det nye er at hvitelisting er brukt. Les mer i referanse.
Referanser
http://securityledger.com/new-phishing-toolkit-uses-whitelisting-to-keep-scams-alive/
http://blogs.rsa.com/laser-precision-phishing-are-you-on-the-bouncers-list-today/

Microsoft Security Essentials strøk på antivirustest

For andre gang på rad stryker Microsoft Security Essentials på testen til av-test.org. De to andre strykerne er PC Tools Internet Security 2012 og AhnLab Internet Security 8.0.
Referanser
http://reviews.cnet.com/8301-3667_7-57564385/microsoft-bombs-another-security-test/

Cisco retter svakhet i ASA 1000V Cloud Firewall

Cisco har gitt ut en oppdatering til Cisco ASA 1000V Cloud Firewall. Svakheten befinner seg i håndteringen av H.225/H.323 og kan utnyttes for å utføre et tjenestenektangrep. Systemer hvor inspisering H.225/H.323-trafikk er deaktivert, er ikke rammet.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130116-asa1000v

Wednesday, 16 January 2013

2013.01.16 - Nyhetsbrev

Amerikanske Homeland Security mener at den siste Java-patchen ikke gir god nok beskyttelse.

Såkalte vannhulsangrep (avanserte målrettede angrep), benytter nå de siste svakhetene i Internet Explorer og Java.

Iflg. arstechnica.com har kritiske kontrollsystemer ved to amerikanske kraftverk blitt infisert av malware via USB-minnepinne.

Adobe fikser fire feil i ColdFusion.

Metasploitmodul for utnyttelse av en svakhet i PDF-leseren "Foxit Reader" sin Firefox-Plugin har blitt publisert.

Homeland Security: - Siste Java-patch er ikke nok

Det amerikanske sikkerhetsdepartementet Homeland Security mener at man ikke bør la Java være aktivert i nettleseren til tross for den nyeste oppdateringen. Grunnlegger av Rapid7, HD Moore, tror det vil ta to år før Oracle har fikset alle sikkerhetsproblemene i Java. Ett år har gått med slik feilfiksing allerede. Sikkerhetsselskapet Sophos anbefaler å bare bruke Java i én nettleser og bruke en annen nettleser til resten av surfinga. Dersom en ikke har behov for Java bør det uanset avinstalleres.
Referanser
http://www.theregister.co.uk/2013/01/15/avoid_java_in_browsers/
http://nakedsecurity.sophos.com/2013/01/15/disable-java-browsers-homeland-security/

Adobe fikser fire ColdFusion-sikkerhetsfeil

Adobe fikser fire svakheter i ColdFusion som har blitt nevnt i tidligere nyhetsbrev. To av dem gjaldt bare hvis passord ikke var aktivert.
Referanser
http://threatpost.com/en_us/blogs/adobe-patches-four-coldfusion-flaws-exploited-wild-011513

Vannhullsangrep benytter seg av siste svakheter i IE og Java

Den 4. Januar skrev vi om såkalte "watering hole attacks". Det er en type målrettet angrep der angriperne først kompromitterer nettsteder som det er sannsynlig at målgruppen vil besøke ila. en viss tid. Deretter plasseres avanserte 0-day exploits der, før angriper setter seg til å vente på besøk fra målet, som mest sannsynlig da vil bli kompromittert. Evt. kan besøk til slike web-sider bli forsøkt fremskyndet vha. spear-phishing el.

Eric Romang rapporterer på sin blog at angripere nå har begynt å utnytte den siste svakheten i Java, samt den nylig patchede svakheten i IE (MS13-008). Det anbefales derfor på det sterkeste å installere oppdaterinnger for disse.
Referanser
http://eromang.zataz.com/2013/01/15/watering-hole-campaign-use-latest-java-and-ie-vulnerabilities/

To amerikanske kraftverk smittet gjennom USB-enheter

arstechnica.com bringer en historie der kritiske kontrollsystemer ved to amerikanske kraftverk skal ha blitt infisert av malware via USB-minnepinne.
Referanser
http://arstechnica.com/security/2013/01/two-us-power-plants-infected-with-malware-spread-via-usb-drive/

Metasploit-modul for utnyttelse av Foxit Reader i Firefox publisert

Det har blitt publisert en Metasploit-modul for utnyttelse av en svakhet i PDF-leseren "Foxit Reader" sin plugin for Firefox. Svakheten gjør det mulig å få kjørt vilkårlig kode fra eksternt hold. Svakheten er enda ikke utbedret.
Anbefaling
Benytt en annen PDF-leser dersom du bruker Firefox
Referanser
http://retrogod.altervista.org/9sg_foxit_overflow.htm
https://github.com/rapid7/metasploit-framework/pull/1318

Tuesday, 15 January 2013

2013.01.15 - Nyhetsbrev

Kaspersky Labs har avdekket en spionasje-kampanje som har pågått i flere år. Det er blitt publisert en artikkel med en del detaljer rundt DDOS angrep på applikasjonslaget mot amerikanske banker.

Spionasje-kampanje via malware uoppdaget i fem år

Forskere ved Kaspersky Labs har brukt flere måneder på å analysere malware som er blitt brukt til å spionere på regjeringer, ambassader og mer. Operasjonen blir kalt "Rocra", som er kort for "Red October", og det virker som den har vært aktiv i 5 år. Angriperne har hovedsaklig spionert på land fra Øst-Europa og Sentral-Asia.

I tillegg til tradisjonelle angrep mot datamaskiner så kan malwaren også ta over smarttelefoner hente data fra FTP-servere og mer. Den benytter seg av minst tre kjente exploits i MS Excel og MS Word til å ta over systemer. Når en klient i et nettverk er infisert vil den søke etter andre klienter i nettverket som den kan infisere.
Referanser
https://www.securelist.com/en/blog/785/redoctober
http://arstechnica.com/security/2013/01/red-october-computer-espionage-network-may-have-stolen-terabytes-of-data/

Mer detaljer rundt DDoS-angrep mot amerikanske banker

DDoS-angrepene mot amerikanske banker fortsetter. Det er også uklart hvem som står bak. Denne artikkelen har litt mer informasjon rundt angrepene mot applikasjonslaget. I tillegg til angrep som går på å generere pakker for å fylle opp Internett-linken, blir også funksjoner som søk og login-systemer angrepet spesifikt. Angrepene er altså tilpasset hver enkelt bank.
Referanser
http://www.bankinfosecurity.com/ddos-lessons-from-phase-2-attacks-a-5420

Monday, 14 January 2013

2013.01.14 - Nyhetsbrev

Det er observert ny malware som utnytter Java-svakheten på tvers av ulike plattformer. En hacker fra Algerie er arrestert etter beskyldninger om at han har stjålet over 100 millioner dollar ved hjelp av Zeus-trojaneren. Oracle slipper patcher for diverse management-verktøy i morgen. Microsoft kommer til å slippe hasteoppdatering av Internet Explorer senere i dag. Oracle patcher Java-svakheten og øker sikkerheten ved at en må tillate kjøring av usignerte Java-applets i nettleseren.

Ny malware utnytter Java 7

En ny trojaner som blir kalt "Mal/JavaJar-B2" utnytter den nyoppdagede svakheten i Java 7. Denne skadelige programvaren har angrepet systemer med Windows, Linux og Unix.
Referanser
http://reviews.cnet.com/8301-13727_7-57563567-263/new-malware-exploiting-java-7-in-windows-and-unix-systems

Antatt ZeuS-botmaster arrestert for tyveri av 100 millioner dollar

Hamza Bendelladj, en 24-åring fra Algerie ble nettopp arrestert i Bangkok, Thailand og venter på utlevering til USA. Han skal ha blitt arrestert på flyplassen i byen. Han er anklaga for å ha stjålet 100 millioner dollar fra amerikanske banker med banktrojaneren ZeuS. Under arrestasjonen skal han ha smilt og spøkefullt skrytt av statusen som internasjonal hacker og har derfor fått tilnavet "the happy hacker". Pengene skal han ha brukt på reiser og luksusvarer.
Referanser
https://threatpost.com/en_us/blogs/alleged-zeus-botmaster-arrested-stealing-100-million-us-banks-011013

Oracle oppdaterer management-verktøy på tirsdag

Oracle publiserer 86 oppdateringer til management-verktøyene sine, det vil si E-Business Suite, PeopleSoft, Application Performance Management, Enterprise Manager og MySQL. Halvparten er kritiske nok til å tillate fjernstyrt kodekjøring.
Referanser
http://www.theregister.co.uk/2013/01/11/oracle_critical_patches/
https://isc.sans.edu/diary/Oracle+Patch+Tuesday+Pre-Release/14920

Microsoft slipper hasteoppdatering for alvorlig 0-day svakhet i Internet Explorer (CVE-2012-4792)

Microsoft vil i dag gi ut en hasteoppdatering for Internet Explorer. Oppdateringen tetter den alvorlige 0-day svakheten som har vært kjent, og aktivt utnyttet, i IE 6-8 i omlag to uker.
Anbefaling
Installèr oppdatering så snart den er tilgjengelig
Referanser
http://technet.microsoft.com/en-us/security/advisory/2794220
http://technet.microsoft.com/en-us/security/bulletin/ms13-jan

Oracle slipper oppdatering for 0-day svakhet, CVE-2013-0422

Oracle har nå gitt ut en oppdatering til Java 7 (update 11), som tetter de siste dagers mye omtalte og meget alvorlige 0-day svakhet. I tillegg tetter oppdateringen en annen og til nå ukjent svakhet, CVE-2012-3174. Det er sparsomt med informasjon ang. denne svakheten, men svakheten har, iflg. Oracle, en CVSS base score (alvorlighetsscore) på 10, og skal kunne utnyttes til å få kjørt kode fra eksterne hold. Samtidig øker Oracle med denne oppdateringen standard sikkerhetsnivå fra "medium" til "høy", noe som innebærer at brukerne nå blir spurt, og må godkjenne, kjøring av usignerte Java applet'er og Java Web Start applikasjoner.
Anbefaling
Installèr oppdatering umiddelbart.
Referanser
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html
http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
https://blogs.oracle.com/security/entry/security_alert_for_cve_2013
http://krebsonsecurity.com/2013/01/oracle-ships-critical-security-update-for-java/

Friday, 11 January 2013

2013.01.11 - Nyhetsbrev

Kritisk svakhet i siste versjon av Java. Kode som misbruker denne svakheten er tilgjengelig gjennom mange malware-kits. Vi anbefaler å skru av Java-plugin i nettleseren så lenge Java er sårbar og patch ikke foreligger.

Ny Zero-Day Java exploit blir brukt i exploit-pakker.

En ny Zero-Day Java exploit som fungerer mot siste versjon (Java 7 Update 10) har blitt funnet og er i aktiv bruk. Minst fire forskjellige exploit-kits har allerede fått støtte for denne svakheten. Metasploit-prosjektet har også fått en modul for svakheten. Kildekoden for exploiten er offentlig tilgjengelig.

Det anbefales å skru av Java-pluginen i nettleseren frem til en fiks for dette hullet har blitt gitt ut av Oracle. Følg den siste lenken fra denne saken for instruksjoner.
Referanser
http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html
http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/
http://arstechnica.com/security/2013/01/critical-java-zero-day-bug-is-being-massively-exploited-in-the-wild/
http://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

Thursday, 10 January 2013

2013.01.10 - Nyhetsbrev

Facebook og Yahoo har fikset sikkerhetshull som kunne føre til at kontoer ble tatt over. Wiki-serverne til Debian og Python-prosjektene har vært hacket. Symantec har detaljer rundt Virut og det tilhørende botnettet. Cool-exploit-kittet får flere brukere. Cisco har også varslet om svakheter i Unified IP Phone og Prime LMS Virtual Appliance.

Facebook og Yahoo har fiksa sikkerhetshull, rapportør solgte kunnskap om svakhet til kriminelle

Facebook og Yahoo har nylig fikset sikkerhetshull som gjorde at hackere kunne kapre brukerkontoer. Svakheten i Facebook gikk ut på at angriper kunne endre passord til bruker uten å oppgi det gamle passordet først på facebook.com/hacked. Vedkommende som rapporterte svakheten har solgt kunnskapen til kriminelle medlemmer av undergrunnsforum for 4000 dollar per kjøper. Yahoo-svakheten ble solgt for 700 dollar til egyptisk hacker i november.
Referanser
http://krebsonsecurity.com/2013/01/facebook-yahoo-fix-valuable-ecurity-hole/

Offisielle Debian- og Python-wikiservere hacket

I desember ble offiselle wiki-servere for programmeringsspråket Python og Linux-distribusjonen Debian hacket. På Python-serveren utnyttet angriperne en ukjent svakhet og fikk tilgang til shell. Brukere blir anbefalt å endre passord, også andre steder der de har brukt det samme passordet.

På Debian-serveren ble det brukt "Directory traversal", "Multiple unrestricted file upload vulnerabilities" og "cross-site scripting" sårbarheter utnyttet til hackingen. Dette var kjente svakheter. Alle brukere der blir nå bedt om å endre passord.

Det er ikke klart om det er noen sammenheng mellom angrepene.
Referanser
http://thehackernews.com/2013/01/official-debian-and-python-wiki-servers.html
https://mail.python.org/pipermail/python-dev/2013-January/123499.html
http://lwn.net/Articles/531726/

Symantec gransker Virut

IT-sikkerhetsselskapet Symantec har gransket trojaneren Virut og botnettet som hører til det. De tok også i en periode ned botnettet, men det er nå oppe igjen. Les mer i referansen.
Referanser
http://www.symantec.com/connect/blogs/snapshot-virut-botnet-after-interruption

Cool exploit-kit øker i antall servere

Et nytt exploit-kit, Cool, som blir laget av personen bak Blackhole, blir brukt på stadig flere servere. Det er rapportert kraftig vekst i bruken av kittet i desember. Det koster 10.000 dollar i måneden å leie Cool-kittet.
Referanser
http://www.bluecoat.com/security-blog/2013-01-09/all-hail-new-king-look-cool-exploit-kit

Cisco har publisert informasjon rundt svakhet i Cisco Unified IP Phone

Cisco har publisert informasjon rundt en svakhet i flere versjoner av Cisco Unified IP Phone. De sier også at en oppdatering som retter denne svakheten skal bli publisert på et senere tidspunkt og at det per i dag ikke er noe som tyder på at svakheten utnyttes aktivt.
Anbefaling
Oppgrader.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130109-uipphone

Cisco retter svakhet i Cisco Prime LMS Virtual Appliance

Cisco har rettet en svakhet i Prime LMS Virtual Appliance. Svakheten gjør det mulig å utføre kommandoer uten å være autentisert. Prime LMS Virtual Appliance for Windows og Solaris er ikke rammet.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130109-lms

Wednesday, 9 January 2013

2013.01.09 - Nyhetsbrev

Microsoft har sluppet oppdateringer for januar. Ellers er det alvorlige svakheter med patcher for Adobe Flash Player, Adobe Reader, Nvidia skjermkort-drivere, Ruby on Rails, Firefox, Thunderbird og Seamonkey. Yahoo Mail har nå SSL-støtte. USA mener at IRAN står bak DDoS-angrep mot banker.

2 kritiske og 5 viktige oppdateringer fra Microsoft

Microsoft har i dag kommet med 7 sikkerhetsoppdateringer. To av disse er rangert som kritiske.

Den første kritiske svakheten er spesielt interessant; en angriper med tilgang til en skriverkø kan sende en jobb til denne køen. Andre brukere som senere skriver ut til samme kø eller ser på køen kan så bli kompromittert.

Den andre svakheten finnes i XML Core Services. Denne kan brukes til å ta kontroll over maskiner dersom de besøker spesielt utformede websider med Internet Explorer.

Ellers er det også fem svakheter rangert som viktige. Disse finnes i System Center Operations Manager, .Net, Windows Kernel, Windows SSL og IIS.
Referanser
https://isc.sans.edu/diary/Microsoft+January+2013+Black+Tuesday+Update+-+Overview/14854
http://blogs.technet.com/b/srd/archive/2013/01/08/ms13-001-vulnerability-in-print-spooler-service.aspx

USA mener Iran står bak DDoS-angrep mot banker

The New York Times har en artikkel om de pågående DDoS-angrepene mot amerikanske banker. Offentlige tjenestemenn har uttalt til avisen at de er sikre på at Iran står bank angrepene. De mener at angrepene kan være en hevn for økonomiske sanksjoner mot landet.
Referanser
http://www.nytimes.com/2013/01/09/technology/online-banking-attacks-were-work-of-iran-us-officials-say.html

Sikkerhetshull i Nvidia-skjermkort fikset

NVidia har sluppet versjon 310.90 av driverne til sine grafikk-kort. Denne utbedrer en alvorlig svakhet som lot medlemmer av samme Windows-domene ta fullstendig kontroll over sårbare maskiner. En upriviligert bruker kan også få administrator-rettigheter ved hjelp av svakheten.
Referanser
http://www.theregister.co.uk/2013/01/08/nvidia_security_update/
http://www.geforce.com/drivers/results/55121

Yahoo Mail har innført HTTPS

Yahoo har nå rullet ut støtte for kryptering av trafikken mot deres e-post-tjeneste. Brukerne må imidlertid selv skru på dette valget i sine innstillinger. Følg linken for å se hvordan dette gjøres.
Referanser
http://nakedsecurity.sophos.com/2013/01/08/yahoo-mail-https-ssl

To kritiske svakehter i Ruby on Rails

Alle versjoner av Ruby on Rails har to kritiske svakheter som kan utnyttes på alle installasjoner av systemet. Over 200.000 web-servere er sårbare og dette er en type svakhet som kan utnyttes av ormer for automatisk å spre seg fra server til server. Den kan også brukes til å krasje web-tjenere, hente ut data fra databaser, kjøre systemkommandoer osv.

Metasploit jobber med å utvikle en exploit for denne sårbarheten. Metasploit var også selv sårbare for svakheten, da det er skrevet i Ruby. De har derfor allerede sluppet en oppdatering der svakhetene er patchet.
Utviklerne klassifiseret selv svakhetene som ekstremt kritiske.
Anbefaling
Oppgrader til versjon 3.2.11, 3.1.10, 3.0.19 eller 2.3.15
Referanser
http://weblog.rubyonrails.org/releases/
https://community.rapid7.com/community/metasploit/blog/2013/01/09/serialization-mischief-in-ruby-land-cve-2013-0156

Adobe har publisert sikkerhetspatcher

Adobe har publisert sikkerhetspatcher for Flash Player, Reader og Acrobat. Svakhetene for Flash kan medføre at en angriper får kontroll over systemet og gjelder Windows, OS X, Linux og Android. Svakhetene i Reader er like alvorlige og gjelder Windows, OS X og Linux.
Anbefaling
Installer patcher.
Referanser
http://blogs.adobe.com/psirt/2013/01/adobe-security-bulletins-posted-4.html

20 svakheter i Mozilla Firefox/Thunderbird/SeaMonkey

Mozilla Foundation har sluppet oppdateringer til Mozilla Firefox, Thunderbird, og SeaMonkey som retter flere alvorlige svakheter. Svakhetene kan blant annet utnyttes for å kjøre vilkårlig kode på systemet, stjele cookies og autentiseringsinformasjon osv. Det anbefales å oppdatere til siste versjoner. Det er ingen observasjoner av at svakhetene har blitt utnyttet enda.
Anbefaling
Oppdater til følgende versjoner:
Firefox 18.0
Firefox ESR 10.0.12
Firefox ESR 17.0.2
Thunderbird 17.0.2
Thunderbird ESR 10.0.12
Thunderbird ESR 17.0.2
SeaMonkey 2.15
Referanser
http://www.mozilla.org/en-US/firefox/18.0/releasenotes/
http://www.mozilla.org/en-US/thunderbird/17.0.2/releasenotes/
http://www.seamonkey-project.org/releases/seamonkey2.15/
http://www.securityfocus.com/bid/57185

Tuesday, 8 January 2013

2013.01.08 - Nyhetsbrev

Windows RT skal være jailbreaket. Ars Technica har en ny oppdatering fra John Mcafees merkelige verden.

Jailbreak av Windows RT

En IT-sikkerhetsforsker har klart å jailbreake Windows RT, slik at alle mulig applikasjoner kan bli installert. Malware kan da også bli installert. Innstillinger fra jailbreaken kan ikke overleve nyoppstart av nettbrettet Windows RT kjører på.
Referanser
http://nakedsecurity.sophos.com/2013/01/08/windows-rt-jailbroken-shows-its-windows-8-roots/

John McAfee påstår ha spionert på Belize sin regjering

Ars Technica har en god god gjennomgang av den siste bloggposten til John McAfee. Denne gangen påstår han blant annet å ha delt ut 75 gratis laptoper med spionprogramvare til offentlig ansatte i Belize. Les for mer detaljer om hva han mener å ha avdekket.
Referanser
http://arstechnica.com/tech-policy/2013/01/the-bizarre-tale-of-john-mcafee-spymaster/

Monday, 7 January 2013

2013.01.07 - Nyhetsbrev

Bakmannen bak Blackhole kjøper opp exploits til nytt eksklusivt exploit-kit. Forskere omgår patch fra MS for den siste IE-svakheten. Det har blitt påvist tre svakheter i Adobe ColdFusion.

Bakmannen bak Blackhole kjøper opp exploits til nytt exploit-kit

Utgiveren av Blackhole exploit-kittet har begynt å kjøpe opp ukjente exploits. Disse skal brukes i det nye og eksklusive "Cool" exploit-kittet, som det koster $10.000 per måned å leie. Foreløpig brukes dette bare av to bander til å spre ransomware.
Referanser
http://krebsonsecurity.com/2013/01/crimeware-author-funds-exploit-buying-spree/

Forskere omgår patch fra MS for den siste IE-svakheten

Forskere ved Exodus Intelligence opplyser at de har utviklet en ny versjon av exploiten for den siste Internet Explorer-svakheten. Den nye versjonen kan utnytte en maskin, selv om den er patchet med Microsofts FixIt-program. Svakheten har allerede blitt utnyttet i flere målrettede angrep.
Referanser
http://threatpost.com/en_us/blogs/researchers-bypass-microsoft-fix-it-ie-zero-day-010413

Tre sårbarheter i Adobe ColdFusion

Det har blitt påvist tre svakheter i Adobe ColdFusion. Svakhetene kan utnyttes til få kontroll over server ved å omgå sikkerhetsmekanismer og/eller la en uautorisert bruker tilegne seg informasjon.
Svakhetene skal være observert utnyttet i praksis. To av de tre svakhetene gjelder kun dersom passord-beskyttelse ikke benyttes. Adobe planlegger å slippe en fiks den 15. januar.
Anbefaling
Følg anbefalinger ihht. http://www.adobe.com/support/security/advisories/apsa13-01.html
Referanser
http://www.adobe.com/support/security/advisories/apsa13-01.html

Friday, 4 January 2013

2013.01.04 - Nyhetsbrev

En tyrkisk sertifikatutsteder har signert et falsk *.google.com sertifikat.

Microsoft varsler at de kommer til å tette 12 sårbarheter ifbm. oppdateringene førstkommende tirsdag. Den nylig oppdagete svakheten i IE 6-8 er ikke med på listen.

Symantec peker i en bloggpost på grupperingen som skal stå bak den siste zero-day svakheten i Internet Explorer.

Det er oppdaget en SQL-injection-svakhet i Ruby on Rails.

Microsoft lapper 12 sårbarheter på tirsdag

Microsoft forteller i en rapport at de gir ut 7 bulletiner (2 kritiske og 5 viktige) for 12 sårbarheter tirsdag klokka 19 norsk tid. De kritiske bulletinene skal gjelder for Windows, Office, Developer tools og Microsoft Server Software. Tirsdagens oppdatering vil trolig ikke inneholde en fiks for den nylig oppdagede zero-day svakheten i Internet Explorer, som ble omtalt i dette nyhetsbrevet den 31.12.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-jan
http://threatpost.com/en_us/blogs/patch-ie-zero-day-wont-be-among-microsoft-security-updates-next-week-010313

Tyrkisk CA har signert falske *.google.com sertifikat

Den tyrkiske sertifikatutstederen TURKTRUST Inc. har signert et falsk wildcardsertifikat for domenet *.google.com. Både Microsoft og Google har gitt ut oppdateringer som svartelister dette sertifikatet. Vi anbefaler å installere disse oppdateringene.
Referanser
http://technet.microsoft.com/en-us/security/advisory/2798897
http://googleonlinesecurity.blogspot.no/2013/01/enhancing-digital-certificate-security.html

Elderwood Project Behind Latest Internet Explorer Zero-Day Vulnerability

Symantec melder i en bloggpost at det skal være gruppen som står bak det såkalte "Elderwood Project" som har funnet siste ukes mye omtale zero-day svakhet i Internet Explorer. Zero-day exploiten skal iflg. Symantec ha blitt utviklet av gruppen bak Elderwood Project for å bli benyttet i såkalte "watering hole attacks"; En type målrettet angrep der Zero-day exploit-kode plasseres på kompromitterte web-servere som man vet "målet" for angrepet har interesse av, og dermed trolig vil besøke ila. en viss tid. Evt. kan besøket bli forsøkt fremskyndet vha. phishing/spam-mail el.
Referanser
http://www.symantec.com/connect/blogs/elderwood-project-behind-latest-internet-explorer-zero-day-vulnerability

Ruby on Rails Method Parameters SQL Injection Vulnerability

Grunnet en feil i tolking av parametere kan man lage SQL som man kan få kjørt mot systemet.
Anbefaling
Oppgrader til nye versjoner.
Referanser
http://www.h-online.com/open/news/item/SQL-injection-vulnerability-hits-all-Ruby-on-Rails-versions-1776203.html
http://blog.phusion.nl/2013/01/03/rails-sql-injection-vulnerability-hold-your-horses-here-are-the-facts/#.UOWGd2y7P2p

Thursday, 3 January 2013

2013.01.03 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Wednesday, 2 January 2013

2013.01.02 - Nyhetsbrev

Microsoft har rettet feilen i IE, ellers lite nytt.

Microsoft har sluppet oppdatering til Internet Explorer

Microsoft har sluppet en oppdatering til Internet Explorer som retter den tidligere omtalte svakheten. Anbefaler at alle benytter Internet Explorer 6, 7 eller 8 om å installere denne oppdateringen.
Anbefaling
Installer oppdatering.
Referanser
http://technet.microsoft.com/en-us/security/advisory/2794220