Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 28 February 2013

2013.02.28 - Nyhetsbrev

Anonymous sprer informasjon tatt fra "Bank of America". Kaspersky Lab har en interessant analyse av "MiniDuke" trojaneren.

Trojaner "MiniDuke" bruker Twitter som kontrollserver.

Interesannt analyse av MiniDuke, utført av Kaspersky Lab. Via spesielt utformede PDF filer og effektiv sosial manipulasjon, har man klart å få infisert klienter via Adobe Reader Versjon 9,10 og 11. Infiserte klienter laster ned en spesialtilpasset fil, kun 20 kb stor, kodet i assembler. Hvis klienten passer i predefinerte krav fra angriper sin side, benyttes Twitter som kanal til kontrollserver. Som plan B, kan malwaren benytte google Search for å finne kryptert informasjon om alternativ kontrollserver.
Referanser
http://www.securelist.com/en/blog/208194129/The_MiniDuke_Mystery_PDF_0_day_Government_Spy_Assembler_0x29A_Micro_Backdoor

Anonymous lekker informasjon fra "Bank of America" hack

Lekkasje av over 320 MB epost og annen interessant informasjon som indikerer at Bank of America aktivt samler informasjon om "hacktivists"
Referanser
http://www.theregister.co.uk/2013/02/27/anon_bofa_leak/

Wednesday, 27 February 2013

2013.02.27 - Nyhetsbrev

Adobe har gitt ut en oppdatering til Adobe Flash Player som fikser kritiske sårbarheter.

Sikkerhetsoppdatering for Adobe Flash Player

Adobe har gitt ut en oppdatering til Adobe Flash Player som fikser tre svakheter der av to regnes som kritiske. De kritiske svakhetene kan gi en angriper muligheten til å ta kontroll over en utsatt maskin. De rettede sårbarhetene blir aktivt utnyttet i målrettede angrep og det anbefales å oppdatere klientmaskiner så fort som mulig.
Anbefaling
Oppdater Adove Flash Player
Referanser
http://www.adobe.com/support/security/bulletins/apsb13-08.html

Tuesday, 26 February 2013

2013.02.26 - Nyhetsbrev

Industribedriftene EADS og ThyssenKrupp utsatt for hackerangrep. Google fikser svakhet i to-faktor innlogging. Et firma har oppdaget enda flere svakheter i Java. Kahu Security har en artikkel om et sofistikert drive-by-angrep.

EADS og ThyssenKrupp utsatt for hackerangrep

Airbus-eieren EADS og den tyske stålprodusenten ThyssenKrupp ble utsatt for angrep fra kinesiske hackere i 2012. Det har blitt stadig mer vanlig for tyske bedrifter å bli rammet av cyberangrep fra Kina. EADS hevder det var "standardangrep". ThyssenKrupp sier at angrepet var rettet mot deres kontorer i USA.
Referanser
http://www.nbcnews.com/technology/technolog/eads-thyssenkrupp-attacked-chinese-hackers-report-1C8516291

Google fikser svakhet i innlogging

Forskere hos Duo Security har publisert en bloggpost om et angrep som tillot angripere å kapre en Google-konto. Nå skal svakheten som gjorde det mulig å lure seg gjennom to-trinns verifiseringa være fikset.
Referanser
https://blog.duosecurity.com/2013/02/bypassing-googles-two-factor-authentication/

Enda flere svakheter i Java

Firmaet Security Explorations har nok en gang oppdaget flere alvorlige svakheter i Java. Informasjon om svakhetene er sendt til Oracle. Flere av svakhetene lar en angriper ta kontroll over sårbare maskiner. Det er ikke sluppet detaljert informasjon om svakhetene offentlig.
Referanser
http://nakedsecurity.sophos.com/2013/02/25/zero-day-vulnerabilities-java/
http://www.security-explorations.com/en/SE-2012-01-status.html

Nytt, sofistikert drive-by-angrep

Kahu Security har en artikkel om et sofistikert drive-by-angrep som omdirigerer i flere trinn fra en sprett-opp-annonse til en landingsside for Blackhole.
Referanser
http://www.kahusecurity.com/2013/another-clever-drive-by/

Monday, 25 February 2013

2013.02.25 - Nyhetsbrev

Signert banktrojaner oppdaget. VMWare har sluppet sikkerhetsoppdateringer. Microsoft og Symantec melder at de har hatt suksess med å holde Bamital-botnettet nede. Microsoft har vært utsatt for data-angrep der de har fått kompromittert maskiner. Microsoft Azure gikk ned pga. utgått sertifikat. Zendesk melder at de har blitt kompromittert.

Signert banktrojaner oppdaget

En banktrojaner er signert med et serfikat som ble utstedt av DigiCert til NS Autos, et selskap som ikke har eksistert siden 2011. Ved en feiltakelse ble et sertifikat utstedt til dette firmaet i november 2012. Det ble først tilbakekalt da sikkerhetsfirmaet Eset gjorde DigiCert oppmerksomme på tabben.
Referanser
http://www.h-online.com/security/news/item/Certified-online-banking-trojan-in-the-wild-1808898.html

VMware med sikkerhetsoppdateringer

VMWare har sluppet oppdaterte utgaver av VMWare vCenter Server. Implementeringene av NFC, OpenSSL og Java skal være oppdatert. Det blir ikke nevnt i detalj hvor alvorlige de fiksede sårbarhetene er.
Referanser
http://www.vmware.com/security/advisories/VMSA-2013-0003.html

Microsoft har med hell tatt ned Bamital-botnettet

Etter to uker har Microsoft og Symantec i samarbeid klart å sette hele Bamital-botnettet ut av spill. Den 18. februar var 32 % av de opprinnelige maskinene ikke lenger en del av nettverket. Rensing av de infiserte klientene skal være under arbeid.
Referanser
http://blogs.technet.com/b/microsoft_blog/archive/2013/02/22/bamital-botnet-takedown-is-successful-clean-up-underway.aspx

Infiserte maskiner hos Microsoft

Microsoft har gått ut med informasjon om at de har vært utsatt for et dataangrep og at et mindre antall klientmaskiner skal være kompromittert. Blant annet er avdelingen for programvare for Mac rammet. De sier også at kundeinformasjon ikke er på avveie. Dette dreier seg mest sannsynlig om det samme angrepet som også har rammet Facebook og Apple.
Referanser
http://blogs.technet.com/b/msrc/archive/2013/02/22/recent-cyberattacks.aspx

Microsoft Azure nede i flere timer pga. utgått sertifikat

Microsoft sin nettskytjeneste Azure var lørdag nede i flere timer etter at et sentralt SSL-sertifikat gikk ut på dato.
Referanser
http://www.zdnet.com/windows-azure-storage-issue-expired-https-certificate-possibly-at-fault-7000011705/

Zendesk kompromittert - Brukere av Twitter, Tumblr og Pinterest ramma

Zendesk har blitt utsatt for hacking. Firmaet er ansvarlig for brukerstøtte for bloggtrioen Twitter, Tumblr og Pinterest. Ingen sensitiv informasjon har blitt stjålet. Bare e-postkommunikasjon mellom bloggbrukere og Zendesk har blitt tatt. Dette fører til at den sanne identiteten til anonyme bloggbrukere kan bli avslørt av hackerne.
Referanser
http://www.theregister.co.uk/2013/02/22/zendesk_hack_hits_twitter_tumblr_users/
https://isc.sans.edu/diary/Zendesk+breach+affects+TumblrPinterestTwitter/15247
https://threatpost.com/en_us/blogs/zendesk-compromised-twitter-tumblr-and-pinterest-users-affected-022213

Friday, 22 February 2013

2013.02.22 - Nyhetsbrev

McAfee melder at dataangrep har blitt mer avanserte, iflg. kvartalsrapport. Google oppdaterer chrome. NBC.com har blitt hacket. Redirigerte besøkende til exploitkit.

McAfee melder at malware har blitt smartere

I rapporten for fjerde kvartal i 2012 skriver sikkerhetsfirmaet McAfee at flere kriminelle organisasjoner har begynt med mer målrettet og smartere dataangrep. Tallet på trojanere lagd for å stjele passord økte med 72 % i siste kvartal. De konsentrerer seg også mer mot spesifikke virksomheter slik som Citadel som angriper selskaper for finansielle tjenester. Skadevaren har generelt også blitt bedre til å unngå antivirusløsninger.
Referanser
http://news.cnet.com/8301-1009_3-57570534-83/malware-getting-smarter-says-mcafee

Google oppdaterer chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen fikser en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.no/2013/02/stable-channel-update_21.html

NBC hacket

Den amerikanske TV-stasjonen NBC sitt nettsted (nbc.com) ble i går kveld hacket. Besøkende av nettstedet ble omdirigert til en nettside som prøvde å infisere PCer ved hjelp av et exploit-kit. Dersom dette lyktes, ble det lastet ned en Citadel-trojaner på PCen. Siden skal nå være ryddet for skadelig kode.
Referanser
http://hitmanpro.wordpress.com/2013/02/21/nbc-com-hacked-serving-up-citadel-malware/
http://ddanchev.blogspot.no/2013/02/dissecting-nbcs-exploits-and-malware.html

Thursday, 21 February 2013

2013.02.21 - Nyhetsbrev

Adobe slipper oppdatering til Adobe Reader og Acrobat. Apple oppdaterer java for OS X og retter i Exxchange Active Sync-svakhet i IOS. Fortinet har oppdaget kritisk sårbarhet i Adobe Shockwave player.

Apple oppdaterer Java for OS X

Apple har sluppet en oppdatering til Java for OS X. Dette er den samme oppdatering som Oracle slapp tidligere denne uken. Oppdateringen er for OS X 10.6.8 og nyere. Vi anbefaler alle som bruker Java til å oppgradere så fort som mulig.
Referanser
http://support.apple.com/kb/HT5666

Sikkerhetsoppdatering til Adobe Reader og Acrobat

Adobe har kommet med en sikkerhetsoppdatering til både Adobe Reader og Acrobat. Dette fikser zero-day svakhet som har blitt utnyttet aktivt den siste tiden. Fra svakheten ble oppdaget til oppdateringen er tilgjengelig har det kun gått 8 dager.
Referanser
http://www.adobe.com/support/security/bulletins/apsb13-07.html

Fortinet's FortiGuard har oppdaget kritiske sårbarheter i Adobe Shockwave Player

FortiGuard har oppdaget sårbarheter i Adobe Shockwave Player som lar angriper kjøre ondsinnet kode.
Anbefaling
Oppgrader til nyeste versjon.
Referanser
http://blog.fortinet.com/fortinet%C2%AE%E2%80%99s-fortiguard%E2%84%A2-labs-discovers-critical-vulnerabilities-in-adobe-shockwave-player/

Wednesday, 20 February 2013

2013.02.20 - Nyhetsbrev

Mozilla har sluppet en ny versjon av Firefox. Oracle slipper ny versjon av Java med kritiske feilrettinger. Apple kompromittert ved hjelp av svakheter i Java.

Mozilla Firefox 19 lansert

Firefox 19 er lansert. Den nye versjonen fikser 4 svakheter. I tillegg kan brukere nå åpne PDF-dokumenter i Firefox. Denne funksjonaliteten er lagt til for å redusere antall brukere som får maskinen sin infisert av ondsinnede PDF-dokumenter. For fullstendig liste og forklaring av rettede sårbarheter, se referanse.
Referanser
https://www.mozilla.org/en-US/firefox/19.0/releasenotes/

Oracle patcher 5 sårbarheter i Java

Oracle har rettet 5 kritiske svakheter i Java. Denne oppdateringen kommer i tillegg til oppdateringen som kom den 1. Februar og inneholder de feilrettingene som ikke ble med i den fremskyndede patchen. For mer informasjon rundt svakhetene som rettes, se referanse. Vi anbefaler alle som bruker Java til å oppgradere så fort som mulig. Etter oppdateringen skal du ha versjon 7 update 15.
Referanser
http://www.oracle.com/technetwork/topics/security/javacpufeb2013update-1905892.html

Apple siste i rekken til å bli hacket ved hjelp av Java

Nå har også Apple innrømmet at ansatte hos dem har fått sine maskiner kompromittert gjennom en svakhet i Java. Fra før har Facebook og Twitter vært utsatt for det samme. I alle tilfellene er det Mac OS X-maskiner som har blitt kompromittert. Det er siden "iphonedevsdk[.]com" som mest sannsynlig har vært kilden til infeksjonene. Denne siden kan fortsatt inneholde malware og personer som har besøkt den bør sjekke sine maskiner.
Referanser
http://arstechnica.com/apple/2013/02/apple-hq-also-targeted-by-hackers-will-release-tool-to-protect-customers/
http://arstechnica.com/security/2013/02/web-forum-for-iphone-developers-hosted-malware-that-hacked-facebook/
http://www.digi.no/911936/apple-hacket

Tuesday, 19 February 2013

2013.02.19 - Nyhetsbrev

PST, NSM og E-tjenesten har for første gang kommet med en felles rapport med vurdering av trusselbildet for Norge. Twitter-kontoen til Burger King ble hacket i løpet av det siste døgnet. Sikkerhetsfirmaet Mandiant slipper rapport om kinesisk cyber-spionasje.

PST, NSM og E-tjenesten: Økning av angrep og spionasje i det digitale rom

PST, NSM og E-tjenesten har for første gang kommet med en felles rapport med vurdering av trusselbildet for Norge. I seksjonen "Det digitale rom" står det at antall saker tilknytta digitale trusler øker kraftig, fra 1500 i starten av 2011 til 2500 ved forrige nyttårsskifte. Antall alvorlige hendelser har økt fra under 10 i 2007 til nesten 50 i 2012. NSM ser med bekymring på spionasje mot norsk industri og andre norske interesser. I en trusselvurdering for 2013 drar PST fram økning av spionasje innenfor det internasjonale teknologimiljøet. PST har grunn til å tro at etterretningstjenester plasserer studenter og forskere på innsida av aktuelle forskningsmiljøer og bedrifter.
Referanser
http://www.pst.no/media/utgivelser/trusler-og-sarbarheter-2013/
http://www.kriseinfo.no/Aktuelt/Februar-2013/Myndighetenes-vurdering-av-trusselbildet/

Twitter-kontoen til Burger King hacket, fikk McDonald's-logo

Twitter-kontoen til den amerikanske hurtigmatkjeden Burger King har blitt hacket og fikk layout og meldinger som ga uttrykk for at selskapet hadde blitt kjøpt opp av konkurrenten McDonald's. En teori er at et verktøy for delt innlogging for flere brukere til kontoen har blitt brukt av Burger King-ansatte og minst én av dem har hatt et svakt passord.

McDonald's var raskt ute med å vise sin sympati gjennom en Twitter-melding, mens Anonymous antyder at de står bak med aksjonen #OpMadCow uten å nevne motiv.

Twitter-kontoen til Burger King ble tatt ned mens problemet ble fiksa og Burger King har beklagd overfor sine følgere.
Referanser
http://nakedsecurity.sophos.com/2013/02/18/burger-king-dethroned-in-presidents-day-twitter-hack/
http://news.cnet.com/8301-1009_3-57569928-83/burger-king-twitter-account-hacked-defaced

Mandiant slipper rapport om kinesisk cyber-spionasje

Mandiant har sluppet en detaljert rapport om en gruppering de kaller APT1 som holder til i Kina. Disse har drevet med spionasje mot mange vestlige mål. Mandiant mener grupperingen handler på oppdrag fra kinesiske myndigheter og at den består av flere hundre personer. De slipper også en liste med over 3000 indikatorer som kan brukes til å identifisere angrep fra denne grupperingen.
Referanser
http://intelreport.mandiant.com/

Monday, 18 February 2013

2013.02.18 - Nyhetsbrev

PC'er hos Facebook her blitt hacket, og det er funnet (og rettet) svakheter i HP ArcSight.

Datamaskiner hos Facebook hacket

Datamaskiner brukt av ingeniører hos Facebook har blitt hacket. Facebook opplyser at ingen kundedata har blitt stjålet. Dette skal være snakk om et vannhullsangrep som utnyttet en 0-day-exploit i Java som nettopp ble patchet. Angrepet ble oppdaga da man så et mistenkelig domene i DNS-forespørselloggene til Facebook, som igjen ble sporet tilbake til noen av deres ingeniørers datamaskiner.
Referanser
http://arstechnica.com/security/2013/02/facebook-computers-compromised-by-zero-day-java-exploit/

HP ArcSight Connector Appliance and Logger Vulnerabilities

Det har blitt oppdaget svakheter i to HP ArcSight produkter, som i verste fall kan føre til ekstern kodeeksekvering. HP har kommet med en fiks.
Anbefaling
Oppgrader til siste versjon av programmene.
Referanser
http://h20565.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?docId=emr_na-c03606700-1&ac.admitted=1361054958795.876444892.492883150
https://isc.sans.edu/diary/HP+ArcSight+Connector+Appliance+and+Logger+Vulnerabilities/15178

Friday, 15 February 2013

2013.02.15 - Nyhetsbrev

Det er oppdaget en svakhet i iOS 6 som kan gjøre det mulig å delvis komme seg forbi skjermlåsen.

Svakhet i iOS 6.x gjør det mulig å komme seg delvis forbi skjermlåsen

En svakhet i siste versjon av iOS gjør at en person med fysisk tilgang til telefonen din, enkelt kan låse den delvis opp, selv om den er beskyttet av en PIN-kode. Uvedkommende kan deretter blant annet få tilgang til kontaktene og bildene dine.

Inntil svakheten blir fikset bør en passe ekstra godt på telefonen. Apple jobber med en patch som kommer i en framtidig oppdatering.
Referanser
http://www.theverge.com/2013/2/14/3987830/ios-6-1-security-flaw-lets-anyone-make-calls-from-your-iphone

Thursday, 14 February 2013

2013.02.14 - Nyhetsbrev

Adobe har sluppet mer informasjon om 0-day svakheten som utnyttes i Adobe Reader. Flere land ruster opp cyberforsvaret og kjøper opp og utvikler exploits. Spansk politi har arrestert flere personer bak utpressings-trojaneren Reveton.

Adobe har sluppet informasjon om 0-day svakhet i Adobe Reader

Adobe har sluppet en advisory rundt 0-day svakheten som ble oppdaget i Adobe Reader i går. Svakheten utnyttes i målrettede angrep og kan utnytte flere versjoner av Adobe Reader, også versjoner med "sandbox"-teknologi.

Det finnes foreløpig ingen patch, men ved å skru på "protected view" kan en hindre at exploiten klarer å utnytte svakheten. For å skru denne på, velg "Files from potentially unsafe locations" fra menyen "Edit > Preferences > Security (Enhanced)" menyen.

Adobe jobber med å utvikle en patch. FireEye har også sluppet flere detaljer rundt hvordan exploiten fungerer som vi lenker til.
Referanser
http://www.adobe.com/support/security/advisories/apsa13-02.html
http://blog.fireeye.com/research/2013/02/the-number-of-the-beast.html

Flere land ruster opp cyberforsvaret

Technology Review skriver en artikkel om hvordan zero-day-svakheter fungerer og hvordan kunnskap rundt disse blir omsatt. Flere land både kjøper opp og jobber med å finne slike svakheter til bruk for forsvar og etterretning. Forfatteren mener at dette etter hvert kan gjøre Internett mer sårbart, da det vil ta lengre tid før svakheter blir allment kjent og patchet.
Referanser
http://www.technologyreview.com/news/507971/welcome-to-the-malware-industrial-complex/

Svindlere arrestert for "politi-trojaner"

Spansk politi har arrestert flere personer bak Reveton, populært kalt politi-trojaner (scareware). Trojaneren har skremt mange personer, også i Norge, til å betale penger til den kriminelle gjengen for å få låst opp PCen sin.

11 personer med bakgrunn fra Russland, Georgia og Ukraina ble arrestert. Én er arrestert i Dubai og resten i Spania. Det estimeres at de klarte å lure til seg 1 millioner euro i løpet av det siste året.
Referanser
http://countermeasures.trendmicro.eu/new-bracelets-for-ransomware-kingpin/
http://arstechnica.com/tech-policy/2013/02/spanish-police-bust-alleged-ransomware-ring-that-took-in-1-34m-annually/

Wednesday, 13 February 2013

2013.02.13 - Nyhetsbrev

Microsoft har sluppet sine månedlige oppdateringer. Denne gangen er det 12 oppdateringer, hvor fem er rangert som kritiske. Til sammen er det 57 svakheter som utbedres. Internet Explorer er rammet av mange svakheter og denne bør patches så fort som mulig. Det er ikke meldt om at noen av svakhetene utnyttes aktivt enda.

Adobe har også lagt ut nye versjoner av Flash og ShockWave som utbedrer kritiske svakheter.

FireEye melder at en zero-day svakhet utnyttes i siste versjon av Adobe Reader. Vi anbefaler forsiktighet med å håndtere PDF-filer inntil en patch foreligger.

Ikano-bank har blitt hacket og forsiden ble i en kort periode i går kveld byttet ut. Banken melder at ingen av kundene har blitt rammet av hacket.

Adobe patcher Flash og Shockwave

Adobe har sluppet oppdateringer for Flash og ShockWave Player som utbedrer kritiske svakheter. Det er kun én uke siden sist gang Flash Player ble haste-patchet etter at en svakhet ble utnyttet til å ta kontroll over sårbare maskiner. Oppdateringen gjelder Windows, OS X, Linux og Android.
Referanser
http://www.adobe.com/support/security/bulletins/apsb13-05.html
http://www.adobe.com/support/security/bulletins/apsb13-06.html

Ikano bank har blitt hacket

Tirsdag kveld ble Ikano bank hacket og forsiden endret. Banken utsteder blant annet kredittkort for IKEA og Shell. Daglig leder i Ikano bank Norge, Morten Grusd, sier at ingen kunder er rammet i hackingen, og at ingen kundedata er på avveie.
Referanser
http://www.dagbladet.no/2013/02/12/nyheter/innenriks/hacking/25727517/

Vulnerability in OLE Automation Could Allow Remote Code Execution (2802968) (MS13-020)

Oppdateringen fikser en svakhet i Microsoft Windows Object Linking and Embedding (OLE) Automation. Svakheten kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker åpner en spesialdesignet fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den påloggede brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-020

Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2809279) (MS13-012)

Oppdateringen fikser flere svakheter i Microsoft Exchange Server. Den mest alvorlige svakheten ligger i Microsoft Exchange Server WebReady Document Viewing og kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker velger å forhåndsvise et spesialdesignet dokument med Outlook Web App.
Anbefaling
Oppdater Microsoft Exchange Server
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-012

Vulnerability in Media Decompression Could Allow Remote Code Execution (2780091) (MS13-011)

Oppdateringen fikser en svakhet i Microsoft Windows. Svakheten kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner en spesialdesignet media-fil, åpner et Microsoft Office dokument som inneholder en spesielt utformet media-fil eller mottar en mediestrøm.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-011

Vulnerability in Vector Markup Language Could Allow Remote Code Execution (2797052) (MS13-010)

Oppdateringen fikser en svakhet i Microsoft sin implementasjon av Vector Markup Language (VML). Svakheten kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Internet Explorer
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms13-010

Cumulative Security Update for Internet Explorer (2792100) (MS13-009)

Oppdateringen fikser 13 svakheter i Internet Explorer. De kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Internet Explorer
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms13-009

Zero-day svakhet utnyttes i Adobe Reader

FireEye melder om at en ny zero-day svakhet utnyttes i Adobe Reader. Svakheten fungerer mot siste versjon av Adobe Reader og brukes til å ta kontroll over sårbare maskiner. Informasjon om svakheten har blitt sendt til Adobe.
Anbefaling
Vær forsiktig med å åpne filer i Adobe Reader inntil patch foreligger.
Referanser
http://blog.fireeye.com/research/2013/02/in-turn-its-pdf-time.html

Vulnerability in Windows Client/Server Run-time Subsystem (CSRSS) Could Allow Elevation of Privilege (2790113) (MS13-019)

Oppdateringen dekker en svakhetet i Microsoft Windows som kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering dersom angriperen logger seg på et system og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må angriperen ha gyldig påloggingsinformasjon.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-019

Vulnerability in TCP/IP Could Allow Denial of Service (2790655) (MS13-018)

Oppdateringen fikser en svakhet i Microsoft Windows. Svakheten kan gi en angriper muligheten til å forårsake en tjenestenekt-tilstand ved å sende en spesialdesignet pakke til en server.
Anbefaling
Oppdater Microsoft Windows
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms13-018

Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege (2799494) (MS13-017)

Oppdateringen dekker 3 svakheteter i Microsoft Windows som kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering dersom angriperen logger seg på et system og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må angriperen ha gyldig påloggingsinformasjon.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-017

Vulnerabilities in Windows Kernel-Mode Driver Could Allow Elevation of Privilege (2778344) (MS13-016)

Oppdateringen dekker 30 svakheteter i Microsoft Windows som kan gi en angriper muligheten til å forårsake en lokal rettighetseskalering dersom angriperen logger seg på et system og kjører en spesialdesignet applikasjon. For å utnytte denne svakheten må angriperen ha gyldig påloggingsinformasjon.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-016

Vulnerability in .NET Framework Could Allow Elevation of Privilege (2800277) (MS13-015)

Oppdateringen fikser en svakhet i Microsoft .NET Framework. Svakheten kan gi en angriper muligheten til å forårsake en rettighetseskalering dersom en bruker åpner en spesialdesignet nettside med en nettleser som kan kjøre "XAML Browser"-applikasjoner. Svakheten kan også brukes til å omgå "Code Access"-sikkerhetsrestriksjoner.
Anbefaling
Oppdater .NET Framework
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-015

Vulnerability in NFS Server Could Allow Denial of Service (2790978) (MS13-014)

Oppdateringen fikser en svakhet i Microsoft Windows. Svakheten kan gi en angriper muligheten til å forårsake en tjenestenekt-tilstand ved å utføre en operasjon på en skrivebeskyttet fil. En vellykket utnyttelse av svakheten kan føre til at systemet stopper opp og starter på nytt.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-014

Vulnerabilities in FAST Search Server 2010 for SharePoint Parsing Could Allow Remote Code Execution (2784242) (MS13-013)

Oppdateringen dekker flere svakheter i Microsoft FAST Search Server 2010 for SharePoint. Svakhetene kan gi en angriper mulighet til å eksekvere kode på et utsatt system. FAST Search Server for SharePoint er bare sårbar hvis Advanced Filter Pack er aktivert, noe den som standard ikke er.
Anbefaling
Oppdater produktet
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-013

Tuesday, 12 February 2013

2013.02.12 - Nyhetsbrev

VMWare har oppdatert flere av sine produkter.

VMWare oppdaterer flere produkter

Vmware har sluppet en oppdatering som fikser en svakhet i flere av deres produkter. Denne svakheten kan bli utnyttet til å oppnå lokal rettighetseskalering. En angriper som vellykket utnytter denne svakheten vil få et utvidet sett med rettigheter og muligheten til utføre handlinger normalt utenfor brukerens tillatte område. For mer utfyllende informasjon, se referansen.
Anbefaling
Oppdater produktene
Referanser
http://www.vmware.com/security/advisories/VMSA-2013-0002.html

Monday, 11 February 2013

2013.02.11 - Nyhetsbrev

Oracle oppdaterer igjen Java 19. februar. Sikkerhetsfirmaet Bit9 har blitt hacket.

Oracle skal oppdatere Java 19. februar

Oracle har publisert informasjon om en ny versjon av februaroppdateringen av Java som vil bli lagt ut 19. februar.

Siden publiseringen av februaroppdateringen ble fremskyndet til 1. februar, var det en del feilrettinger som ikke ble med. Denne oppdateringen inneholder disse feilrettingene, i tillegg til de kritiske svakhetene som ble rettet. For mer informasjon rundt svakhetene som rettes, se referanse. Vi anbefaler alle som bruker Java til å oppgradere når det blir mulig.
Referanser
http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Sikkerhets Firmaet Bit9 hacket, brukt til å spre malware.

Sikkherts firmaet Bit9 har blitt hacket. Firmaet leverer et sikkerhetsprodukt der alt av programvare som installeres på en PC må godkjennes før kjøring, eller "whitelisting". Angriperne har fått tilgang til de sentrale systemene hos Bit9 og deretter fått whitelistet sin malware. Denne malwaren har så blitt brukt til å angripe minst tre andre firmaer som brukte programvare fra Bit9.

Dette angrepet kan minne mye om angrepet mot RSA i 2011. Der ble også en sikkerhetsleverandør angrepet, for igjen å kunne omgå sikkerheten hos kunder av leverandøren.
Referanser
http://krebsonsecurity.com/2013/02/security-firm-bit9-hacked-used-to-spread-malware/
https://blog.bit9.com/2013/02/08/bit9-and-our-customers-security/

Friday, 8 February 2013

2013.02.08 - Nyhetsbrev

En ny versjon av Flash Player er kommet, og denne fikser to 0-day svakheter. FireEye har også skrevet om LadyBoyle, som utnytter en av disse svakhetene.
I tillegg har Microsoft kommet med sitt forhåndsvarsel, og Ars Techninca har skrevet en bra artikkel om sikkerhetsaspektet med mobile app'er og deres kommunikasjon til bedriftens systemer.

Microsoft publiserer forhåndsvarsel av oppdateringer for februar

Microsoft melder at de kommer til å slippe 12 oppdateringer tirsdag 12. februar. Oppdateringene som slippes vil fikse svakheter i Windows, Windows Server, Windows RT, Office, Exchange Server og FAST Search Server 2010 for SharePoint, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. 5 av oppdateringene blir rangert som kritiske, mens resten rangeres som viktig.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-feb

Analyse av malwaren LadyBoyle

I forbindelse med dagens patch av Adobe, har FireEye gjort en analyse av LadyBoyle, som utnytter 0-day svakheten i Flash Player.
Referanser
http://blog.fireeye.com/research/2013/02/lady-boyle-comes-to-town-with-a-new-exploit.html

Sikkerhet i mobilens app'er og backend-systemer

En artikkel fra Ars Technica som omhandler app'er i mobiltelefonen, og hvordan de kommuniserer med bedriftens systemer fra et eksternt nettverk. Her er sikkerhet, spesielt med tanke på backend-systemene, et viktig aspekt, men som få tenker på!
Referanser
http://arstechnica.com/security/2013/02/mobile-app-security-always-keep-the-back-door-locked/

Ny sikkerhetsoppdatering for Adobe Flash Player

Adobe Flash Player er ute i ny versjon til Windows, Mac og Linux. Denne fikser en rekke svakheter som i verste fall kan føre til eksekvering av kode. Det anbefales derfor å oppdatere til siste versjon. Microsoft har også publisert en oppdatering til den versjonen av Adobe Flash Player som er innebygd i Internet Explorer 10 for Windows 8, Windows RT og Windows Server 2012.
Anbefaling
Oppdater Adobe Flash Player
Referanser
http://www.adobe.com/support/security/bulletins/apsb13-04.html
http://technet.microsoft.com/en-us/security/advisory/2755801

Thursday, 7 February 2013

2013.02.07 - Nyhetsbrev

Bamital botnettet tatt ned i samarbeid mellom Microsoft og Symantec. FireEye har oppdaget trojaneren Nap, med oppførsel likt det som ble brukt under angrepet mot New York Times. Kina ligger på toppen av listen til Panda Labs over land med prosentvis flest malwareinfiserte klienter.

Microsoft og Symantec tok ned botnettet Bamital sammen

Microsoft og Symantec avslører at de samarbeidet om å ta ned botnettet Bamital, som trolig stammer fra Russland. Det er første gang de har tilbudt verktøy for fjerning av malware direkte til infiserte klienter. Botnettet hadde 300 000 til 600 000 maskiner og gav bakmennene inntekt på minst en million dollar i året med klikk-svindel (click fraud).
Referanser
http://news.cnet.com/8301-1009_3-57568067-83/microsoft-symantec-shutter-another-botnet/?part=rss&tag=feed&subj=News-Security&Privacy
http://arstechnica.com/security/2013/02/massive-search-fraud-botnet-siezed-by-microsoft-and-symantec/

Trojaneren Nap kopierer teknikker fra angrepet mot New York Times

Sikkerhetsfirmaet FireEye har oppdaget trojaneren Nap, som lurer seg unna med teknikker som likner på dem brukt under angrepet mot New York Times. Den sprer seg veldig raskt fra en infisert klient til en annen for å unngå å bli sett i nettverket. Trojaneren lurer seg også unna ved å være inaktiv, altså sove, som passer godt til navnet den har fått.
Referanser
http://www.v3.co.uk/v3-uk/news/2241943/nap-trojan-uncovered-copying-new-york-times-attack-methods

55 prosent av Kinesiske datamaskiner er infisert med Malware.

Panda Labs melder i sin årsrapport at 55 % av datamaskinene i Kina er infisert med malware.
Referanser
http://www.theregister.co.uk/2013/02/07/panda_china_most_infected_pcs/

Wednesday, 6 February 2013

2013.02.06 - Nyhetsbrev

Datatilsynet har akseptert bruk av Google Analytics. Google blokkerte flere høyt profilerte nettsteder for brukere av Google Chrome grunnet malware-infisering hos annonsenettverk.

Datatilsynet aksepterer bruk av Google analytics

Datatilsynet godtar at analyseverktøyet Google analytics blir brukt i offentlige og private virksomheter. Dette siden IP adressene blir anonymisert og ikke brukt til annet enn analyseformål. Skatteetaten og Lånekassen er blant de største offentlige etatene som bruker dette verktøyet.
Referanser
http://www.datatilsynet.no/Nyheter/2013/Aksepterer-bruk-av-Google-analytics/

Google blokkerte flere nettsider etter hackerangrep mot reklameleverandør

Brukere av nettleseren Google Chrome kunne ikke åpne flere høyt profilerte nettsteder som Washington Post og New York Times i løpet av mandagen. Reklameleverandøren NetSeer ble hacket og injisert med malware og Google så der derfor nødvendig å blokkere alle nettsider som NetSeer leverte reklame til. I følge administrerende direktør for NetSeer er nettsidene deres helt adskilte fra reklamen de leverer og det var derfor aldri noen fare for at besøkende til New York Times kunne bli infisert av malware. Malwaren skal nå være fjernet og de tidligere blokkerte nettsidene skal nå være åpne for trafikk.
Referanser
http://threatpost.com/en_us/blogs/google-blocks-high-profile-sites-after-advertising-provider-netseer-hacked-020413

Tuesday, 5 February 2013

2013.02.05 - Nyhetsbrev

Det amerikanske energidepartementet utsatt for hackerangrep. Forskere har klart å dekode SSL-trafikk ved hjelp av "man in the midle"-angrep. Jailbreak til iOS 6.x har blitt sluppet.

Det amerikanske energidepartementet utsatt for hackerangrep

Det amerikanske energidepartementet skal ha blitt utsatt for et sofistikert hackerangrep for to uker siden der personlig informasjon fra hundrevis av ansatte ble stjålet. Departementet selv, sammen med FBI, etterforsker nå angrepet. De tror at målet for angrepet var klassifiserte dokumenter, men at ingen slike dokumenter ble kompromittert. Det jobbes nå med å tette sikkerhetshullene som angriperne utnyttet.
Referanser
http://freebeacon.com/cyber-breach/

Forskningspapir som omhandler et angrep på TLS og DTLS utgitt

Det har blitt gitt ut en artikkel hvor det blir beskrevet et angrep som gjør at man kan utføre et man-in-the-middle angrep og få frem i klartekst innholdet i en TLS/DTLS tilkobling som bruker CBC-modus. Dette kan blant annet brukes til å lese ut innholdet i krypterte cookies i web-sesjoner.
Referanser
http://www.isg.rhul.ac.uk/tls/

Jailbreak til iOS 6.x sluppet

Det har blitt gitt ut en jailbreak til iPhone som fungerer på iOS 6.x. Det forrige jailbreaket til iPhone kunne ta kontroll over telefonen kun ved å besøke en web-side med den innebygde nettleseren. Svakheten som benyttes denne gangen krever at telefonen kobles til en PC, så denne er ikke like alvorlig.

Vi linker også til en detaljert analyse av hvordan jailbreaket er mulig.
Referanser
http://arstechnica.com/apple/2013/02/new-untethered-jailbreak-works-for-idevices-running-ios-6-x/
http://blog.accuvantlabs.com/blog/bthomas/evasi0n-jailbreaks-userland-component

Monday, 4 February 2013

2013.02.04 - Nyhetsbrev

Rett før helgen ble Java endelig oppdatert, der en rekke sikkerhetshull ble tettet. Twitter meldte også om at de har blitt hacket, og DagensIt har skrevet en artikkel om USAs mulighet for å overvåke utenlandsk nett-trafikk i USA. Norske hackere stjeler privat informasjon fra Apples tjeneste iCloud. Anonymous har lagt ut privat informasjon tilhørende banksjefer i USA.

Oracle patcher 50 sårbarheter i Java

Oracle har sluppet sin kvartalsvise oppdateringspakke for Java. Denne var ment å bli lansert den 19. februar men grunnet alle svakhetene som har blitt oppdaget i Java i den siste tiden ble lanseringen fremskyndet. Oppdateringen dekker hele 50 sårbarheter, der minst én blir aktivt utnyttet til å ta kontroll over sårbare maskiner. For fullstendig liste over sårbarheter, se referansene. Det anbefales å oppdatere så fort som mulig eller å avinstallere Java dersom det ikke brukes.
Referanser
http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html

Twitter hacket, informasjon om 250 000 brukere stjålet

Twitter har meldt på sin blogg at brukernavn, e-postadresser og hashede passord til 250 000 brukere har blitt stjålet. Passordene til alle de berørte kontoene har blitt tilbakestilt og Twitter har sendt ut eposter til eierene om at de må lage nye passord. Twitter minner om at passord bør bestå av en blanding av minst 10 bokstaver, tall og tegn. Passordet bør også være unikt for Twitter og ikke være i bruk på noen andre nettsider.
Referanser
http://blog.twitter.com/2013/02/keeping-our-users-secure.html
http://www.wired.com/threatlevel/2013/02/twitter-hacked/

Amerikansk lov åpner for å overvåke Internett-trafikk

FISAAA (Foreign Intelligence Amendments Act) gjør det mulig for amerikanske myndigheter til å se igjennom all utenlandsk nett-trafikk som går igjennom USA uten rettsordre. Når en amerikansk person er inne i bildet, må det en rettsordre til for å kunne inspisere trafikken. Dagens IT har skrevet en artikkel om dette.
Referanser
http://www.dagensit.no/article2554356.ece
http://en.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act

Hackere stjeler privat informasjon fra iCloud

Det viser seg at angripere har fått tilgang til privat innhold fra flere brukere fra iCloud. Mange iPhones er satt opp til automatisk å ta backup til denne tjenesten. Angripere kan få tilgang til denne backupen ved å få nullstilt passordet på kontoen og bruke et spesielt program for å hente ut informasjonen. Passordet kan nullstilles ved å skrive inn fødselsdato og svare på kontrollspørsmål som brukeren selv har svart på.

Husk at et kontrollspørsmål kan være nesten like sensitivt som et passord. Velg derfor kontrollspørsmål som ingen andre kan svaret på. Skriv svarene på en spesiell måte eller velg svar som ikke egentlig stemmer. En kan også vurdere å ikke ta backup til nettskyen, men heller ta manuell backup til en PC.
Referanser
http://www.aftenposten.no/okonomi/Stjeler-bilder-av-unge-jenter-fra-Apples-nettsky-7109783.html

Anonymous legger ut informasjon om banksjefer i USA

Anonymous har lagt ut privat informasjon og brukernavn/passord til over 4000 sjefer i banknæringen i USA. Informasjonen har blitt lagt ut på websidene til Alabama Criminal Justice Information Center.
Referanser
http://www.zdnet.com/anonymous-posts-over-4000-u-s-bank-executive-credentials-7000010740/

Friday, 1 February 2013

2013.02.01 - Nyhetsbrev

Kinesiske hackere har i løpet av den siste tiden også angrepet The Wall Street Journal.

Wall Street Journal melder om Kinesisk hackeraktivitet.

The Wall Street Journal melder på samme måte som The Times at de er utsatt for angrep fra kinesiske hackere. De antyder at dette skjer på bakgrunn av journalistisk arbeid som dekker Kina.
Referanser
http://online.wsj.com/article/SB10001424127887323926104578276202952260718.html