Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 30 December 2016

2016.12.30 - Nyhetsbrev

Obama-administrasjonen utviser russiske diplomater etter valg-hacking.

Obama-administrasjonen utviser russiske diplomater etter valg-hacking

35 russiske diplomater må forlate Washington og San Francisco innen 72 timer på grunn av hacking under den amerikanske valgkampen og trakassering av amerikanske diplomater i Moskva. Obama innfører også sanksjoner mot etterretningsorganisasjonene FSB og GRU og firmaer som understøtter GRU. Flere enkeltpersoner blir også underlagt sanksjoner. USA gjenntar at hacker-angrepene mot det demokratiske partiet og andre under valgkampen må ha blitt godkjent høyt oppe i det russiske statsapparatet. Russland avviser anklagene.
FBI og DHS har også sluppet et teknisk dokument der de beskriver angrepene samt tiltak for å motvirke lignende angrep i framtiden.
Referanser
https://www.nrk.no/urix/usa-kaster-ut-russisk[...]
http://bigstory.ap.org/article/9ccb9a5ab1394a[...]
http://www.mid.ru/en/foreign_policy/news/-/as[...]
https://www.us-cert.gov/sites/default/files/p[...]

Thursday, 29 December 2016

2016.12.29 - Nyhetsbrev

Mozilla slipper viktig oppdatering til Thunderbird og Android utpressingsvirus infiserer LG SmartTV.

Android utpressingsvirus infiserer LG SmartTV

Sikkerhetsselskaper har advart i over et år om at det er muligheter for at Android malware, som er ment for telefoner og nettbrett, kan infisere andre enheter som kjører Android, slik som for eksempel smart TVer. BleepingComputer melder om at en familie skal ha fått TVen deres infisert av et utpressingsvirus i løpet av julen. Utpressingsviruset skal ha krevd 500 dollar for å låse opp enheten igjen. Den infiserte TVen er en av de siste generasjonsene av LG TV som kjørte Google TV, en smartplatform som ble avviklet i 2014.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Mozilla slipper viktig oppdatering til Thunderbird

Mozilla har sluppet en oppdatering til epost-leseren Thunderbird. Oppdateringen fikser to kritiske svakheter, samt flere mindre alvorlige.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Wednesday, 28 December 2016

2016.12.28 - Nyhetsbrev

NRK med sak om hvordan bedrifter kan unngå e-post-svindel i deres navn.

NRK med sak om hvordan bedrifter kan unngå e-post-svindel i deres navn

NRK skriver om hvordan bedrifter og det offentlige kan bruke tjenestene DMARC, SPF og DKIM til å gjøre det vanskeligere for svindlere å sende e-poster som gir seg ut for å være fra dem. Disse teknologiene gjør det vanskeligere for svindlere å bruke organisasjoners ekte avsenderadressene i svindel-eposter.
Referanser
https://www.nrk.no/dokumentar/xl/stoppet-over[...]
https://www.nrk.no/dokumentar/bare-fire-kommu[...]
http://www.dkim.org/

Tuesday, 27 December 2016

2016.12.27 - Nyhetsbrev

Statlige datamaskiner i Litauen infisert med russisk programvare for overvåking.

Statlige datamaskiner i Litauen infisert med russisk programvare for overvåking

Sjefen for det statlige sentert for cybersikkerhet i Litauen opplyser at Russland har klart å infisere statlige datamaskiner tre ganger siden 2015. Bare det siste året har det vært 20 forsøk på infeksjon. Russland tilbakeviser påstandene.
Referanser
http://www.reuters.com/article/us-lithuania-c[...]

Monday, 26 December 2016

2016.12.26 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.


Friday, 23 December 2016

2016.12.23 - Nyhetsbrev

Apple utsetter fristen for implementering av ATS.

Apple utsetter fristen for implementering av ATS

Apple uttalte på konferansen WWDC2016 at de ville kreve at alle applikasjoner i Appstore implementerte ATS(App Transport Security) innen årsskifte. Dette vil blant annet innebære at applikasjoner bruker https for overføring av data. Denne uken gjorde Apple det klart at de utsetter fristen på ubestemt tid. Grunnen til utsettelsen er ikke kjent.
Referanser
https://developer.apple.com/news/?id=12212016b
http://www.theregister.co.uk/2016/12/23/apple[...]

Thursday, 22 December 2016

2016.12.22 - Nyhetsbrev

Bakdør tilknyttet aktøren Fancy Bear oppdaget i Android-programvare benyttet av ukrainsk artilleri. EU-domstolen legger strenge føringer for generell lagring av borgeres kommunikasjons- og lokasjonsdata.

Fancy Bear sporer ukrainske artillerienheter via Android-trojaner

Den russiske grupperingen Fancy Bear - også kjent som Sofacy, APT28 eller Operation Pawn Storm - har utviklet en trojaner for militær bruk iflg en rapport fra Crowdstrike.

En offiser i det Ukrainske artilleriet har utviklet en Android-app for å gjøre beregninger i forbindelse med artilleribeskytning. Crowstrike har nå oppdaget en trojansk utgave av denne applikasjonen som inneholder bakdøren X-Agent. Appen med trojaneren ble distribuert i ukrainske militær-forum på nettet mellom 2014 og 2016. Militære enheter som har benyttet den trojaniserte appen har antagelig kontinuerlig rapportert sine posisjoner til fienden.
Referanser
https://www.crowdstrike.com/blog/danger-close[...]

EU-domstolen legger klare begrensninger på generell lagring av kommunikasjonsdata

EU-domstolen avsa i går en dom som legger strenge føringer for lagring av borgeres kommunikasjons- og lokasjonsdata på generelt grunnlag. Lagring kan kun skje når det må anses som strengt nødvendig for å bekjempe alvorlig kriminalitet og innsyn kan kun gis når det foreligger kjennelse fra domstol eller annen uavhengig myndighet.

Dommen vil trolig få følger både for Storbritannias vedtatte "Snoopers Charter" og Norges foreslåtte "Digitale grenseforsvar"
Referanser
http://www.zdnet.com/article/mass-internet-su[...]
https://www.personvernbloggen.no/2016/12/21/e[...]
http://curia.europa.eu/jcms/upload/docs/appli[...]

Wednesday, 21 December 2016

2016.12.21 - Nyhetsbrev

Ny variant av "DNSChanger" exploit-kit angriper hjemmeroutere for å kapre reklame-trafikk. Russisk botnet genererer store inntekter til bakmenn ved å la falske brukere se mengder av legitim video-reklame. VmWare tetter sikkerhetshull i ESXi.

Ny variant av "DNSChanger" exploit-kit angriper hjemmeroutere

Sikkerhetsselskapet ProofPointEn har en interessant blogg-post der de redegjør for hvordan en ny variant av exploit-kittet "DNSChanger" nå er i stand til å endre DNS-oppsettet til mange trådløs/hjemmeroutere via brukerens nettleser. Ved å angripe routerne på denne måten, og endre DNS-oppsettet, får angriperne mulighet til å kontrollere hvilke reklame-nettverk brukerne av routerne skal sendes til, noe som igjen brukes for å genererer inntekter til bakmennene bak DNSChanger.
Referanser
https://www.proofpoint.com/us/threat-insight/[...]
http://www.digi.no/artikler/gammel-skadevare-[...]

Russisk botnet genererer store inntekter til bakmenn ved å se legitim video-reklame

Sikkerhetsforskere fra firmaet "White Ops" har avdekket hvordan et botnet kalt "Methbot" skal ha klart å svindle til seg inntil 5 millioner dollar pr dag ved å la de automatiserte maskinene i botnettet "se" video-reklame fra en rekke store amerikanske merkevarer og medie-hus. Iflg. White Ops antas botnettet å ha sitt opphav i Russland. Botnettet kjører på "rene" maskiner, det baserer seg altså ikke på å infisere vanlige brukeres maskiner.
Referanser
http://www.zdnet.com/article/methbot-5-millio[...]
http://www.dn.no/etterBors/2016/12/20/1551/Ma[...]

VmWare tetter sikkerhetshull i ESXi

VmWare har sluppet en oppdatering til ESXi. Sikkerhetshullet åpner opp for XSS-angrep, og kan introduseres via importering av en spesialdesignet VM. Hullet berører versjon 5.5 og 6.0, 6.5 er ikke påvirket.
Anbefaling
Oppdater til siste oppdatering.
Referanser
http://www.vmware.com/security/advisories/VMS[...]

Tuesday, 20 December 2016

2016.12.20 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.


Monday, 19 December 2016

2016.12.19 - Nyhetsbrev

Remote zero-day exploit i flere Linux-distribusjoner. Database hos Lynda.com aksessert av uautorisert tredjepart. Alvorlig sårbarhet i Ubuntu patchet. Flere aktører blir med i kampen mot ransomware. Kritiske svakheter i Nagios.

Remote zero-day exploit i flere Linux-distribusjoner

Sikkerhetsanalytiker Chris Evans publiserte nylig en rapport som beskriver en zero-day exploit som eksisterer i en rekke Linux-distribusjoner. Exploiten utnytter en svakhet i et software-bibliotek brukt til å emulere musikk fra eldre spill-konsoller. I emuleringen brukes det filer av typen .spc, men dersom fil-endelsen endres til .mp3 eller .flac vil de bli åpnet automatisk. Svakheten kan utnyttes ved å lure offeret til å åpne en spesielt utformet fil i en nettleser.
Referanser
https://scarybeastsecurity.blogspot.no/2016/1[...]
http://arstechnica.com/security/2016/12/fedor[...]

Database hos Lynda.com aksessert av uautorisert tredjepart

Den kjente læringsplattformen Lynda.com sendte lørdag ut en mail til 55000 av deres brukere for å informere dem om at en ukjent tredjepart har fått tilgang nettsidens database. Tredjeparter skal dermed hatt mulighet til å hente ut mange av brukernes kontaktinformasjon. Det er foreløpig ikke kjent om deres passord er blitt hentet ut av databasen. Det kommer også frem at Lynda vil informere rundt 9.5 millioner av brukerne deres om at deres læringsdata kan ha blitt hentet ut av den ukjente tredjeparten.
Referanser
http://www.theregister.co.uk/2016/12/18/linke[...]

Alvorlig sårbarhet i Ubuntu patchet

En sårbarhet som kunne føre til fjerneksekvering av fiendtlig kode er blitt patchet hos standardversjoner av Ubuntu 12.10 og senere utgivelser. Sårbarheten er knyttet til programvaren i Ubuntu som velger hvilke programmer som skal åpne ulike filtyper og programvare for kræsj-håndtering. Svakheten kan utnyttes ved å lure et offer til å åpne en spesielt utformet fil.
Referanser
https://donncha.is/2016/12/compromising-ubunt[...]
https://threatpost.com/remote-code-execution-[...]

Flere aktører blir med i kampen mot ransomware

Flere og flere aktører blir nå med i prosjektet No More Ransom. Prosjektet startet i juli i år, og nå har også BitDefender, Trend Micro, Check Point og Emisoft blitt med i kampen mot ransomware. Med disse nye medlemmene vil antall dekrypteringsverktøy prosjektet har til rådighet gå fra 8 til 32.
Referanser
http://www.theregister.co.uk/2016/12/16/ranso[...]
https://www.nomoreransom.org/

Kritiske svakheter i Nagios

Det er oppdaget to svakheter i overvåkings-systemet Nagios Core. Svakhetene kan potensielt utnyttes til å få kjørt fiendtlig kode på en sårbar Nagios-server uten å ha logget inn.
Anbefaling
Oppgrader til Nagios Core 4.2.4
Referanser
https://threatpost.com/nagios-core-patches-ro[...]
https://legalhackers.com/advisories/Nagios-Ex[...]

Friday, 16 December 2016

2016.12.16 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.


Thursday, 15 December 2016

2016.12.15 - Nyhetsbrev

Yahoo frastjålet enorme mengder brukerinformasjon i 2013.

Yahoo frastjålet brukerinformasjon for 1 milliard brukerkontoer i 2013.

Yahoo har gått ut med advarsler til brukere om at en uautorisert tredjepart i 2013 skal ha klart å stjele brukerdata fra omlag èn milliard brukerkontoer. I disse brukerdataene inngår også en md5-hashet utgave av passordet. MD5-sjekksumalgoritmen har i en årrekke blitt regnet som utdatert og knekt, og Yahoo får nå kritikk fra sikkerhetsmiljøer for å ha benyttet denne hashing-algoritmen så sent som i 2013.
Referanser
http://www.digi.no/artikler/yahoo-brukte-utda[...]
https://yahoo.com/security-update

Wednesday, 14 December 2016

2016.12.14 - Nyhetsbrev

Microsoft og Adobe ute med nye oppdateringer. "Operation Tarpit" fører til arrestasjoner i USA og Europa

Microsoft gir ut månedens sikkerhetsoppdateringer

Microsoft har offentliggjort denne månedens sikkerhetsoppdateringer. Det er totalt 12 oppdateringer, der 6 av disse regnes som kritiske oppdateringer. Oppdateringer berører blant annet Internet Explorer, Microsoft Edge, Microsoft Graphics Component, Microsoft Uniscribe og Microsoft Office.

Noen av oppdateringenene fikser svakheter som tillater ekstern kodeeksekvering.
Referanser
https://technet.microsoft.com/library/securit[...]

Flere arrestert i USA og Europa som følge av "Operation Tarpit".

Flere personer er arrestert i en større samarbeidssak mellom Europol og FBI. Operasjonen som har navnet Tarpit, tar sikte på å straffe kunder av såkalte "booter services" som er DDoS-on-demand tjenester som tar betalt for å ramme enkeltnettsted på vegne av sine kunder. Flere av kundene er arrestert eller tatt inn til avhør over USA og Europa, inkludert Norge. "Målet er å rette fokus, samt forhindre at yngre mennesker lar seg lede inn i cyberkriminalitet", sier Europol i en uttalelse Mandag.
Referanser
https://krebsonsecurity.com/2016/12/operation[...]

Adobe med kritiske sikkerhetsoppdateringer til Flash Player.

Adobe har gitt ut en sikkerhetsoppdatering som fikser flere kritiske sikkerhetshull i Flash Player. Oppdateringen omhandler svakheter som potensielt kan gi en angriper kontroll over datamaskinen. Svakhetene berører Windows, Macintosh, Linux og Chrome OS. Brukere oppfordres til å oppdatere berørte systemer fortløpende.
Anbefaling
Oppdater alle berørte systemer.
- Windows / Macintosh til versjon 24.0.0.186 via innebygd oppdateringmekanisme.
- Linux oppdateres til versjon 24.0.0.186 via Adobe Download Center.
- Google Chrome auto-oppdateres av Google for alle plattformer.
- Microsoft Edge og Explorer 11 vil automatisk oppdateres.
Referanser
https://helpx.adobe.com/security/products/fla[...]

Tuesday, 13 December 2016

2016.12.13 - Nyhetsbrev

Sikkerhetsoppdatering til McAfee VSEL, nytt utpressingsvirus gir offeret mulighet til å spre viruset videre i stedet for å betale, Apple fikser 12 sårbarheter i ny oppdatering, svakhet i Netgear-rutere, og utsending av falske henvendelser med Telenor som avsender.

Intel med sikkerhetsoppdateringer til VirusScan Enterprise for Linux

Intel har sluppet oppdatering til McAfee VirusScan Enterprise for Linux som retter 10 svakheter. Alvorlighetsgraden for 4 av svakhetene er rangert som høy. Dette gjelder for programvareversjon VSEL 2.0.3 og tidligere.
Referanser
https://kc.mcafee.com/corporate/index?page=co[...]

Nytt utpressingsvirus gir mulighet for å infisere andre

De fleste utpressingsvirusene ber om penger for dekryptere filene som den har kryptert når den blir installert på systemet. MalwareHunterTeam har funnet et nytt virus som gir deg to muligheter om du blir infisert. Enten betaler du penger, eller så kan du få to andre brukere infisert ved å gi dem en link.

Den sistnevnte muligheten er ny, og utpressingsviruset sier videre at om to brukere blir infisert og betaler utpressingspengene som de blir spurt om, vil du få en gratis dekrypteringsnøkkel.

I tillegg til dette vil viruset også sjekke hvor mange ganger du har tastet inn feil nøkkel. Om du taster inn feil nøkkel flere enn 4 ganger vil viruset starte å slette filer.

Da MalwareHunterTeam fant viruset var det fortsatt under utvikling, og det er fortsatt ikke brukt i angrep.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Apple fikser 12 sårbarheter i ny oppdatering

Apple har gitt ut en sikkerhetsoppdatering for iOS 10 som tar for seg 12 sårbarheter. Den viktigste sårbarheten som ble fikset kunne ført til eksekvering av kode ved utnyttelse av en svakhet i Safari og Apple sin egen epost-tjener.
Referanser
https://threatpost.com/apple-fixes-12-vulnera[...]
https://support.apple.com/en-us/HT201222

Sikkerhetshull funnet hos en rekke Netgear-rutere

Det er oppdaget et sikkerhetshull i en rekke av Netgear sine rutere. Ved å lure brukeren til å besøke en bestemt nettside, vil angriperen kunne oppnå root-rettigheter på ruteren. Sårbarheten skal være svært enkel å utnytte. Brukere som har mulighet, anbefales å bytte ut de utsatte enhetene inntil videre.
Referanser
http://www.kb.cert.org/vuls/id/582384

Kredittkort-phishing med Telenor som avsender

Det går i dag ut falske henvendelser med Telenor som avsender og beskjed om å oppdatere utløpt kredittkort. Meldingen sendes ikke ut av Telenor, men er i realiteten et forsøk på å lure deg til å gi kredittkortdataene dine til svindlere. Vi gjør det vi kan for å begrense spredningen av mailene og ta ned de falske websidene.
Referanser
https://nb-no.facebook.com/TelenorSOC/posts/1[...]

Friday, 9 December 2016

2016.12.09 - Nyhetsbrev

Falsk e-post med Posten som avsender sendes ut i stort omfang til mottakere i Norge. Innholdet er i realiteten skadevare som krypterer filer på mottakers harddisk. Tysk sikkerhetstjeneste advarer mot russisk propaganda og cyberangrep

Svindel-e-post med Posten som avsender leder til utpressingsvirus

E-postmottakere over hele norge mottar for tiden falske henvendelser med Posten Norge som avsender og beskjed om å skrive ut adresselap for henting av utsendt pakke. Lenken i e-posten leder i realiteten til skadevaren TorrentLocker, som krypterer filer på mottakers PC og krever løsepenger for å utlevere nøkkelen. Mange nordmenn har handlet på nett i forbindelse med Black Friday og julehandel, og Posten selv har måttet oppfordre folk til å skynde seg og hente pakker fordi utleveringssteder er overfylte.
Referanser
http://www.vg.no/nyheter/innenriks/postens-lo[...]
http://www.nettavisen.no/nyheter/svindel-epos[...]

Tysk sikkerhetstjeneste advarer mot russisk propaganda og cyber-angrep

Den tyske sikkerhetstjenesten BfV advarer mot russisk propaganda og cyber-angrep. Det rapporteres sterk økning i propagandakampanjer og dessinformasjon med destabilisering av det tyske samfunnet som formål. Det er også observert økning i målrettede angrep mot politiske partier. Grupperingen APT28, også kjent som FancyBear, Strontium eller Sofacy, er en av aktørene som skal stå bak angrepene.
Referanser
http://in.reuters.com/article/germany-russia-[...]

Thursday, 8 December 2016

2016.12.08 - Nyhetsbrev

Et rolig døgn.

Det er ingen nye saker siden sist.


Wednesday, 7 December 2016

2016.12.07 - Nyhetsbrev

Millioner av besøkende til populære nettsteder utsatt for ondsinnet kode gjemt i reklamebannere. Gammel svakhet gjør de fleste Linux-distroer sårbar for lokal rettighetseskalering til root.

Millioner av besøkende til populære nettsteder utsatt for ondsinnet kode gjemt i reklamebannere.

Forskere fra AV-leverandøren ESET har avdekket hvordan cyberkriminelle de siste månedene har utsatt millioner av besøkende til flere populære nettsteder for ondsinnet kode skjult i bildefiler ifbm. reklameannonsering. Metoden som har blitt brukt er ikke ny, men omfanget skal ha økt kraftig i oktober, da kriminelle klarte å få de ondsinnede reklameannonsene vist på en rekke store nettsteder. Denne kampanjen som ESET beskriver har i hovedsak rettet seg mot brukere av Internet Explorer og utdatert Adobe Flash.
Referanser
http://arstechnica.com/security/2016/12/milli[...]

5 år gammel svakhet gjør Linux-kjernen sårbar for lokal rettighetseskalering til root

En rekke Linux distribusjoner, inkl. RedHat, Ubuntu og Fedora, er sårbare for lokal rettighetseskalering fra en upriviligert bruker til root. Sårbarheten befinner seg i filen "af_packet.c", og skal ha blitt introdusert så langt tilbake som 19.8.2011.
Anbefaling
Oppdater kjernen.
Referanser
http://seclists.org/oss-sec/2016/q4/607

Tuesday, 6 December 2016

2016.12.06 - Nyhetsbrev

To norske menn er dømt for å ha gjennomført DDoS-angrep mot sin egen arbeidsgiver. Facebook, Microsoft, Twitter og YouTube går sammen for å begrense spredning av terrorinnhold i sosiale medier. Google har sluppet oppdatering til Google Pixel og Nexus. Tjenesten Dailymotion har lekket 85 millioner brukerkontoer. En bakdør i IP-kameraer fra Sony kan gi uvedkommende full tilgang til kameraet.

Dømt til fengsel for DDoS mot egen arbeidsgiver

To menn er i Nedre Romerike Tingrett dømt til 11 måneder i fengsel og betaling av 320 000 kr for å ha utført DDoS-angrep mot sin egen arbeidsgiver. De er også dømt for økonomisk utroskap mot arbeidsgiveren. Mennene skal ha aksessert en såkalt booter-tjeneste via TOR og en proxy-server i Tyskland. Ved å spore pengestrømmen, samt samarbeid med tysk politi klarte Kripos å spore angrepene tilbake til gjerningsmenne.
Referanser
http://www.digi.no/artikler/it-ansatte-i-nors[...]

Samarbeid mot spredning av terroristbudskap i sosiale medier

Facebook, Microsoft, Twitter og Youtube har gått sammen for å begrense spredning av budskap knyttet til terror-rekrutering og lignende på deres plattformer. I en bloggpost forklarer Twitter hvordan aktørene vil dele informasjon om denne typen innhold seg i mellom og samtidig ivareta brukernes personvern.
Referanser
https://blog.twitter.com/2016/partnering-to-h[...]

Sikkerhetsoppdatering til Google Pixel og Nexus

Google har gitt ut sin månedlige sikkerhetsoppdatering til Nexus- og Pixel-telefonerOppdateringen retter sårbarheter knyttet til både tjenestenekt og elevering av rettigheter.
Referanser
https://www.androidheadlines.com/2016/12/goog[...]
https://source.android.com/security/bulletin/[...]

85 millioner Dailymotion-kontoer på avveie

85 millioner kontoer til video-delingstjenesten Dailymotion er på avveie og har blitt delt med lekkasjedatabasen LeakedSource. Lekkasjen skal ha skjedd den 20. oktober, og gjerningsmannen er ikke identifisert. Passordene er hashet med algoritmen bcrypt og 18 millioner kontoer har hashet passord i lekkasjen. Brukere av tjenesten anbefales å bytte passord.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
http://www.zdnet.com/article/dailymotion-hack[...]
http://

Bakdør i Sony IP-kameraer

IP-kameraer med Sonys Professional IPELA ENGINE inneholder en bakdør som gjør det mulig for en angriper å skru på Telnet eller SSH for fjernadministrering av enheten. Når dette er gjort finnes det en annen bakdør som gir tilgang til en Linux-kommandolinje med root-privilegier.
Anbefaling
Sony har sluppet en firmware-oppdatering. Brukere av disse kameraene bør undersøke via vedlagte lenke om deres modell er sårbar og installere oppdateringen.
Referanser
http://seclists.org/fulldisclosure/2016/Dec/23
http://www.theregister.co.uk/2016/12/06/sony_[...]
https://www.sony.co.uk/pro/article/sony-new-f[...]

Monday, 5 December 2016

2016.12.05 - Nyhetsbrev

Det er mulig å omgå Apples Activation Lock på iPad.

Det er mulig å omgå Apples Activation Lock på iPad

Apple har et system for å låse enheter som blir mistet eller stjålet kalt Activation Lock. På iPads er det mulig å komme seg forbi denne låsen. Dette gjøres ved å skrive inn veldig lange verdier for nettverksnavn og passord. Metoden krever også at du har et smart cover for iPaden tilgjengelig. Apple har enda ikke fikset problemet i siste versjon.
Referanser
https://www.vulnerability-lab.com/get_content[...]
http://itavisen.no/2016/12/05/ny-sarbarhet-pa[...]
http://arstechnica.com/apple/2016/12/buffer-o[...]

Friday, 2 December 2016

2016.12.02 - Nyhetsbrev

Plattform for distribusjon og hosting av malware tatt ned. Saudi Arabia angrepet med destruktiv malware. Russland raser mot Norge etter at Anundsen utleverer russer til USA. Google har gitt ut Chrome versjon 55.

Plattform for distribusjon og hosting av malware tatt ned

Etter fire års etterforskning, har et malware-distribusjons-nettverk kalt Avalanche blitt tatt ned. Nettverket har vært involvert i spredning av 17 malware-familier og mange phishing-angrep. Myndighetene i over 30 land har vært involvert i etterforskningen. 30. november ble fem bakmenn arrestert, 39 servere beslaglagt og over 800.000 domener beslaglagt.
Referanser
http://arstechnica.com/security/2016/12/legal[...]
http://blog.shadowserver.org/2016/12/01/avalanche/
https://www.europol.europa.eu/newsroom/news/%[...]

Saudi Arabia angrepet med destruktiv malware

I løpet av de siste ukene har det vært flere angrep mot firmaer og det offentlige i Saudi Arabia. Luftfartsmyndighetene og flere oljeselskaper er blant ofrene. Angrepene er utført med en malware kalt "Shamoon", som også ble brukt mot Saudi Arabia i 2012. Shamoon overskriver hele harddisken på rammede servere og PCer og kan lamme rammede selskaper over lengre tid.
Referanser
https://www.bloomberg.com/news/articles/2016-[...]

Russland raser mot Norge etter at Anundsen utleverer russer til USA

Regjeringen vil utlevere en russisk dataekspert til USA, mistenkt for datakriminalitet. Nå reagerer russiske myndigheter kraftig. Dataeksperten jobbet i et norsk selskap, men ble i 2014 pågrepet av Kripos mistenkt for å selge eller utvikle malwaren Citadel. Han har siden sittet i varetekt, og norske myndigheter har nå besluttet at han kan utleveres til USA.
Referanser
http://www.aftenposten.no/verden/Russland-ras[...]

Google har gitt ut Chrome versjon 55

Den nye versjonen utbedrer 36 sikkerhetssvakheter. Den nye versjonen gjør også HTML-5 standard-valg for mange kjente nettsider som Facebook, YouTube, Yahoo osv. Dersom en side fortsatt krever Flash, må oppstart av Flash godkjennes av brukeren for hver enkelt side.
Referanser
https://googlechromereleases.blogspot.no/2016[...]
http://itavisen.no/2016/12/02/last-ned-chrome[...]

Thursday, 1 December 2016

2016.12.01 - Nyhetsbrev

Mozilla fikser kritisk 0-dags feil oppdaget i går. Gooligan (Ghost Push) kompromitterer 1 million Google-kontoer.

Mozilla fikser kritisk 0-dags feil oppdaget i går

Mozilla har nå sluppet en patch for den kritiske svakheten som ble oppdaget i går. Svakheten ble brukt for å identifisere TOR-brukere, men exploit-koden ble raskt offentlig kjent. Svakheten ligger i håndteringen av SVG-filer og gjør at angriperen kan ta full kontroll over maskinen. Vi anbefaler å patche så fort som mulig.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]
https://blog.mozilla.org/security/2016/11/30/[...]

Gooligan (Ghost Push) kompromitterer 1 million Google-kontoer

Malware-kampanjen kalt Gooligan, har resultert i at over 1 millon googlekontoer har blitt hacket. Antallet fortsetter å stige, med over 13000 pr dag. Kilden til infeksjonene er typisk nedlasting av infiserte apper fra uoffisielle app-butikker. Etter nedlasting vil malwaren forsøke å oppnå root-tilgang til enheten ved å bruke svakheter som finnes i Android 4 og 5. Malwaren vil deretter stjele autentiserings-nøkler og installere flere skadelige apper.
Referanser
http://blog.checkpoint.com/2016/11/30/1-milli[...]
https://plus.google.com/+AdrianLudwig/posts/G[...]

Wednesday, 30 November 2016

2016.11.30 - Nyhetsbrev

Firefox rammet av 0-day svakhet. Benyttes aktivt for å identifisere brukere av TOR-nettverket.

0-day svakhet i Firefox utnyttes aktivt for å identifisere brukere av TOR-nettverket

En 0-day svakhet i Firefox benyttes nå aktivt for å identifisere brukere av anonymiseringsnettverket TOR. Exploit-koden, som nå er offentlig publisert, er nesten identisk til koden som i 2013 ble brukt av FBI for å identifisere brukere av TOR-beskyttede barneporno-sider. Svakheten rammer Firefox versjon 41 til 50, og utgjør derfor en alvorlig sikkerhetsrisiko for vanlige brukere av Firefox også, ikke bare TorBrowser-brukere.
Anbefaling
Bruk en annen browser enn Firefox inntil en patch foreligger.
Referanser
http://arstechnica.com/security/2016/11/firef[...]
https://lists.torproject.org/pipermail/tor-ta[...]

Tuesday, 29 November 2016

2016.11.29 - Nyhetsbrev

Hackeren bak gårsdagens T-bane-hack har blitt hacket. Politiet skal få tilgang til å tvangsåpne mobiler med fingeravtrykk. Japans forsvarsdepartement angrepet av hackere. Botnet med 400 000 infiserte enheter leies ut. 900 000 rutere i Tyskland angrepet. Ransomware har kostet britene 4.5 millioner pund i år. Oppdatering til Firefox fikser én kritisk svakhet .

Hackeren bak gårsdagens T-bane-hack har blitt hacket

I går hadde vi en sak om at T-banen i San Fransisco var rammet av ransomware. Bloggeren Brian Krebs skriver at han har fått tilgang til e-post-kontoer kontrollert av hackeren via en kilde. Kilden har klart å bryte seg inn i e-post-kontoene ved å gjette seg fram til svarene på sikkerhetspørsmålene knyttet til kontoene.

Gjennom e-postene kommer det fram at hackeren benytter seg av flere gamle svakheter for å bryte seg inn hos sine ofre. Siden august har hackeren fått utbetalt minst USD 140.000 i løsepenger. Krebs lister også opp flere av ofrene som har betalt for å få låst opp sine systemer.
Referanser
https://krebsonsecurity.com/2016/11/san-franc[...]

Politiet skal få tilgang til å tvangsåpne mobiler med fingeravtrykk

Tidligere i høst kom høyesterett fram til at politiet inn kunne bruke tvang til å få mistenkte til å åpne sin egen mobiltelefon. I forslaget til ny straffeprosesslov endres loven slik at politiet allikevel får tilgang til å bruke tvang.
Referanser
https://www.nrk.no/norge/politiet-vil-tvangsa[...]

Japans forsvarsdepartement angrepet av hackere

South China Morning Post melder at Japans forsvarsdepartement og det japanske militæret (Japan Self-Defense Forces) har meldt om at det delte nettverket mellom disse to har blitt angrepet av hackere. Dette skal ha gjort det mulig for angriperne å komme seg inn til systemene til den delen av det japanske militæret som driver med bakkeoperasjoner (Japan Ground Self-Defense Forces).

Japans forsvarsdepartement beskriver situasjonen som veldig alvorlig og det mistenkes at dette angrepet ble utført av en statlig aktør. Undersøkelser av angrepet forsetter og det er enda ikke klargjort hvor mye skade dette angrepet har gjort.
Referanser
http://www.scmp.com/news/asia/east-asia/artic[...]

Botnet med 400 000 infiserte enheter leies ut

BleepingComputer melder om at to hackere nå leier ut tilgang til det et stort Mirai-basert botnet. Nettverket innholdet rundt 400 000 infiserte botter som er klar til å utføre DDoS-angrep.

En av hackerene bak dette botnettet forklarer at det ikke er billig å leie botnettet og at prisen baserer seg på hvor mange botter man vil leie samt hvor lenge angrepet skal pågå. Som et eksempel oppgir hackeren prisen på å leie 50 000 botter i to uker til rundt 3000 - 4000 USD.
Referanser
http://www.bleepingcomputer.com/news/security[...]

900 000 rutere i Tyskland angrepet

900 000 rutere i Tyskland eid av det tyske teleselskapet Deutsche Telekom har vært ustabile siden Søndag kl 17. Dette skyldes at hackere har begynt å utnytte en svakhet i tjenesten TR-069 som brukes av ISPer for å fjernadministrere routere. Denne tjenesten lytter på port 7547 på sårbare routere. Den irske ISPen Eircom skal også være rammet.

Deutsche Telekom melder at angriperne ikke lykkes i å installere malware på routerne, men at mange av dem ble utstabile. De har nå gjort klart en patchet utgave av firmwaren som i de fleste tilfeller vil bli installert automatisk etter en reboot av routeren. Nye angrep blir nå også filtert sentralt av ISPen.

Angriperne skal være knyttet til Mirai-botnettet, og det mistenkes at routerne har blitt forsøkt innlemmet i et DDoS-botnett.
Referanser
http://www.bleepingcomputer.com/news/security[...]
http://arstechnica.com/security/2016/11/notor[...]
https://isc.sans.edu/forums/diary/Port+7547+S[...]
https://www.telekom.com/en/media/media-inform[...]

Ransomware har kostet britene 4.5 pund millioner i år

Action Fraud, Storbritannias nasjonale svindel og cyber rapporteringssenter, har nå gitt ut informasjon om at 4000 briter har fått deres maskin infisert med ransomware. Disse har betalt til sammen over £4.5 millioner til kriminelle.

En nylig undersøkelse av MalwareBytes fant ut at rundt 40% av bedrifter har blitt angrepet av ransomware i det siste året. 33% av disse har mistet inntekter som følge av dette og 20% opplevde forstyrrelser i driften.
Referanser
http://www.theregister.co.uk/2016/11/28/ranso[...]

Oppdatering til Firefox fikser én kritisk svakhet

Mozilla Foundation har sluppet Firefox versjon 50.0.1. Denne versjonen fikser én kritisk svakhet. Det anbefales å patche ASAP.
Anbefaling
Installer oppdatering.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Monday, 28 November 2016

2016.11.28 - Nyhetsbrev

Malware utnytter sikkerhetshull i Facebook og LinkedIn. T-banen i San Fransisco rammet av ransomware.

Malware utnytter sikkerhetshull i Facebook og LinkedIn

Det Israel-baserte sikkerhetsfirmaet Checkpoint melder om malware som benytter et sikkerhetshull i Facebook og LinkedIn for å spre seg. Brukere blir lurt til å tro at de trykker på et bilde, men i virkeligheten er det en ondsinnet .hta-fil som blir lastet ned. Dersom brukeren prøver å åpne filen, vil maskinen bli infisert med ransomware.
Referanser
http://arstechnica.com/security/2016/11/locky[...]
http://blog.checkpoint.com/2016/11/24/imagega[...]

T-banen i San Fransisco rammet av ransomware

Etaten som har ansvaret for driften av blant annet metroen i San Francisco, San Francisco Municipal Transportation Agency (SFMTA), ble fredag i forrige uke utsatt for et omfattende angrep med utpressingsvare (ransomware). Systemet for billetsalg ble blant annet rammet, og etter hvert ble det gratis å bruke t-banen. Utpresserne krever 100 Bitcoins for å låse opp igjen de krypterte PCene.
Referanser
http://www.digi.no/artikler/t-baneoperator-ra[...]

Friday, 25 November 2016

2016.11.25 - Nyhetsbrev

Google advarer journalister og professorer om mulig tyveri av passord. Forbrytere angriper minibanker med jackpot-angrep.

Google advarer journalister og professorer

Journalister og professorer i USA mottar varsler fra Google om at statstøttede hackere kan ha forsøkt å stjele deres passord. Disse personene skal ha blitt utsatt for det som ser ut som målrettede angrep. Google anbefaler disse å skru på to-faktor-autentisering for å øke sikkerheten.
Referanser
http://www.digi.no/artikler/google-advarer-jo[...]

Forbrytere stjeler penger ved å hacke minibanker

En ny trend er å tømme minibanker ved et såkalt jackpot-angrep. Angriperne kommer seg først inn i bankens interne nettverk, gjerne ved hjelp av phishing-angrep. De får så tilgang til bankens minibanker og installerer sin egen programvare. De instruerer så minibanken om å betal ut alle penger på et spesielt tidspunkt og står klar til å hente pengene. Sist måned ble dette gjort i Taiwan og Thailand. Også banker i 12 europeiske land er rammet det siste året.
Referanser
http://securityaffairs.co/wordpress/53758/cyb[...]

Thursday, 24 November 2016

2016.11.24 - Nyhetsbrev

Minnemanipulering på Linux uten kodeeksekvering. Spamkampanje mot Amazon kunder. Analyse av nylige DDoS-angrep mot russiske banker. Google DeepMind AI slår mennesker i leppelesning.

Manipulering av minne hos Linux-distribusjoner uten eksekvering av kode


Sikkerhetsanalytiker Chris Evans hevder at en rekke ulike Linux-distribusjoner har sikkerhetssvakheter som ved utnyttelse kan føre til installasjon av keyloggere, bakdører og andre typer skadevare. En av sårbarhetene han beskriver utnytter en svakhet i GStreamer, et rammeverk en finner igjen i mange populære Linux-distribusjoner. Det som gjør denne utnyttelsen unik er at den manipulerer minne uten å eksekvere kode, og unngår dermed flere innebygde forsvarsmekanismer.
Referanser
http://arstechnica.com/security/2016/11/elega[...]
https://scarybeastsecurity.blogspot.no/2016/1[...]

Spamkampanje mot kunder hos Amazon


I perioden rundt Black-friday og Cyber-Monday øker handelsaktiviteten betraktelig på nett, og dette benytter cyberkriminelle seg mer enn gjerne av. I år har det blitt registrert en spamkampanje som retter seg mot kunder hos Amazon. Kampanjen består av falske eposter, der selger forteller at en vare er blitt sendt. Eposten inneholder en ZIP-fil som igjen inneholder en javascript-fil. Hvis dette scriptet åpnes vil nedlastning av Locky ransomware begynne.
Referanser
https://blogs.technet.microsoft.com/mmpc/2016[...]

Analyse av nylige DDoS-angrep mot russiske banker


Mellom 8. og 12. november ble flere russiske banker utsatt for større DDoS-angrep. Kaspersky Lab jobbet med å mitigere flere av angrepene og har skrevet en bloggpost med analyse. Flere forskjellige angrepsteknikker ble brukt.
Referanser
https://securelist.com/blog/incidents/76728/ddos-attack-on-the-russian-banks-what-the-traffic-data-showed/

Google Deepmind AI slår mennesker på leppelesning


Google har sammen med Oxford Universitetet utviklet et AI-program som driver med leppelesning. Resultatene er slående, og kan i fremtiden bli til god hjelp innen utvikling av hjelpeverktøy for personer med nedsatt hørsel. En kan også se for seg at overvåkingsvideo uten lyd nå i større grad kan tolkes.
Referanser
http://www.techrepublic.com/article/google-de[...]

Wednesday, 23 November 2016

2016.11.23 - Nyhetsbrev

Sikkerhetsfeil i Wordpress kunne fått katastrofale følger.

Sikkerhetsfeil i Wordpress kunne fått katastrofale følger

Wordfence publiserte nylig en artikkel som beskriver en svært kritisk sårbarhet i Wordpress som ble avdekket og rettet tidligere i høst. Ved hjelp av et bruteforce angrep ville angriper kunne få tilgang til Wordpress sin oppdateringsserver, og dermed få mulighet til å gjøre endringer på alle eksisterende Wordpress sider. I følge w3techs.com utgjør Wordpress sider ca 27% av alle sider på internett. Sårbarheten ble oppdaget av Wordfence sin ledende utvikler Matt Barry.
Referanser
https://www.wordfence.com/blog/2016/11/hackin[...]
http://www.theregister.co.uk/2016/11/23/wordp[...]
https://w3techs.com/technologies/details/cm-w[...]

Tuesday, 22 November 2016

2016.11.22 - Nyhetsbrev

Svakheter i ntpd.

DoS-svakheter i ntpd

Det er oppdaget flere svakheter i ntpd, network time protocol daemon. Noen av disse kan føre til DoS (Denial of Service) dersom angripere sender spesielt utformede pakker til tjenesten.
Anbefaling
Oppgrader til versjon ntp-4.2.8p9
Referanser
http://nwtime.org/ntp428p9_release/
http://www.kb.cert.org/vuls/id/633847

Monday, 21 November 2016

2016.11.21 - Nyhetsbrev

Malware spres via Facebook-chat og .SVG-filer. Mirai-botnet kapret overvåkningskamera på 98 sekunder. Palo Alto Networks fikser kritisk svakhet i PanOS.

Malware spres via Facebook-chat og SVG filer

Malware spres via Facebook-chat. Spredningen skjer ved hjelp SVG filer med javascript, som vil forsøke å installere et ondsinnet tillegg til nettleseren. Det er rapportert at infeksjonen også kan medføre at ransomware blir lastet ned.
Referanser
http://itavisen.no/2016/11/21/telenor-advarer[...]

Palo Alto Networks fikser kritisk svakhet i PanOS

Det er funnet en kritisk svakhet i Palo Alto Networks PAN-OS webinterface, som potensielt kan brukes til å få kjørt vilkårlig kode på sårbare enheter. Det er publisert oppdateringer som fikser svakheten.
Referanser
https://bugs.chromium.org/p/project-zero/issu[...]

Mirai-botnet kapret overvåkningskamera på 98 sekunder

Robert Graham, CEO i selskapet Errata Security beskrev i en rekke twittermeldinger fredag hvordan Mirai-botnettet infiserte et av hans overvåkningskameraer i løpet av 98 sekunder. Kameraet var av typen JideTech, og det ble satt opp bak en Raspberry Pi router konfigurert til å isolere kameraet fra Grahams hjemmenettverk. Da nedlastningen av viruset var fullført, begynte det umiddelbart å sende ut store mengder datatrafikk. Grahams anbefaling er å plassere enheter som dette bak brannmur.
Referanser
https://twitter.com/ErrataRob/status/79956977[...]
http://www.theregister.co.uk/2016/11/18/surve[...]

Friday, 18 November 2016

2016.11.18 - Nyhetsbrev

Google annonserer slutt på SHA-1-støtte i Chrome.

Google annonserer slutt på SHA-1-støtte i Chrome

Google har tidligere annonsert at de vil fjerne støtten for SHA-1 sertifikater, og har nå annonsert at dette vil skje i Chrome versjon 56 som er planlagt for lansering i slutten av januar. Firmaet Venafi har sagt at rundt 35% av nettsider fremdeles benytter denne hash-algoritmen. Disse nettstedene kan få problemer med visning i Chrome etter oppdateringen.
Referanser
https://security.googleblog.com/2016/11/sha-1[...]
https://threatpost.com/google-removing-sha-1-[...]

Thursday, 17 November 2016

2016.11.17 - Nyhetsbrev

PoisonTap stjeler autentiseringsinformasjon fra låste maskiner. Enkelte billige Android-telefoner samler sensitiv informasjon i skjul.

PoisonTap og Rasberry Pi Zero kan stjele autentiseringsinformasjon fra låste PCer

Ved hjelp av en Raspberry Pi Zero til $5 med programvaren PoisonTap, kan man stjele informasjon til å kunne logge på private kontoer. Angrepet kan utføres mot en låst PC eller Mac.

Dette gjøres ved at enheten presenterer seg som et nettverkskort, og får all nettverkstrafikk rutet over sitt interface. PoisonTap-enheten oppfører seg som en proxy, og når en HTTP request utføres, vil den injisere en iframe til alle nettsider fra Alexas topp 1 million liste. Den vil så kunne stjele (autentiserings) cookies som nettleseren serverer.

Se kilde for mer detaljert beskrivelse.
Referanser
https://samy.pl/poisontap/
http://arstechnica.com/security/2016/11/meet-[...]

Enkelte billige Android-telefoner samler sensitiv informasjon i skjul

Selskapet Kryptowire har oppdaget firmware på enkelte billige Android-telefoner som brukes til å stjele sensitiv informasjon, uten at det beskrives at brukerdata sendes ut av telefonen. Det ble blant annet oversendt hele tekstmeldinger, kontaktlister, anropslogg mm, som ble kryptert før de ble oversendt. Telefonene er for salg blant annet hos Amazon, Best Buy med flere.
Referanser
http://www.kryptowire.com/adups_security_anal[...]

Wednesday, 16 November 2016

2016.11.16 - Nyhetsbrev

Mozilla tetter sårbarheter i Firefox. Facebooks WhatsApp med støtte for ende-til-ende kryptert videosamtaler. En rekke billige Android-telefoner solgt i USA sender logger til Kina. Microsoft lanserer ny databasedrevet portal for sikkerhetsoppdateringer i 2017.

Mozilla tetter sårbarheter i Firefox

Mozilla fikser en rekke tildels alvorlige sårbarheter i Firefox ved å lansere Firefox 50 og Firefox ESR 45.5
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Facebooks WhatsApp lanserer støtte for ende-til-ende kryptert videosamtale

Facebook lanserer mandag støtte for videosamtale i deres populære meldingsapplikasjon WhatsApp. Kommunikasjonen vil være ende-til-ende kryptert.
Referanser
http://mobile.reuters.com/article/idUSKBN13A0I8

En rekke billige Android-telefoner solgt i USA sender logger til Kina

Sikkerhetsforskere fra Kryptowire har oppdaget at en rekke billige Android-telefoner solgt i USA jevnlig sender sensitiv informasjon, inkl. tekstmeldinger og telefonlogger, til en server i Kina.
Referanser
http://mobile.nytimes.com/2016/11/16/us/polit[...]

Microsoft lanserer ny databasedrevet portal for sikkerhetsoppdateringer i 2017

Microsoft planlegger å erstatte dagens arkiv/index over nye og historiske sikkerhetsoppdateringer med en database-drevet, søkbar portal. Portalen er tenkt å erstatte dagens løsning fom. tidlig 2017.
Referanser
http://www.zdnet.com/article/microsoft-to-rep[...]

Tuesday, 15 November 2016

2016.11.15 - Nyhetsbrev

Datingtjenesten AdultFriendFinder har fått over 400 millioner brukernavn og passord på avveie. Svakhet i VMWare kan gi tilgang fra gjest til host-maskin. Forskere har klart å analysere seg frem til PIN-koder ut fra WiFI-signaler.

AdultFriendFinder har blitt hacket

AdultFriendFinder har blitt hacket og kontoinformasjonen til mer enn 400 millioner skal være på avveie. Lekkede data er e-post adresse, siste IP-adresse brukt til innlogging og passord. Noen passord var lagret i klartekst, mens noen var hashet med SHA-1 algoritmen. Nettstedet LeakedSource.com har allerede avdekket klartekst-passord til over 99% av passordene.
Referanser
https://www.theguardian.com/technology/2016/n[...]
http://arstechnica.com/security/2016/11/adult[...]

Android-trojaner på Google Play med 1 mill nedlastinger

En Android-trojaner har blitt lastet ned over 1 million ganger fra Google Play. Trojaneren har blitt inkludert med andre applikasjoner som spill og verktøy for kontohåndtering. Den uønskede funksjonaliteten ligger kryptert i et PNG-bilde og blir pakket ut etter at appen er installert. Trojaneren kan gjøre alt fra å vise reklame til å prøve å roote enheten ved hjelp av svakheter.
Referanser
https://www.grahamcluley.com/android-trojan-d[...]

PIN-kode hacking via WiFi-signalanalyse

Forskere har klart å analysere radiosignal-mønstre i WiFi på et nivå som gjør det mulig å måle hvordan hender beveger seg over en smarttelefon.
Teoretisk skal dette kunne benyttes til å avsløre en brukers PIN-kode via et falskt aksesspunkt, men dette avhenger blant annet av at aksesspunktet er i et rom med svært lite radiostøy.
Referanser
http://thehackernews.com/2016/11/hack-wifi-pa[...]
https://nakedsecurity.sophos.com/2016/11/14/w[...]

Sårbarhet i VMWare-produkter kan gi tilgang til host-OS

Det er avdekket en sårbarhet i drag-&-drop-funksjonaliteten i VMWare Workstation som kan tillate en angriper å kjøre kode på en host-maskin fra en gjestemaskin. Sårbarheten har fått tildelt nummer CVE-2016-7461. VMWare har utgitt patcher for å tette sårbarheten.
Anbefaling
Brukere av VMWare bør sjekke vedlagte lenke for å sjekke hvilke patcher og eventuelle workarounds som er tilgjengelige for sitt produkt.
Referanser
https://isc.sans.edu/diary/CVE-2016-7461%3A+V[...]
https://www.vmware.com/security/advisories/VM[...]

Monday, 14 November 2016

2016.11.14 - Nyhetsbrev

Google Pixel hacket på 60 sekunder under hacker-konkurranse.

Google Pixel, Safari og Flash hacket på konferanse

Googles mobil-toppmodell "Pixel" ble hacket på 60 sekunder av en gruppe kinesiske hackere under forrige ukes konkurranse "PwnFest" som ble avholdt i Seoul. Også Apple Safari og Adobe Flash ble hacket på få sekunder. Svakheten som ble utnyttet i Pixel-hacket skal allerede være patchet av Google.
Referanser
http://www.theregister.co.uk/2016/11/11/googl[...]

Friday, 11 November 2016

2016.11.11 - Nyhetsbrev

Ny versjon av OpenSSL, lovord om Signal, russiske hackere bak phisingkampanje etter valget i USA og interesant artikkel om angrep og utnyttelse av tusenvis av IoT-enheter.

OpenSSL 1.1.0c lansert, fikser kritisk feil

OpenSSL har oppdatert versjon 1.1.0 til 1.1.0c. Denne retter tre feil, hvorav den ene er kritisk - da den kunne resultere i lokal DOS for OpenSSL-biblioteket.
Referanser
https://www.openssl.org/news/secadv/20161110.txt
http://securityaffairs.co/wordpress/53302/hac[...]

Signals krypteringsprotokol er uten sikkerhetshull

Flere akademikere rundt om i verden har tatt en audit av protokollen brukt av Signal, en meget populær ende-til-ende krypteringsapp. De fant ikke svakheter, og var fulle av lovord om Signal.
Signals protokoll brukes også av Facebook Messenger, WhatsApp og Googles Allo.
Referanser
https://threatpost.com/signal-audit-reveals-p[...]

Russiske hackere bak phisingkampanje etter valget i USA

Den russiske hackergruppen "The Dukes"/APT 29 lanserte en phishing-kampanje mot flere amerikanske politisk organisasjoner rett etter presidentvalget. Dette var samme gruppen som har utført flere vellykkede angrep mot amerikanske politiske organisasjoner i forkant av valget, deriblant hos Demokratenes nasjonalkomitee (DNC).
Referanser
http://krebsonsecurity.com/2016/11/russian-du[...]

Ny malware sprer seg gjennom sårbare IoT-enheter

Fire forskere fra Weizmann Institute of Science har skrevet et paper og en artikkel om hvordan en kan angripe og utnytte tusenvis av IoT-enheter på veldig kort tid. De fikk dette til ved å utnytte ZigBee-protokollen som disse enhetene bruker for kommunikasjon seg i mellom for å lage et mesh-nettverk. I dette tilfellet utnyttet de en svakhet i smarte lyspærer til å lage en orm som spredde seg automatisk. Artikkelen beskriver også flere tenkte scenarier for hvordan dette kan utnyttes.
Referanser
http://www.wisdom.weizmann.ac.il/~eyalro/iotworm/
http://iotworm.eyalro.net/iotworm.pdf

Thursday, 10 November 2016

2016.11.10 - Nyhetsbrev

Pawn Storm/APT 28 øker intensiteten i angrep etter patching. Flere brannmurer sårbare for ICMP-basert DoS-angrep.

Pawn Storm med nylig spearphishing-kampanje

TrendMicro forteller om nylige spearphishing-kampanjer utført av spionasjegruppen Pawn Storm/APT 28, mot flere myndigheter og ambassader. I disse kampanjene skal de ha brukt en tidligere ukjent svakhet i Adobe Flash (CVE-2016-7855), som ble oppdatert 26. oktober 2016, i kombinasjon med en privilegieeskalering i Microsoft Windows (CVE-2016-7255) som ble fikset 8. november 2016. Intensiteten i angrepene har økt siden offentliggjøringen av patchene. Bakgrunnen er antakeligvis å kompromittere flest mulig får patching blit utført.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]

CISCO ASA, SonicWall og Palo Alto sårbare for ICMP-basert DoS-angrep

Sårbarheter i disse brannmurene gjør dem utsatt for DoS-angrep. Dette gjelder brannmurene Cisco ASA 5515 og 5525, SonicWall og noen ubekreftede versjoner av Palo Alto. Angrepet bruker ICMP-pakker av typen Type 3 Code 3. Det anbefales å bruke rate-limiting til å begrense skaden av denne typen angrep inntil leverandørene utbedrer svakheten.
Referanser
http://blacknurse.dk/
http://www.netresec.com/?page=Blog&month=2016[...]

Wednesday, 9 November 2016

2016.11.09 - Nyhetsbrev

Microsoft gir ut månedens sikkerhetsoppdateringer. Det er 14 oppdateringer, der seks er å anse som kritiske. Adobe oppdaterer Flash Player for Windows, Macintosh, Linux og Chrome OS for å tette til sammen ni alvorlige sårbarheter.

Microsoft gir ut månedens sikkerhetsoppdateringer

Microsoft har offentliggjort denne månedens sikkerhetsoppdateringer. Det er totalt 14 bulletiner, der seks er kategorisert som kritiske. Blant kritiske sårbarheter finnes blant annet oppdateringer til Windows-kjernen, Microsoft Edge, Adobe Flash Player og Internet Explorer. Verdt å nevne er at oppdatering MS16-139 retter det alvorlige sikkerhetshullet rapportert av Google forrige uke, CVE-2016-7216.
Anbefaling
Oppdater berørte systemer.
Referanser
https://technet.microsoft.com/en-us/library/s[...]
https://security.googleblog.com/2016/10/discl[...]

Adobe fikser alvorlige svakheter i Flash Player

Adobe slipper oppdateringer for Flash Player for Windows, Macintosh, Linux og Chrome OS (23.0.0.205/11.2.202.643 og eldre). Oppdateringene tetter til sammen ni alvorlige sårbarheter, som kan utnyttes til å få kjørt vilkårlig kode på et sårbart system.
Anbefaling
Oppdater til ikke-sårbar versjon (23.0.0.207/11.2.202.644) ihht. https://helpx.adobe.com/security/products/flash-player/apsb16-37.html
Referanser
https://helpx.adobe.com/security/products/fla[...]