Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 30 November 2016

2016.11.30 - Nyhetsbrev

Firefox rammet av 0-day svakhet. Benyttes aktivt for å identifisere brukere av TOR-nettverket.

0-day svakhet i Firefox utnyttes aktivt for å identifisere brukere av TOR-nettverket

En 0-day svakhet i Firefox benyttes nå aktivt for å identifisere brukere av anonymiseringsnettverket TOR. Exploit-koden, som nå er offentlig publisert, er nesten identisk til koden som i 2013 ble brukt av FBI for å identifisere brukere av TOR-beskyttede barneporno-sider. Svakheten rammer Firefox versjon 41 til 50, og utgjør derfor en alvorlig sikkerhetsrisiko for vanlige brukere av Firefox også, ikke bare TorBrowser-brukere.
Anbefaling
Bruk en annen browser enn Firefox inntil en patch foreligger.
Referanser
http://arstechnica.com/security/2016/11/firef[...]
https://lists.torproject.org/pipermail/tor-ta[...]

Tuesday, 29 November 2016

2016.11.29 - Nyhetsbrev

Hackeren bak gårsdagens T-bane-hack har blitt hacket. Politiet skal få tilgang til å tvangsåpne mobiler med fingeravtrykk. Japans forsvarsdepartement angrepet av hackere. Botnet med 400 000 infiserte enheter leies ut. 900 000 rutere i Tyskland angrepet. Ransomware har kostet britene 4.5 millioner pund i år. Oppdatering til Firefox fikser én kritisk svakhet .

Hackeren bak gårsdagens T-bane-hack har blitt hacket

I går hadde vi en sak om at T-banen i San Fransisco var rammet av ransomware. Bloggeren Brian Krebs skriver at han har fått tilgang til e-post-kontoer kontrollert av hackeren via en kilde. Kilden har klart å bryte seg inn i e-post-kontoene ved å gjette seg fram til svarene på sikkerhetspørsmålene knyttet til kontoene.

Gjennom e-postene kommer det fram at hackeren benytter seg av flere gamle svakheter for å bryte seg inn hos sine ofre. Siden august har hackeren fått utbetalt minst USD 140.000 i løsepenger. Krebs lister også opp flere av ofrene som har betalt for å få låst opp sine systemer.
Referanser
https://krebsonsecurity.com/2016/11/san-franc[...]

Politiet skal få tilgang til å tvangsåpne mobiler med fingeravtrykk

Tidligere i høst kom høyesterett fram til at politiet inn kunne bruke tvang til å få mistenkte til å åpne sin egen mobiltelefon. I forslaget til ny straffeprosesslov endres loven slik at politiet allikevel får tilgang til å bruke tvang.
Referanser
https://www.nrk.no/norge/politiet-vil-tvangsa[...]

Japans forsvarsdepartement angrepet av hackere

South China Morning Post melder at Japans forsvarsdepartement og det japanske militæret (Japan Self-Defense Forces) har meldt om at det delte nettverket mellom disse to har blitt angrepet av hackere. Dette skal ha gjort det mulig for angriperne å komme seg inn til systemene til den delen av det japanske militæret som driver med bakkeoperasjoner (Japan Ground Self-Defense Forces).

Japans forsvarsdepartement beskriver situasjonen som veldig alvorlig og det mistenkes at dette angrepet ble utført av en statlig aktør. Undersøkelser av angrepet forsetter og det er enda ikke klargjort hvor mye skade dette angrepet har gjort.
Referanser
http://www.scmp.com/news/asia/east-asia/artic[...]

Botnet med 400 000 infiserte enheter leies ut

BleepingComputer melder om at to hackere nå leier ut tilgang til det et stort Mirai-basert botnet. Nettverket innholdet rundt 400 000 infiserte botter som er klar til å utføre DDoS-angrep.

En av hackerene bak dette botnettet forklarer at det ikke er billig å leie botnettet og at prisen baserer seg på hvor mange botter man vil leie samt hvor lenge angrepet skal pågå. Som et eksempel oppgir hackeren prisen på å leie 50 000 botter i to uker til rundt 3000 - 4000 USD.
Referanser
http://www.bleepingcomputer.com/news/security[...]

900 000 rutere i Tyskland angrepet

900 000 rutere i Tyskland eid av det tyske teleselskapet Deutsche Telekom har vært ustabile siden Søndag kl 17. Dette skyldes at hackere har begynt å utnytte en svakhet i tjenesten TR-069 som brukes av ISPer for å fjernadministrere routere. Denne tjenesten lytter på port 7547 på sårbare routere. Den irske ISPen Eircom skal også være rammet.

Deutsche Telekom melder at angriperne ikke lykkes i å installere malware på routerne, men at mange av dem ble utstabile. De har nå gjort klart en patchet utgave av firmwaren som i de fleste tilfeller vil bli installert automatisk etter en reboot av routeren. Nye angrep blir nå også filtert sentralt av ISPen.

Angriperne skal være knyttet til Mirai-botnettet, og det mistenkes at routerne har blitt forsøkt innlemmet i et DDoS-botnett.
Referanser
http://www.bleepingcomputer.com/news/security[...]
http://arstechnica.com/security/2016/11/notor[...]
https://isc.sans.edu/forums/diary/Port+7547+S[...]
https://www.telekom.com/en/media/media-inform[...]

Ransomware har kostet britene 4.5 pund millioner i år

Action Fraud, Storbritannias nasjonale svindel og cyber rapporteringssenter, har nå gitt ut informasjon om at 4000 briter har fått deres maskin infisert med ransomware. Disse har betalt til sammen over £4.5 millioner til kriminelle.

En nylig undersøkelse av MalwareBytes fant ut at rundt 40% av bedrifter har blitt angrepet av ransomware i det siste året. 33% av disse har mistet inntekter som følge av dette og 20% opplevde forstyrrelser i driften.
Referanser
http://www.theregister.co.uk/2016/11/28/ranso[...]

Oppdatering til Firefox fikser én kritisk svakhet

Mozilla Foundation har sluppet Firefox versjon 50.0.1. Denne versjonen fikser én kritisk svakhet. Det anbefales å patche ASAP.
Anbefaling
Installer oppdatering.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Monday, 28 November 2016

2016.11.28 - Nyhetsbrev

Malware utnytter sikkerhetshull i Facebook og LinkedIn. T-banen i San Fransisco rammet av ransomware.

Malware utnytter sikkerhetshull i Facebook og LinkedIn

Det Israel-baserte sikkerhetsfirmaet Checkpoint melder om malware som benytter et sikkerhetshull i Facebook og LinkedIn for å spre seg. Brukere blir lurt til å tro at de trykker på et bilde, men i virkeligheten er det en ondsinnet .hta-fil som blir lastet ned. Dersom brukeren prøver å åpne filen, vil maskinen bli infisert med ransomware.
Referanser
http://arstechnica.com/security/2016/11/locky[...]
http://blog.checkpoint.com/2016/11/24/imagega[...]

T-banen i San Fransisco rammet av ransomware

Etaten som har ansvaret for driften av blant annet metroen i San Francisco, San Francisco Municipal Transportation Agency (SFMTA), ble fredag i forrige uke utsatt for et omfattende angrep med utpressingsvare (ransomware). Systemet for billetsalg ble blant annet rammet, og etter hvert ble det gratis å bruke t-banen. Utpresserne krever 100 Bitcoins for å låse opp igjen de krypterte PCene.
Referanser
http://www.digi.no/artikler/t-baneoperator-ra[...]

Friday, 25 November 2016

2016.11.25 - Nyhetsbrev

Google advarer journalister og professorer om mulig tyveri av passord. Forbrytere angriper minibanker med jackpot-angrep.

Google advarer journalister og professorer

Journalister og professorer i USA mottar varsler fra Google om at statstøttede hackere kan ha forsøkt å stjele deres passord. Disse personene skal ha blitt utsatt for det som ser ut som målrettede angrep. Google anbefaler disse å skru på to-faktor-autentisering for å øke sikkerheten.
Referanser
http://www.digi.no/artikler/google-advarer-jo[...]

Forbrytere stjeler penger ved å hacke minibanker

En ny trend er å tømme minibanker ved et såkalt jackpot-angrep. Angriperne kommer seg først inn i bankens interne nettverk, gjerne ved hjelp av phishing-angrep. De får så tilgang til bankens minibanker og installerer sin egen programvare. De instruerer så minibanken om å betal ut alle penger på et spesielt tidspunkt og står klar til å hente pengene. Sist måned ble dette gjort i Taiwan og Thailand. Også banker i 12 europeiske land er rammet det siste året.
Referanser
http://securityaffairs.co/wordpress/53758/cyb[...]

Thursday, 24 November 2016

2016.11.24 - Nyhetsbrev

Minnemanipulering på Linux uten kodeeksekvering. Spamkampanje mot Amazon kunder. Analyse av nylige DDoS-angrep mot russiske banker. Google DeepMind AI slår mennesker i leppelesning.

Manipulering av minne hos Linux-distribusjoner uten eksekvering av kode


Sikkerhetsanalytiker Chris Evans hevder at en rekke ulike Linux-distribusjoner har sikkerhetssvakheter som ved utnyttelse kan føre til installasjon av keyloggere, bakdører og andre typer skadevare. En av sårbarhetene han beskriver utnytter en svakhet i GStreamer, et rammeverk en finner igjen i mange populære Linux-distribusjoner. Det som gjør denne utnyttelsen unik er at den manipulerer minne uten å eksekvere kode, og unngår dermed flere innebygde forsvarsmekanismer.
Referanser
http://arstechnica.com/security/2016/11/elega[...]
https://scarybeastsecurity.blogspot.no/2016/1[...]

Spamkampanje mot kunder hos Amazon


I perioden rundt Black-friday og Cyber-Monday øker handelsaktiviteten betraktelig på nett, og dette benytter cyberkriminelle seg mer enn gjerne av. I år har det blitt registrert en spamkampanje som retter seg mot kunder hos Amazon. Kampanjen består av falske eposter, der selger forteller at en vare er blitt sendt. Eposten inneholder en ZIP-fil som igjen inneholder en javascript-fil. Hvis dette scriptet åpnes vil nedlastning av Locky ransomware begynne.
Referanser
https://blogs.technet.microsoft.com/mmpc/2016[...]

Analyse av nylige DDoS-angrep mot russiske banker


Mellom 8. og 12. november ble flere russiske banker utsatt for større DDoS-angrep. Kaspersky Lab jobbet med å mitigere flere av angrepene og har skrevet en bloggpost med analyse. Flere forskjellige angrepsteknikker ble brukt.
Referanser
https://securelist.com/blog/incidents/76728/ddos-attack-on-the-russian-banks-what-the-traffic-data-showed/

Google Deepmind AI slår mennesker på leppelesning


Google har sammen med Oxford Universitetet utviklet et AI-program som driver med leppelesning. Resultatene er slående, og kan i fremtiden bli til god hjelp innen utvikling av hjelpeverktøy for personer med nedsatt hørsel. En kan også se for seg at overvåkingsvideo uten lyd nå i større grad kan tolkes.
Referanser
http://www.techrepublic.com/article/google-de[...]

Wednesday, 23 November 2016

2016.11.23 - Nyhetsbrev

Sikkerhetsfeil i Wordpress kunne fått katastrofale følger.

Sikkerhetsfeil i Wordpress kunne fått katastrofale følger

Wordfence publiserte nylig en artikkel som beskriver en svært kritisk sårbarhet i Wordpress som ble avdekket og rettet tidligere i høst. Ved hjelp av et bruteforce angrep ville angriper kunne få tilgang til Wordpress sin oppdateringsserver, og dermed få mulighet til å gjøre endringer på alle eksisterende Wordpress sider. I følge w3techs.com utgjør Wordpress sider ca 27% av alle sider på internett. Sårbarheten ble oppdaget av Wordfence sin ledende utvikler Matt Barry.
Referanser
https://www.wordfence.com/blog/2016/11/hackin[...]
http://www.theregister.co.uk/2016/11/23/wordp[...]
https://w3techs.com/technologies/details/cm-w[...]

Tuesday, 22 November 2016

2016.11.22 - Nyhetsbrev

Svakheter i ntpd.

DoS-svakheter i ntpd

Det er oppdaget flere svakheter i ntpd, network time protocol daemon. Noen av disse kan føre til DoS (Denial of Service) dersom angripere sender spesielt utformede pakker til tjenesten.
Anbefaling
Oppgrader til versjon ntp-4.2.8p9
Referanser
http://nwtime.org/ntp428p9_release/
http://www.kb.cert.org/vuls/id/633847

Monday, 21 November 2016

2016.11.21 - Nyhetsbrev

Malware spres via Facebook-chat og .SVG-filer. Mirai-botnet kapret overvåkningskamera på 98 sekunder. Palo Alto Networks fikser kritisk svakhet i PanOS.

Malware spres via Facebook-chat og SVG filer

Malware spres via Facebook-chat. Spredningen skjer ved hjelp SVG filer med javascript, som vil forsøke å installere et ondsinnet tillegg til nettleseren. Det er rapportert at infeksjonen også kan medføre at ransomware blir lastet ned.
Referanser
http://itavisen.no/2016/11/21/telenor-advarer[...]

Palo Alto Networks fikser kritisk svakhet i PanOS

Det er funnet en kritisk svakhet i Palo Alto Networks PAN-OS webinterface, som potensielt kan brukes til å få kjørt vilkårlig kode på sårbare enheter. Det er publisert oppdateringer som fikser svakheten.
Referanser
https://bugs.chromium.org/p/project-zero/issu[...]

Mirai-botnet kapret overvåkningskamera på 98 sekunder

Robert Graham, CEO i selskapet Errata Security beskrev i en rekke twittermeldinger fredag hvordan Mirai-botnettet infiserte et av hans overvåkningskameraer i løpet av 98 sekunder. Kameraet var av typen JideTech, og det ble satt opp bak en Raspberry Pi router konfigurert til å isolere kameraet fra Grahams hjemmenettverk. Da nedlastningen av viruset var fullført, begynte det umiddelbart å sende ut store mengder datatrafikk. Grahams anbefaling er å plassere enheter som dette bak brannmur.
Referanser
https://twitter.com/ErrataRob/status/79956977[...]
http://www.theregister.co.uk/2016/11/18/surve[...]

Friday, 18 November 2016

2016.11.18 - Nyhetsbrev

Google annonserer slutt på SHA-1-støtte i Chrome.

Google annonserer slutt på SHA-1-støtte i Chrome

Google har tidligere annonsert at de vil fjerne støtten for SHA-1 sertifikater, og har nå annonsert at dette vil skje i Chrome versjon 56 som er planlagt for lansering i slutten av januar. Firmaet Venafi har sagt at rundt 35% av nettsider fremdeles benytter denne hash-algoritmen. Disse nettstedene kan få problemer med visning i Chrome etter oppdateringen.
Referanser
https://security.googleblog.com/2016/11/sha-1[...]
https://threatpost.com/google-removing-sha-1-[...]

Thursday, 17 November 2016

2016.11.17 - Nyhetsbrev

PoisonTap stjeler autentiseringsinformasjon fra låste maskiner. Enkelte billige Android-telefoner samler sensitiv informasjon i skjul.

PoisonTap og Rasberry Pi Zero kan stjele autentiseringsinformasjon fra låste PCer

Ved hjelp av en Raspberry Pi Zero til $5 med programvaren PoisonTap, kan man stjele informasjon til å kunne logge på private kontoer. Angrepet kan utføres mot en låst PC eller Mac.

Dette gjøres ved at enheten presenterer seg som et nettverkskort, og får all nettverkstrafikk rutet over sitt interface. PoisonTap-enheten oppfører seg som en proxy, og når en HTTP request utføres, vil den injisere en iframe til alle nettsider fra Alexas topp 1 million liste. Den vil så kunne stjele (autentiserings) cookies som nettleseren serverer.

Se kilde for mer detaljert beskrivelse.
Referanser
https://samy.pl/poisontap/
http://arstechnica.com/security/2016/11/meet-[...]

Enkelte billige Android-telefoner samler sensitiv informasjon i skjul

Selskapet Kryptowire har oppdaget firmware på enkelte billige Android-telefoner som brukes til å stjele sensitiv informasjon, uten at det beskrives at brukerdata sendes ut av telefonen. Det ble blant annet oversendt hele tekstmeldinger, kontaktlister, anropslogg mm, som ble kryptert før de ble oversendt. Telefonene er for salg blant annet hos Amazon, Best Buy med flere.
Referanser
http://www.kryptowire.com/adups_security_anal[...]

Wednesday, 16 November 2016

2016.11.16 - Nyhetsbrev

Mozilla tetter sårbarheter i Firefox. Facebooks WhatsApp med støtte for ende-til-ende kryptert videosamtaler. En rekke billige Android-telefoner solgt i USA sender logger til Kina. Microsoft lanserer ny databasedrevet portal for sikkerhetsoppdateringer i 2017.

Mozilla tetter sårbarheter i Firefox

Mozilla fikser en rekke tildels alvorlige sårbarheter i Firefox ved å lansere Firefox 50 og Firefox ESR 45.5
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Facebooks WhatsApp lanserer støtte for ende-til-ende kryptert videosamtale

Facebook lanserer mandag støtte for videosamtale i deres populære meldingsapplikasjon WhatsApp. Kommunikasjonen vil være ende-til-ende kryptert.
Referanser
http://mobile.reuters.com/article/idUSKBN13A0I8

En rekke billige Android-telefoner solgt i USA sender logger til Kina

Sikkerhetsforskere fra Kryptowire har oppdaget at en rekke billige Android-telefoner solgt i USA jevnlig sender sensitiv informasjon, inkl. tekstmeldinger og telefonlogger, til en server i Kina.
Referanser
http://mobile.nytimes.com/2016/11/16/us/polit[...]

Microsoft lanserer ny databasedrevet portal for sikkerhetsoppdateringer i 2017

Microsoft planlegger å erstatte dagens arkiv/index over nye og historiske sikkerhetsoppdateringer med en database-drevet, søkbar portal. Portalen er tenkt å erstatte dagens løsning fom. tidlig 2017.
Referanser
http://www.zdnet.com/article/microsoft-to-rep[...]

Tuesday, 15 November 2016

2016.11.15 - Nyhetsbrev

Datingtjenesten AdultFriendFinder har fått over 400 millioner brukernavn og passord på avveie. Svakhet i VMWare kan gi tilgang fra gjest til host-maskin. Forskere har klart å analysere seg frem til PIN-koder ut fra WiFI-signaler.

AdultFriendFinder har blitt hacket

AdultFriendFinder har blitt hacket og kontoinformasjonen til mer enn 400 millioner skal være på avveie. Lekkede data er e-post adresse, siste IP-adresse brukt til innlogging og passord. Noen passord var lagret i klartekst, mens noen var hashet med SHA-1 algoritmen. Nettstedet LeakedSource.com har allerede avdekket klartekst-passord til over 99% av passordene.
Referanser
https://www.theguardian.com/technology/2016/n[...]
http://arstechnica.com/security/2016/11/adult[...]

Android-trojaner på Google Play med 1 mill nedlastinger

En Android-trojaner har blitt lastet ned over 1 million ganger fra Google Play. Trojaneren har blitt inkludert med andre applikasjoner som spill og verktøy for kontohåndtering. Den uønskede funksjonaliteten ligger kryptert i et PNG-bilde og blir pakket ut etter at appen er installert. Trojaneren kan gjøre alt fra å vise reklame til å prøve å roote enheten ved hjelp av svakheter.
Referanser
https://www.grahamcluley.com/android-trojan-d[...]

PIN-kode hacking via WiFi-signalanalyse

Forskere har klart å analysere radiosignal-mønstre i WiFi på et nivå som gjør det mulig å måle hvordan hender beveger seg over en smarttelefon.
Teoretisk skal dette kunne benyttes til å avsløre en brukers PIN-kode via et falskt aksesspunkt, men dette avhenger blant annet av at aksesspunktet er i et rom med svært lite radiostøy.
Referanser
http://thehackernews.com/2016/11/hack-wifi-pa[...]
https://nakedsecurity.sophos.com/2016/11/14/w[...]

Sårbarhet i VMWare-produkter kan gi tilgang til host-OS

Det er avdekket en sårbarhet i drag-&-drop-funksjonaliteten i VMWare Workstation som kan tillate en angriper å kjøre kode på en host-maskin fra en gjestemaskin. Sårbarheten har fått tildelt nummer CVE-2016-7461. VMWare har utgitt patcher for å tette sårbarheten.
Anbefaling
Brukere av VMWare bør sjekke vedlagte lenke for å sjekke hvilke patcher og eventuelle workarounds som er tilgjengelige for sitt produkt.
Referanser
https://isc.sans.edu/diary/CVE-2016-7461%3A+V[...]
https://www.vmware.com/security/advisories/VM[...]

Monday, 14 November 2016

2016.11.14 - Nyhetsbrev

Google Pixel hacket på 60 sekunder under hacker-konkurranse.

Google Pixel, Safari og Flash hacket på konferanse

Googles mobil-toppmodell "Pixel" ble hacket på 60 sekunder av en gruppe kinesiske hackere under forrige ukes konkurranse "PwnFest" som ble avholdt i Seoul. Også Apple Safari og Adobe Flash ble hacket på få sekunder. Svakheten som ble utnyttet i Pixel-hacket skal allerede være patchet av Google.
Referanser
http://www.theregister.co.uk/2016/11/11/googl[...]

Friday, 11 November 2016

2016.11.11 - Nyhetsbrev

Ny versjon av OpenSSL, lovord om Signal, russiske hackere bak phisingkampanje etter valget i USA og interesant artikkel om angrep og utnyttelse av tusenvis av IoT-enheter.

OpenSSL 1.1.0c lansert, fikser kritisk feil

OpenSSL har oppdatert versjon 1.1.0 til 1.1.0c. Denne retter tre feil, hvorav den ene er kritisk - da den kunne resultere i lokal DOS for OpenSSL-biblioteket.
Referanser
https://www.openssl.org/news/secadv/20161110.txt
http://securityaffairs.co/wordpress/53302/hac[...]

Signals krypteringsprotokol er uten sikkerhetshull

Flere akademikere rundt om i verden har tatt en audit av protokollen brukt av Signal, en meget populær ende-til-ende krypteringsapp. De fant ikke svakheter, og var fulle av lovord om Signal.
Signals protokoll brukes også av Facebook Messenger, WhatsApp og Googles Allo.
Referanser
https://threatpost.com/signal-audit-reveals-p[...]

Russiske hackere bak phisingkampanje etter valget i USA

Den russiske hackergruppen "The Dukes"/APT 29 lanserte en phishing-kampanje mot flere amerikanske politisk organisasjoner rett etter presidentvalget. Dette var samme gruppen som har utført flere vellykkede angrep mot amerikanske politiske organisasjoner i forkant av valget, deriblant hos Demokratenes nasjonalkomitee (DNC).
Referanser
http://krebsonsecurity.com/2016/11/russian-du[...]

Ny malware sprer seg gjennom sårbare IoT-enheter

Fire forskere fra Weizmann Institute of Science har skrevet et paper og en artikkel om hvordan en kan angripe og utnytte tusenvis av IoT-enheter på veldig kort tid. De fikk dette til ved å utnytte ZigBee-protokollen som disse enhetene bruker for kommunikasjon seg i mellom for å lage et mesh-nettverk. I dette tilfellet utnyttet de en svakhet i smarte lyspærer til å lage en orm som spredde seg automatisk. Artikkelen beskriver også flere tenkte scenarier for hvordan dette kan utnyttes.
Referanser
http://www.wisdom.weizmann.ac.il/~eyalro/iotworm/
http://iotworm.eyalro.net/iotworm.pdf

Thursday, 10 November 2016

2016.11.10 - Nyhetsbrev

Pawn Storm/APT 28 øker intensiteten i angrep etter patching. Flere brannmurer sårbare for ICMP-basert DoS-angrep.

Pawn Storm med nylig spearphishing-kampanje

TrendMicro forteller om nylige spearphishing-kampanjer utført av spionasjegruppen Pawn Storm/APT 28, mot flere myndigheter og ambassader. I disse kampanjene skal de ha brukt en tidligere ukjent svakhet i Adobe Flash (CVE-2016-7855), som ble oppdatert 26. oktober 2016, i kombinasjon med en privilegieeskalering i Microsoft Windows (CVE-2016-7255) som ble fikset 8. november 2016. Intensiteten i angrepene har økt siden offentliggjøringen av patchene. Bakgrunnen er antakeligvis å kompromittere flest mulig får patching blit utført.
Referanser
http://blog.trendmicro.com/trendlabs-security[...]

CISCO ASA, SonicWall og Palo Alto sårbare for ICMP-basert DoS-angrep

Sårbarheter i disse brannmurene gjør dem utsatt for DoS-angrep. Dette gjelder brannmurene Cisco ASA 5515 og 5525, SonicWall og noen ubekreftede versjoner av Palo Alto. Angrepet bruker ICMP-pakker av typen Type 3 Code 3. Det anbefales å bruke rate-limiting til å begrense skaden av denne typen angrep inntil leverandørene utbedrer svakheten.
Referanser
http://blacknurse.dk/
http://www.netresec.com/?page=Blog&month=2016[...]

Wednesday, 9 November 2016

2016.11.09 - Nyhetsbrev

Microsoft gir ut månedens sikkerhetsoppdateringer. Det er 14 oppdateringer, der seks er å anse som kritiske. Adobe oppdaterer Flash Player for Windows, Macintosh, Linux og Chrome OS for å tette til sammen ni alvorlige sårbarheter.

Microsoft gir ut månedens sikkerhetsoppdateringer

Microsoft har offentliggjort denne månedens sikkerhetsoppdateringer. Det er totalt 14 bulletiner, der seks er kategorisert som kritiske. Blant kritiske sårbarheter finnes blant annet oppdateringer til Windows-kjernen, Microsoft Edge, Adobe Flash Player og Internet Explorer. Verdt å nevne er at oppdatering MS16-139 retter det alvorlige sikkerhetshullet rapportert av Google forrige uke, CVE-2016-7216.
Anbefaling
Oppdater berørte systemer.
Referanser
https://technet.microsoft.com/en-us/library/s[...]
https://security.googleblog.com/2016/10/discl[...]

Adobe fikser alvorlige svakheter i Flash Player

Adobe slipper oppdateringer for Flash Player for Windows, Macintosh, Linux og Chrome OS (23.0.0.205/11.2.202.643 og eldre). Oppdateringene tetter til sammen ni alvorlige sårbarheter, som kan utnyttes til å få kjørt vilkårlig kode på et sårbart system.
Anbefaling
Oppdater til ikke-sårbar versjon (23.0.0.207/11.2.202.644) ihht. https://helpx.adobe.com/security/products/flash-player/apsb16-37.html
Referanser
https://helpx.adobe.com/security/products/fla[...]

Tuesday, 8 November 2016

2016.11.08 - Nyhetsbrev

Tesco Bank stanser overføringer på nett etter at et massivt antall kunder har fått penger stjålet fra kontoene sine. Maskinene som benyttes til å avlegge stemme i presidentvalget i USA demonstreres som sårbare for manipulasjon. Falske netthandel-apper brer om seg i App Store for tiden. Kritisk sikkerhetsoppdatering til Android er på vei.

20 000 Tesco Bank-kunder tappet for penger

Den britiske banken Tesco Bank har innført stans i transaksjoner utført på nett etter å ha avdekket at over 20 000 kontoer har blitt kompromittert og fått beskjedne pengebeløp tappet fra dem. Det er foreløpig uklart hvordan overføringene av penger har foregått.
Referanser
http://fortune.com/2016/11/07/tesco-uk-cyberc[...]

Sårbarheter i stemmemaskinene som brukes i presidentvalget

Sikkerhetseksperter ved flere anledninger påvist at maskinene som blir brukt til stemmegivning i USA inneholder sårbarheter som er enkle å misbruke. I dag demonstrerer selskapet Cylance hvordan en maskin enkelt kan manipuleres via et medbragt PCMCIA-kort i front av maskinen. Amerikanske myndigheter står likevel fast på at det ikke vil være gjennomførbart for en aktør å misbruke disse i stor nok skala til å påvirke utfallet av valget, da systemet er desentralisert og maskinene ikke er tilkoblet Internett.
Referanser
http://www.theverge.com/2016/11/7/13550692/el[...]
http://www.ibtimes.com/concerned-about-voter-[...]

Android med kritisk sikkerhetsoppdatering

Android har gitt ut en sikkerhetsoppdatering som tar for seg en rekke sårbarheter. Den mest kritiske sårbarheten muliggjør fjernkjøring av fientlig kode ved hjelp av en rekke metoder som e-post, nettleser og MMS under prosessering av mediafiler. Det er ikke kjent at svakhetene er utnyttet i reelle angrep.
Referanser
https://source.android.com/security/bulletin/[...]

Falske netthandel-apper på App Store

New York Times rapporterer om nylig eksplosjon i antall falske netthandel-apper i Apples App Store, laget for å etterligne kjente forhandlere og varemerker. Økningen skyldes sannsynligvis den forestående julehandelen. Apples manglende oppmerksomhet rundt problemet tilskrives at fokus rettes mot å forhindre malware.
Referanser
http://mobile.nytimes.com/2016/11/07/technolo[...]

Monday, 7 November 2016

2016.11.07 - Nyhetsbrev

Svakhet i OAuth kan utnyttes for å få tilgang til en millard Android app-kontoer.

Svakhet i OAuth kan utnyttes for å få tilgang til en millard Android app-kontoer

Forskere fra Hong Kong har demonstert et angrep som kan utføres mot en stor del av applikasjoner på Android-platformen. Angrepet utnytter en svakhet i hvordan flere applikasjoner håndterer OAuth-authentisering. Utviklere glemmer å sjekke at signaturen som de får fra Facebook, Google og andre eksterne kilder faktisk stemmer med brukernavnet.

Denne svakheten kan derfor utnyttes til å få tak i informasjon om brukeren fra applikasjonen som inneholder svakheten. Forskerene testet 600 av de mest populære applikasjonene fra USA og Kina. Av disse var det 182 applikasjoner som støttet "single sign-on", der 41% av disse hadde svakheten nevnt over.

Forskerne opplyser at svakheten også vil kunne utnyttes på samme måte på iOS, men at de ikke har testet mot denne plattformen.
Referanser
http://www.forbes.com/sites/thomasbrewster/20[...]

Friday, 4 November 2016

2016.11.04 - Nyhetsbrev

Cisco Talos med en teknisk gjennomgang av RIG exploit-kittet. Bloggpost fra Microsoft der de konkluderer med at EMET ikke lenger helt henger med i svingene som beskyttelsesmekanisme mot ondsinnet kode, og at man derfor bør oppgradere til Windows 10 for å få utbytte av operativsystemets mange nye sikkerhetsmekanismer.

Talos: En gjennomgang av RIG exploit-kittet

Bloggpost fra Cisco Talos der de i detalj beskriver hvordan et utbredt exploit-kit kalt RIG bl.a. benytter omfattende re-dirigeringer av trafikken for å vanskeliggjøre sporing og analyse.
Referanser
http://blog.talosintel.com/2016/11/rig-exploi[...]

Microsoft utvider "end-of-support" for EMET, og anbefaler samtidig brukere å oppgradere til Windows 10

Bloggpost fra Microsoft der de konkluderer med at EMET (Enhanced Mitigation Experience Toolkit) ikke lenger helt henger med i svingene som beskyttelsesmekanisme mot ondsinnet kode. De anbefaler samtidig brukere om å oppgradere til Windows 10, for å få utbytte av operativsystemets nye sikkerhetsmekanismer. De utvider samtidig den tidligere annonserte "support end date" for EMET fra 27/1/2017 til 31/7/2018.
Referanser
https://blogs.technet.microsoft.com/srd/2016/[...]

Thursday, 3 November 2016

2016.11.03 - Nyhetsbrev

Cisco slipper oppdateringer for diverse produkter. Sikkerhetshull i to-faktor autentisering i Outlook-portaler. Sikkerhetshull i MySQL, MariaDB og PerconaDB.

Cisco slipper oppdateringer for diverse produkter

Cisco har sluppet oppdateringer for flere produkter: TelePresence, ASR 900, Application Policy Infrastructure Controller, Email Security Appliance, Prime Home, Meeting Server og ASR 5500.
Referanser
https://tools.cisco.com/security/center/publi[...]

Sikkerhetshull forbigår to-faktor autentisering i Outlook-portaler

En sikkerhets-blogg har i dag publisert informasjon rundt et sikkerhetshull i Outlook sin Web Access-portal som gjør det mulig å forbigå to-faktor autentisering. I innlegget kommer det frem at enkelte protokoller mot Exchange ikke er dekket av to-faktor autentisering. Sikkerhetshullet ble rapportert den 28. september men det finnes enda ikke en oppdatering fra Microsoft.
Referanser
http://www.blackhillsinfosec.com/?p=5396

Kritiske sikkerhetshull i MySQL, MariaDB og PerconaDB

Dawid Golunski fra Legal Hackers publiserte i dag et eksempler på bruk av nylig oppdagede sikkerhetshull i MySQL, MariaDB og PerconaDB. Svakheten (CVE-2016-6663) kan gi en lokal bruker mulighet til å utføre handlinger med rettighets-nivået til database-eier. Denne svakheten er spesielt skummel i shared-hosting miljøer, da en bruker kan få tilgang til alle databasene på serveren. Svakheten rammer MySQL 5.5.51, 5.6.32 og 5.7.14 samt tidligere versjoner.
Anbefaling
Oppdater til siste tilgjengelige versjon.
Referanser
https://threatpost.com/critical-mysql-vulnera[...]

Wednesday, 2 November 2016

2016.11.02 - Nyhetsbrev

Microsoft med uttalelse vedrørende sikkerhetshull. England med program mot cyber-kriminalitet. Nettlesere fjerner støtte for populære gratissertifikater. En svakhet i BIND kan utnyttes til tjenestenekt-angrep.

Microsoft med uttalelse vedrørende sikkerhetshull

Microsoft slapp idag en blogg-post angående sikkerhetshullet som ble rapportert av Google tidligere i uken. Microsoft bekrefter at sårbarheten berører versjon av Windows fra Vista opp til Windows 10 November Update. Det er også kjent at sårbarheten benyttes aktivt av gruppen kjent som bl.a Sofacy/APT28/Fancy Bear/STRONTIUM, gjerne gjennom e-post kampanjer med ondsinnede vedlegg.

Microsoft tar sikte på å slippe en sikkerhetsoppdatering tirsdag 8. november. Det bør nevnes at 0-day svakheten i Windows-kjernen utnyttes via utnyttelse av Adobe Flash Player, hvilket vil si at man ikke er sårbar for spredningsvektoren man har sett til nå, dersom man har installert Adobe-patch CVE-2016-7855.
Referanser
https://blogs.technet.microsoft.com/mmpc/2016[...]

England med program mot cyber-kriminalitet

Englands finansminister Phillip Hammond ønsker at landet skal være i verdensklasse når det kommer til cyber-sikkerhet. Han uttaler til BBC at England må være i stand til å svare på angrep mot sin IT-infrastruktur. Det er satt av 1,9 milliarder pund for utdannelse og opprustning i budsjettene frem mot 2020.
Referanser
http://www.bbc.com/news/technology-37821867

Nettlesere fjerner støtte for populære gratissertifikater

En rekke nettlesere vil om kort tid trekke tilbake støtten for sertifikater utstedt av WoSign og StartCom. Årsaken skal være en rekke hendelser som har medført at nettleserleverandørene ikke lenger har tillit til de to nevnte sertifikatutstedere.
Referanser
http://www.digi.no/artikler/nettlesere-fjerne[...]

BIND sårbar for tjenestenekt-angrep

En svakhet i BIND kan utnyttes til tjenestenekt-angrep. Dersom serveren mottar en spesielt utformet pakke, vil den slutte å fungere. Svakheten gjelder først og fremst rekursive DNS-servere.
Anbefaling
Oppdater BIND ihht. https://kb.isc.org/article/AA-01434
Referanser
https://kb.isc.org/article/AA-01434

Tuesday, 1 November 2016

2016.11.01 - Nyhetsbrev

Google: Svakhet i Windows utnyttes aktivt i angrep. Ingen patch tilgjengelig enda.

Google varsler om sårbarheter i Adobe Flash og Windows

Google har oppdaget og advarer brukere mot sårbarheter i Adobe Flash og Windows. Adobe har rettet problemet med sikkerhetsoppdatering CVE-2016-7855 som ble sluppet sist uke.

Svakheten i Windows gjør det mulig å oppnå utvidede rettigheter på systemet. Google opplyser også at de ser aktiv utnyttelse av sårbarheten. Google har uskadeliggjort sårbarheten i Google Chrome, men andre nettlesere og systemer kan fortsatt være sårbare. Microsoft har foreløpig ikke sluppet informasjon om svakheten, men de ble varslet av Google 21. oktober.
Referanser
https://security.googleblog.com/2016/10/discl[...]
http://arstechnica.com/security/2016/10/trick[...]
http://www.digi.no/artikler/google-offentligg[...]