Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 28 April 2017

2017.04.28 - Nyhetsbrev

Facebook vil bekjempe "informasjonsoperasjoner" ved bruk av maskinlæring. Russisk statlig teleselskap kapret finansiell Internett-trafikk.

Facebook vil bekjempe "informasjonsoperasjoner" ved bruk av maskinlæring

Facebook vil benytte maskinlæring for å identifisere falske konti brukt til å spre misledende informasjon og falske nyheter ment for å påvirke meninger i andre land. Dette gjelder større operasjoner, gjerne utført av stater.
Referanser
http://mobile.reuters.com/article/idUSKBN17T2G6

Russisk statlig teleselskap kapret finansiell Internett-trafikk

Et russisk statlig teleselskap sendte onsdag ut BGP (Border Gateway Protocol)-meldinger som har medført at Internet-trafikk til og fra en rekke finansielle institusjoner har gått gjennom deres nettverk. Trafikken kan deretter ha blitt overvåket eller manipulert. Blant de rammede firmaene er Mastercard, Visa og rundt 20 andre fra finans-bransjen. BGP-protokollen er dessverre dårlig sikret, og denne typen hendelse oppstår stadig.
Referanser
https://bgpmon.net/bgpstream-and-the-curious-[...]
https://arstechnica.com/security/2017/04/russ[...]

Thursday, 27 April 2017

2017.04.27 - Nyhetsbrev

Adobe med en hotfix til Coldfusion versjon 10.11 og 2016 versjonen. 18 åring har sendt over 2000 trusler om bombing og skyting.

Adobe med hotfix til ColdFusion

Adobe har gitt ut en sikkerhetsoppdatering til ColdFusion versjon 10,11 og 2016 versjonen. Oppdateringen fikser en sårbarhet i en input-validering og inneholder også en oppdatert utgave av Apache BlazeDS for forhindring java deserialisering.
Referanser
https://helpx.adobe.com/security/products/col[...]

18 åring sendt over 2000 trusler om bombing og skyting

En 18 år gammel amerikansk-israeler er arrestert for å ha utført over 2000 trusler om bombing og skyting. Han har også tilbudt å gjøre dette mot betaling via en nettside på det mørke nettet. Dette er utført fra gutterommet hos han foreldre i den israelske byen Ashkelon, nær Gaza-stripen.
Referanser
http://www.aftenposten.no/verden/18-aringen-t[...]

Wednesday, 26 April 2017

2017.04.26 - Nyhetsbrev

Brickerbot botnettet er aktivt igjen. Svakhet i IBM Domino.

BrickerBot PDoS-botnet er tilbake

Brickerbot er kjent for å angripe Linux-baserte rutere og IoT (Internet of Things) type utstyr som er dårlig sikret. De utfører deretter et såkalt PDoS (Permanent Denial of Service) der hensikten er å ødelegge utstyret. Dette gjør de ved å logge seg inn på utstyret for deretter å kjøre en rekke ødeleggende kommandoer. Som for eksempel å slette viktige filer eller gjøre filsystemet korrupt. Brickerbot er nå ute i sin fjerde variant som ser ut til å forsøke å utnytte en svakhet i Dropbear SSH.
Referanser
https://arstechnica.com/security/2017/04/bric[...]

Svakhet i IBM Domino

Svakheten gjør det mulig for en angriper å ta full kontroll over systemet. IBM har gitt ut oppdateringen som fikser dette.
Anbefaling
Oppdater til siste versjon.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Tuesday, 25 April 2017

2017.04.25 - Nyhetsbrev

NSA-verktøyet DoublePulsar infiserer PC-er på verdensbasis i stor skala og ventes å fortsette med det i mange år fremover. Sophos viser hvordan et løsepengevirus nå skjuler seg via flere lag med falske dokumenter. Brukere av WebRoot Antivirus har driftsproblemer etter at løsningen feilaktig la viktige systemfiler i karantene.

Lekkede NSA-verktøy misbrukes i stor skala

Threatpost har sett på omfanget rundt bruken av NSA-verktøyene som ble lekket av ShadowBrokers i påsken. Ettersom verktøyene er brukervennlig utformet og godt dokumentert har angripere lav terskel for å ta dem i bruk. Mer enn 60.000 sårbare maskiner skal være infisert med verktøyet DoublePulsar, som gir angriper full kontroll over maskinen det kjører på. Eksperter regner med at DoublePulsar vil fungere og brukes aktivt i mange år fremover, til tross for at det er utgitt patcher som tetter sårbarhetene.
Referanser
https://threatpost.com/nsas-doublepulsar-kern[...]
https://zerosum0x0.blogspot.no/2017/04/double[...]

Løsepengevirus via Word-makro via PDF

Sophos viser et eksempel på en utgave av løsepengeviruset Locky, som leveres til mottakeren som en PDF i en spam-epost. Når mottaker åpner PDF-en, utløser det åpning av et Word-dokument, som igjen trigger nedlasting av skadevare etter at makroer er aktivert.
Referanser
https://threatpost.com/nsas-doublepulsar-kern[...]

WebRoot Antivirus fjernet viktige systemfiler

Brukere av antivirusløsningen til Webroot fikk massive driftsproblemer i går, som følge av at programvaren feilaktig detekterte Windows-systemfiler som ondsinnede og plasserte dem i karantene. Webroot har stanset utrullingen av nye signaturer og jobber med en løsning.
Referanser
http://www.theregister.co.uk/2017/04/25/webro[...]

Monday, 24 April 2017

2017.04.24 - Nyhetsbrev

Russisk hacker dømt til 27 år i fengsel. Det danske forsvaret utsatt for hackerangrep.

Russisk hacker dømt til 27 år i fengsel

En russisk mann ble nylig dømt til 27 år i fengsel, siktet for å ha utført en rekke hackerangrep. Angrepene skal ha forårsaket ødeleggelser til en verdi av rundt 169 millioner dollar. Saken fikk mye oppmerksomhet i media, ettersom mannen er sønn av det russiske parlamentsmedlemmet Valery Seleznev.
Referanser
https://arstechnica.com/tech-policy/2017/04/r[...]

Det danske forsvaret utsatt for hackerangrep

En fersk rapport utgitt av "Center for Cybersikkerhed", viser at en ressurssterk utenlandsk aktør har utført flere målrettede angrep mot danske myndighetspersoner mellom 2015 og 2016. Det er spesielt ansatte i det danske forsvaret som utgjør målgruppen for angrepene. De utførte angrepene består i hovedsak av phishing-kampanjer og bruteforce angrep. Rapporten beskriver det som meget sannsynlig at den russiske aktøren Fancy Bear står bak angrepene.
Referanser
http://ekstrabladet.dk/nyheder/samfund/ruslan[...]
https://fe-ddis.dk/cfcs/CFCSDocuments/Unders%[...]

Friday, 21 April 2017

2017.04.21 - Nyhetsbrev

Avansert phishing ved hjelp av Unicode. Mastercard lanserer kredittkort med fingeravtrykksleser.

Avansert phishing ved hjelp av Unicode

Digi har en sak som viser at selv de beste kan bli lurt til å gi fra seg brukernavn og passord til kriminelle. Artikkelen inneholder blant annet en side der adressen ser helt lik ut som Apple.com, men egentlig går et helt annet sted. For å få til dette brukes kyrilliske bokstaver.

Google har prøvd å utbedre problemet i Chrome versjon 58, som ble sluppet i går. Det er imidlertid vanskelig å fjerne alle varianter av denne typen forfalskning. Firefox er fortsatt sårbar.
Referanser
https://www.digi.no/artikler/visse-phishingan[...]
https://threatpost.com/google-fixes-unicode-p[...]

Mastercard lanserer kredittkort med fingeravtrykksleser

Mastercard har lansert et kredittkort med innebygget fingeravtrykksleser. Kortet får strøm fra terminalen i butikken. Leseren kan bare brukes i forbindelse med betalingsterminaler, ikke online.
Referanser
http://www.bbc.com/news/technology-39643453

Thursday, 20 April 2017

2017.04.20 - Nyhetsbrev

Kritisk feil i Drupal. Ny versjon av både Firefox og Chrome nettlesere. Cisco retter flere kritiske feil i flere av sine produkter.

Chrome ute i ny stabil versjon

Chrome nettleseren er ute i ny stabil versjon nr 58. Denne versjonen er for både Windows, Linux og Mac. Oppdateringen fikser 12 svakheter. 3 av disse er rangert med viktighet "høy".
Referanser
https://chromereleases.googleblog.com/2017/04[...]

Firefox med ny versjon nr 53 som fikser kritisk use-after-free feil

Ny versjon av nettleseren Firefox. Den nye versjonen fikser en mengde svakheter. Flere av svakhetene har fått høyeste klassifisering, kritisk.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Cisco med nye oppdateringer som fikser flere alvorlige feil i flere av sine produkter

Flere alvorlige sårbarheter i flere produkter blir patchet i disse oppdateringene. Dette gjelder produkter som ASA Software, IOS og IOS XE Software EnergyWise, Firepower Detection Engine og Unified Communications Manager. Se en mer detaljert oversikt i artikelen til US-CERT.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Kritisk feil i Drupal

En kritisk feil som oppstår hvis alle følgende kriterier er oppfylt. RESTful Web Service modul er enablet, siden tillater PATCH requests og tilgang til en bruker, eller få tilgang til å opprette en bruker.
Anbefaling
Ved versjon 8.2.7 eller tidligere, oppgrader til versjon 8.2.8. Ved versjon 8.3.0, oppgrader til 8.3.1.
Referanser
https://www.drupal.org/SA-CORE-2017-002

Wednesday, 19 April 2017

2017.04.19 - Nyhetsbrev

Oracle fikser 299 svakheter i april-oppdatering, inkl. svakhet utnyttet av nylig lekket NSA-vertøy. VMWare har gitt ut oppdateringer til VMware Unified Access Gateway, Horizon View og Workstation. Forskere gjetter pinkode på smarttelefoner med kreativ bruk av JavaScript.

Oracle ut med oppdateringer for april

Oracle slipper en stor oppdatering som fikser hele 299 svakheter. Blant produktene som oppdateres finner man MySQL Server, MySQL Workbench og Java.
Blant svakhetene som nå fikses finner man også en svakhet i Solaris 10 som skal ha blitt utnyttet av et nylig lekket NSA-verktøy kalt EXTREMEPARR.
For full liste av produktene som får oppdatering, se linken under.
Referanser
http://www.oracle.com/technetwork/security-ad[...]
https://www.theregister.co.uk/2017/04/19/orac[...]

VMware ute med ny oppdatering

VMWare har gitt ut oppdateringer til VMware Unified Access Gateway, Horizon View og Workstation som skal fikse flere kritiske svakheter.
Referanser
http://www.vmware.com/security/advisories/VMS[...]

Forskere gjetter pinkode på smarttelefoner med kreativ bruk av JavaScript.

En gruppe forskere ved Newcastle University har utviklet en kreativ metodikk som kan gjøre det mulig å gjette/tilegne seg pinkode/passord og potensielt annen sensitiv informasjon fra smarttelefoner vha. JavaScript-kode. Konseptet går ut på at JavaScript-koden kan få tilgang til flere av smarttelefonenes ulike sensorer som aksellerometer og gyroskop. Informasjon fra disse enhetene kan brukes til å gjette pinkode/passord med stor grad av treffsikkerhet. I hvilken grad JavaScript-koden klarer å få tilgang til telefonens sensorer avhenger av både OS-type, versjon samt hvilken nettleser som benyttes til å kjøre JavaScript-koden. Både Android og iPhone ser ut til å være sårbar for denne fremgangsmåten.
Referanser
https://arstechnica.com/security/2017/04/meet[...]

Tuesday, 18 April 2017

2017.04.18 - Nyhetsbrev

Gruppen ShadowBrokers publiserte verktøy tilknyttet Equation Group i påsken. I lekkasjen fantes blant annet antatte 0-dagssvakheter, som senere viste seg å være patchet av Microsoft i mars. Lekkasjen tyder også på at NSA skal ha infiltrert banker i midtøsten for å få tilgang til Swift-nettverket. VMware har publisert en oppdatering som løser en kritisk sårbarhet i VMware vCenter Server.

Påskens antatte 0-dagssvakheter fungerer ikke på fullt oppdaterte Windows-produkter.

Lekkasjene som ble publisert av gruppen ShadowBrokers på langfredag inneholdt flere antatte 0-dagssvakheter. Det viser seg imidlertid at samtlige var adressert av Microsoft og inkludert i utgitte oppdateringer. Noen ble adressert for flere år siden, andre så nylig som i forrige måned.

Microsoft bekrefter at brukere av Windows 7 eller nyere, samt Exchange 2010 eller nyere ikke er sårbare, gitt at produktene er fullt oppdatert.
Referanser
https://arstechnica.com/security/2017/04/purp[...]
https://blogs.technet.microsoft.com/msrc/2017[...]

Shadow Brokers viser at NSA har hacket banksystem i midtøsten

I følge påskens lekkasjer skal NSA ha infiltrert banker og finansinstitusjoner i midtøsten med det mål for øye å kunne monitorere transaksjoner som går gjennom Swift-nettverket.
Referanser
https://www.wired.com/2017/04/major-leak-sugg[...]
https://www.nytimes.com/2017/04/15/us/shadow-[...]

Viktig oppdatering fra VMware

VMWare har nå gitt ut en oppdatering til VMware vCenter Server som skal fikse en svakhet som gjordet mulig for angripere å eksekvere vilkårlig kode gjennom en svakhet i BlazeDS.

Det er utgitt kritisk oppdatering til vCenter Server v6.5 og vCenter Server 6.0. vCenter Server 5.5 er ikke berørt.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Wednesday, 12 April 2017

2017.04.12 - Nyhetsbrev

Sikkerhetsoppdateringer fra Microsoft og Adobe.

Adobe med oppdateringer til Acrobat, Reader og Flash Player

Adobe har kommet med sikkerhetsoppdatering til Acrobat og Reader til Windows og Mac, samt Flash Player til Windows, Mac, Linux og Chrome OS. Oppdateringene tetter kritiske sikkerhetshull som kan la en angriper ta kontroller over maskiner. Adobe anbefaler oppdatering av programvaren.
Referanser
https://helpx.adobe.com/security/products/acr[...]
https://helpx.adobe.com/security/products/fla[...]

Microsoft ute med oppdateringer for april

Microsoft har sluppet sine månedlige sikkerhetsoppdateringer. Det er 44 oppdateringer, der 14 av sårbarhetene er vurdert som kritiske. Berørte programvarer er Explorer, Edge, Windows, Office og Office Services and Web Apps, Visual Studio for Mac, .NET Framework, Silverlight og Adobe Flash Player. En av sårbarhetene tilknyttet Microsoft Office/WordPad, CVE-2017-0199, har blitt observert aktivt utnyttet.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]

Tuesday, 11 April 2017

2017.04.11 - Nyhetsbrev

Hackere skrudde på og av 156 nødssirener i Dallas. Symantec med artikkel om Longhorn. Zero-day exploit oppdaget i Microsoft Office. Det amerikanske justisdepartementet med tiltak mot stort botnet.

Hackere skrudde på og av 156 nødssirener i Dallas

I løpet av natt til lørdag skal hackere ha fått kontroll over flere nødssirener i Dallas. De 156 nødssirene skal så ha vært slått av og på flere ganger før systemet ble helt skrudd av. Effekten av nødssirene var at rundt 4400 personer ringte inn til nødssentralen, noe som er det dobbelte av hva som er normalt.

Nødssystemet har blitt skrudd på igjen og det utføres en etterforskning i hvordan og hva som har skjedd.
Referanser
https://arstechnica.com/security/2017/04/hack[...]

Symantec med artikkel om Longhorn

Symantec forteller om en gruppe som dem kaller Longhorn. Gruppen har vært aktiv siden 2011 og har infiltrert mange forskjellige typer bedrifter samt statlige enheter. I artikkelen forteller dem også om hvordan verktøy og protokoller beskrevet i Vault 7 har blitt brukt i cyber-angrep mot minst 40 forskjellige mål i 16 forskjellige land av gruppen.

Les mer i artikkelen under.
Referanser
https://www.symantec.com/connect/blogs/longho[...]

Zero-day exploit oppdaget i Microsoft Office

McAfee oppdaget nylig en sårbarhet i Microsoft Windows, og Microsoft Office. Sårbaheten er ikke patchet og er gjeldende for alle versjoner av Office. Filene som benyttes i angrepet er RTF-filer, som gjerne tilknyttes Word. Ved utnyttelse blir det gjort en oppkobling mot en remote server, og det blir lastet ned en fil med HTML application innhold. Ettersom .hta-filer er eksekverbare, kan filen kjøres, og angriper oppnår full kontroll over maskinen.
Referanser
https://securingtomorrow.mcafee.com/mcafee-la[...]

Det amerikanske justisdepartementet med tiltak mot stort botnet

Det amerikanske justisdepartementet kunngjorde i går hvilke tiltak de har gjort for å gjøre ende på det omfattende Kelihos botnettet. Botnettet har vært ansvarlig for utsendelse av millioner av e-poster forbundet med bedrageri, tyveri av kontolegitimasjon og spredning av ransomware. I hovedsak bestod tiltakene av å blokkere domener tilknyttet botnettet. Forespørsler mot domenene vil bli redirigert til servere der IP-adressen til kilden for forespørselen blir notert. Dette vil kunne føre til at infiserte maskiner blir oppdaget, og kan få riktig behandling.
Referanser
https://www.justice.gov/opa/pr/justice-depart[...]

Monday, 10 April 2017

2017.04.10 - Nyhetsbrev

Svakhet i HiSilicon integrerte 4G LTE modem brukt av Huawei. Avansert phising kan forbigå to-faktor autentisering.

Avansert phising kan forbigå to-faktor autentisering

Breakdev viser frem et prosjekt kalt Evilginx på sin nettside. Dette er en ny form for phising som kan hente ut gyldige brukernavn, passord og tokens som angriperen kan bruke til å logge inn på offerets kontoer uten videre autentisering. Offeret blir sendt til en "ekte" Google innloggings-side, logger inn på vanlig måte og blir deretter sendt videre uten å vite at all innloggingsinformasjon har blitt logget hos angriperen. Deretter kan angriperen lage en coockie med informasjonen og dermed få tilgang til brukeren kontoer uten å måtte logge inn.
Referanser
https://breakdev.org/evilginx-advanced-phishi[...]

Svakhet i HiSilicon integrerte 4G LTE modem brukt av Huawei

En forsker har funnet en svakhet i HiSilicon Balgon integerated 4G TLE som gjør at angripere kan potensielt få muligheten til å overvåke enhetens kommunikasjon, utføre samtaler eller sende SMSer. Svakheten som forskeren har funnet gjelder blant annet Huawei Honor 5c, 6, 7 og 9 samt Huawei P10, men svakheten skal være vanskelig å utnytte.

Artikkelen forklarer at omtrent 33 millioner Huawei telefoner ble solgt i tredje kvartal av 2016 og omtrent 50 prosent av disse brukte antaligvis chipsettet som har svakheten. Artikkelen nevner også at det er flere laptop-typer og IoT-enheter som bruker dette chipsettet.
Referanser
https://threatpost.com/baseband-zero-day-expo[...]

Friday, 7 April 2017

2017.04.07 - Nyhetsbrev

Det har vært et stille og rolig døgn.

Det er ingen nye saker siden sist.


Thursday, 6 April 2017

2017.04.06 - Nyhetsbrev

Samsung får kritikk for svakheter og manglende kodekvalitet i Tizen-operativsystemet. Cisco har gitt ut sikkerhetsoppdateringer til flere wifi-produkter.

Store svakheter i operativsystemet Tizen fra Samsung

Samsung utvikler selv operativsystemet Tizen. Det finnes blant annet i TVer og smartklokker som produseres av selskapet. Også noen mobiltelefoner har brukt OSet, men disse er ikke å finne i Norge. En israelsk sikkerhetsforsker har nå gjort en sikkerhetsanalyse av systemet og funnet ut at det inneholder en mengde sikkerhetsproblemer. Han fant blant annet mange muligheter for "buffer overflow". Mye følsomme data ble også overført i klartekst.
Referanser
https://arstechnica.com/gadgets/2017/04/samsu[...]
https://motherboard.vice.com/en_us/article/sa[...]

Sikkerhetsoppdateringer til trådløse enheter fra Cisco

Cisco er ute med sikkerhetsoppdateringer til flere av wifi-produktene sine. Blant sårbarhetene som adresseres er administrator-tilgang til enheter med Cisco Mobility Express-programvare, via SSH og standardpassord.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
http://www.networkworld.com/article/3188008/s[...]

Wednesday, 5 April 2017

2017.04.05 - Nyhetsbrev

Svakhet i WiFi-brikker fra Broadcom brukt i Android- og iOS-enheter. Google tetter flere kritiske sikkerhetshull i Android-oppdatering.

Google offentliggjør svakhet i WiFi-brikker fra Broadcom brukt i Android- og iOS-enheter

Googles Project Zero melder på sin blogg at de har funnet en svakhet i Broadcoms WiFi-brikker som blir brukt i Nexus-telefoner, flaggskipene til Samsung og alle iPhoner siden iPhone 4, samt mange rutere som bruker Broadcom-brikkene. Svakheten utnytter TDSL-standarden som kan kommunisere med andre enheter innen WiFi-rekkevidde uten å involvere operativsystemet eller rutere. Dette kan potensielt føre til at angriperen kan kjøre vilkårlig kode på enheten, få økte privilegier og bruke dette til å angripe selve operativsystemet. Apple har allerede kommet med en patch til iOS og Google har gjort det samme til Android, som Nexus- og Pixel-enheter vil motta.
Referanser
https://googleprojectzero.blogspot.no/2017/04[...]
https://www.digi.no/artikler/sikkerhetshull-i[...]

Google tetter flere kritiske sikkerhetshull i sikkerhetsoppdatering for Android

Google har i sin siste Android-sikkerhetsoppdatering rettet flere alvorlige sikkerhetshull. Den mest alvorlige feilen hører til media-håndteringen til systemet. Feilen lar en angriper eksternt eksekvere kode gjennom media-filer som kunne leveres via email, nettleser eller MMS. Det er også tettet flere kritiske hull i Broadcom sin Wifi-firmware, Qualcomm sin crypto-engine samt HTC sin touchscreen driver.
Anbefaling
Oppdater berørte systemer, for Nexus og Pixel telefoner er en OTA allerede sendt ut.
Referanser
http://source.android.com/security/bulletin/2[...]

Tuesday, 4 April 2017

2017.04.04 - Nyhetsbrev

PWC har publisert rapport om den kinesisk-tilknyttede trusselaktøren APT10. Det er oppdaget eb Android-versjon av Pegasus-RAT. Moderne beskyttelsesmekanismer gjør det stadig vanskeligere å utnytte svakheter. Apple gir ut hasteoppdatering til iOS. Sikkerheten rundt valget skal nå opp til debatt i Stortinget.

Operation Cloud Hopper: PWC om APT10

PWC har utgitt en rapport om den kinesisk-tilknyttede trusselaktøren APT10, også kjent som Red Apollo, menuPass Team eller Stone Panda. I rapporten fremgår det at aktøren gikk over fra Poison Ivy til PlugX som foretrukket verktøy etter FireEyes rapport om dem i 2013. Blant aktørens taktikker nevnes infiltrering av målets eksterne IT-leverandører. Japan fremheves som hovedmål, men også Norge nevnes som interessant mål for aktøren.
Referanser
https://www.pwc.co.uk/issues/cyber-security-d[...]

Android-versjon av Pegasus-RAT oppdaget

For rundt 8 måneder siden ble en bakdør kalt Pegasus oppdaget for iOS. Det ble benyttet flere zero-day svakheter i iOS for å installere bakdøren. Firmaet NSO-group i Israel stod bak programvaren, som blir solgt til politi og forsvar.

Sikkerhetsforskere hos Lookout og Google har nå klart å finne en tilsvarende bakdør til Android. Bare noen titalls mobiler er rapportert infisert, og bakdøren har ikke vært i Google Play. Programmet støtter blant annet keylogging, screenshots, opptak av lyd/bilde og uthenting av meldinger fra krypterte meldings-apper.
Referanser
https://arstechnica.com/security/2017/04/foun[...]

Det blir stadig vanskeligere å utnytte svakheter

I en presentasjon på Kasperskys Security Analyst Summit demonstrerer Mark Dowd hvor vanskelig det er å utnytte svakheter i dag. Moderne operativsystemer har innebyggde teknologier for å motvirke korrupsjon av minneområder. Dette, kombinert med isolerte "sandkasser" i nettleserne, gjør at en ofte må må utnytte mange separate svakheter i kjeder.
Referanser
https://threatpost.com/memory-corruption-miti[...]

Apple med hasteoppdatering til iOS

Apple har gitt ut en hasteoppdatering til iOS. Oppdateringen patcher en svakhet der angriper i nærheten kan eksekvere kode på enhetens WiFi-chip. Det anbefales å oppdatere til iOS v10.3.1 snarest.
Referanser
http://itavisen.no/2017/04/03/ios-10-3-1-plut[...]
https://support.apple.com/en-us/HT207688

Sikkerheten rundt valget til debatt i Stortinget

Første nestleder i Stortingets justiskomité Anders B. Werp (H) har fremsatt en interpellasjon for å få svar av justis- og beredskapsministeren på hvilke tiltak regjeringen har satt i gang for å forhindre fremmede stater i å manipulere det kommende norske stortingsvalget. Saken skal debatteres i Stortinget tirsdag.
Referanser
https://www.dn.no/nyheter/2017/04/03/2048/Pol[...]

Monday, 3 April 2017

2017.04.03 - Nyhetsbrev

WikikLeaks publiserer kildekoden til CIA-verktøyet Marble. Kripos advarer mot stor økning i datakriminalitet. Iranske vannhullsangrep mot israelske nettsteder.

Iranske vannhullsangrep mot israelske nettsteder

Sikkerhetsselskapet Clearskysec melder om en rekke iranske vannhullsangrep mot israelske nettsteder, utført av en gruppe de kaller CopyKittens. Jerusalem Post skal ha vært blant de kompromitterte sidene.
Referanser
http://www.clearskysec.com/copykitten-jpost/

Kripos advarer mot stor økning i datakriminalitet

Kripos advarer mot stor økning i datakriminalitet framover. Vi blir utsatt for så mye datakriminalitet at vi ikke har tid til å anmelde, sier Telenor.
Referanser
https://www.nrk.no/norge/kripos-advarer_-_-st[...]

WikikLeaks publiserer kildekoden til et CIA-verktøy

Fredag publiserte WikiLeaks kildekoden til et CIA-verktøy kalt Marble, som er et vertkøy for kodeobfuskering.
Referanser
https://www.bleepingcomputer.com/news/governm[...]
https://wikileaks.org/ciav7p1/cms/page_116290[...]

Friday, 31 March 2017

2017.03.31 - Nyhetsbrev

Skype leverer ransomware via annonser. 8,3 millioner IIS 6.0 webservere sårbare gjennom 0-dags sårbarhet. 90% av smart-TV apparater sårbare for angrep gjennom falske tv-signaler.

Skype har levert ransomeware via annonser

Skype har levert annonser til sluttbruker som kan medføre nedlasting av ransomware. Flash-annonsene kan, hvis de blir åpnet, servere fiendtlig kode til klientmaskinen.
Referanser
http://www.zdnet.com/article/skype-served-up-[...]

0-dags svakhet i IIS 6.0 gjør millioner av webservere sårbare

En ny 0-dags sårbarhet i IIS 6.0 gjør millioner av webservere sårbare mot angrep. Svakheten er bekreftet utnyttet i juli 2016. Målinger tilsier at over 8,3 millioner webservere bruker IIS 6.0. Sårbarheten ligger i komponenten "Webdav". Vi anbefaler å slå av denne komponenten på eldre IIS-servere.
Anbefaling
Diable WebDAV om mulig.
Referanser
http://securityaffairs.co/wordpress/57513/hac[...]

90% av Smart-TV apparatene er sårbare for angrep via falske tv-signaler

Veldig mange smart-TV enheter er sårbare for angrep via falske TV-signaler. Disse kan leveres via luft, kabel eller IPTV. Tidligere var slike enheter sårbare hvis man hadde fysisk tilgang, men nå viser det seg at angripere kan få tilgang gjennom TV-sendinger.

Forskjellige typer TV-sendinger støtter HbbTV-standarden. I denne standarden ligger det en mulighet for å be nettleseren på TVen om å åpne en spesiell URL. Den innebyggede nettleseren i en TV er ofte gammel og sårbar. En sikkerhetsforsker har klart å ta kontroll over TVer ved hjelp av svakheter i Flash og JavaScript.
Anbefaling
Begrens enhetens unødvendige tilkoblinger til tv mottakere og andre enheter som kan levere tv-signaler.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Thursday, 30 March 2017

2017.03.30 - Nyhetsbrev

Google oppdaterer Chrome. Analyse av LuminosityLink Remote Access Trojan.

Sikkerhetsoppdatering for Chrome

Google har sluppet en oppdatering for Chrome. Oppdateringen fikser 5 svakheter, hvor én har kritisk viktighet.
Referanser
https://chromereleases.googleblog.com/2017/03[...]

Analyse av LuminosityLink RAT (Remote Access Trojan)

Palo Alto har tatt en gjennomgang av konfigurasjonen av LuminosityLink RAT. Dette er en trojaner som også markedsføres og selges for $40 som et verktøy for systemadministrasjon.
Referanser
http://researchcenter.paloaltonetworks.com/20[...]

Wednesday, 29 March 2017

2017.03.29 - Nyhetsbrev

VMware ute med viktige oppdateringer og forsvarsministeren presenterer nytt senter mot digitale trusler. NSM har også lagt fram sin årlige rapport Risiko 2017.

VMware ute med viktige oppdateringer

VMware er ute med viktige oppdateringer til ESXi, Workstation og Fusion for å fikse tre rapporterte bugs. Den mest kritiske bugen resulterer i heap buffer overflow og kan føre til kjøring av kode på hosten.
Referanser
http://www.vmware.com/security/advisories/VMS[...]
https://www.theregister.co.uk/2017/03/29/vmwa[...]

NSM har lagt fram sin årlige rapport Risiko 2017

I dag legger Nasjonal sikkerhetsmyndighet frem sin rapport “Risiko 2017: Risiko og sårbarheter i en ny tid”.

– Norge er et trygt land, men for å beskytte verdiene våre må vi redusere sårbarhetene, sier direktør Kjetil Nilsen i Nasjonal Sikkerhetsmyndighet (NSM).
Referanser
https://www.nsm.stat.no/aktuelt/risiko-2017/
https://www.nsm.stat.no/globalassets/rapporte[...]

Nytt senter mot dataangrep har åpnet

Forsvarsminister Ine Eriksen Søreide (H) fortalte under åpningen av NSMs sikkerhetskonferanse i Oslo kongressenter i går at et nytt senter mot digitale trusler skal bli operativt fra fredag. Dette koordineringssenteret er et samarbeid mellom Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet, E-tjenesten og Kripos. Målet er å styrke evnen til å motvirke truslene i det digitale rom.
Referanser
https://www.digi.no/artikler/nytt-senter-mot-[...]

Tuesday, 28 March 2017

2017.03.28 - Nyhetsbrev

Apple er ute med oppdateringer til hele sitt økosystem. FireEye presenterer oppdatert analyse av APT29. Lets Encrypt kritiseres for å gjøre det enklere å få phishing-sider til å fremstå som legitime. LastPass jobber med å tette svakhet.

Programvareoppdateringer fra Apple


Apple har utgitt oppdateringer til iOS, macOS (OS X), wachOS og tvOS. Oppdateringene inneholder både ny funksjonalitet og sikkerhetsoppdateringer. Mange av sårbarhetene som tettes berører Safari og macOS Server.
Referanser
https://support.apple.com/en-us/HT201222
https://techcrunch.com/2017/03/27/apple-relea[...]
https://www.us-cert.gov/ncas/current-activity[...]
https://isc.sans.edu/diary/22241

APT29 bruker domain fronting for å skjule seg


Mandiant har observert at den russisk-tilknyttede trusselaktøren APT29 har benyttet domain fronting-teknikker i over to år for å kunne bruke bakdører i stillhet. Ved å kombinere domain-fronting og TOR-pluginen "meek" kan aktøren forkle ondsinnet trafikk som legitime forespørsler til populære nettsider som google.com.
Referanser
https://www.fireeye.com/blog/threat-research/[...]
https://medium.com/@pmvk/domain-fronting-a-te[...]

Lets Encrypt misbrukes til phishing i stor skala


Lets Encrypt har gjort det enklere for nettsteder å ta i bruk SSL ved å tilby gratis sertifikater med liten grad av verifisering. Den eneste verifikasjonen som gjøres av Lets Encrypt for å unngå å utstede sertifikater til phishing-nettsteder er å spørre Googles Safebrowsing-tjeneste. Dette har resultert i at titusener av phishing-nettsteder har benyttet Lets Encrypt til å tilføre falsk legitimitet. Det er viktig å huske at sertifikater fra Lets Encrypt kun viser at forbindelsen er kryptert, ikke at du kan stole på den du kommuniserer med.
Referanser
https://www.digi.no/artikler/let-s-encrypt-ha[...]
https://www.thesslstore.com/blog/lets-encrypt[...]
https://www.bleepingcomputer.com/news/securit[...]

LastPass jobber igjen med sikkerhetsoppdatering


LastPass melder at de jobber med sårbarheten i sin nettleserplugin som ble avdekket i helgen og at oppdatering er på vei.
Referanser
https://blog.lastpass.com/2017/03/security-up[...]

Monday, 27 March 2017

2017.03.27 - Nyhetsbrev

Det har vært en rolig helg.

Det er ingen nye saker siden sist.


Friday, 24 March 2017

2017.03.24 - Nyhetsbrev

30.000 sertifikater fra Symantec med for høy validering. Sto Nord-Korea bak innbruddet i Bangladesh sin sentralbank?

30.000 sertifikater fra Symantec med for høy validering

Google har over flere år sette seg lei på at Symantec ikke klarer å utføre den forventede valideringen av sertifikater de utsteder til kjøpere. Derfor har Google nå besluttet å ikke stole på disse sertifikatene i like stor grad som de egentlig var tiltenkt. Dette vil en først og fremst merke i Google Chrome. Totalt er det snakk om minst 30 000 sertifikater utstedt av Symantec og deres forhandlere.
Referanser
https://groups.google.com/a/chromium.org/foru[...]
http://news.softpedia.com/news/google-says-sy[...]
https://www.digi.no/artikler/mengder-av-netts[...]

Sto Nord-Korea bak innbruddet i Bangladesh sin sentralbank?

I begynnelsen av 2016 ble sentralbanken i Bangladesh angrepet og bakmenn klarte å stjele 81 millioner USD. Nå anklager Justisdepartementet i USA fire kinesiske statsborgere, som alle har tilknytninger til Nord-Korea, for å hjelpe til med tyveriet. Med dette mener USA at Nord-Korea står bak tyveriet, noe flere sikkerhetseksperter allerede har ment i lang tid.
Referanser
http://www.bankinfosecurity.com/blogs/report-[...]

Thursday, 23 March 2017

2017.03.23 - Nyhetsbrev

En svakhet er oppdaget i LastPass. En russer har erklært seg skyldig i utvikling og spredning av malware og en litauer er arrestert for phising. Google har også kommet med en sikkerhetsrapport for Android i 2016 og planlegger å sende ut hyppigere sikkerhetsoppdateringer til sine telefoner. Cisco har kommet med oppdatering til sine OS.

Svakhet oppdaget i LastPass

En sikkerhetsekspert har oppdaget to sikkerthetshull i LastPass sine nettlesertillegg. For å kunne utnytte svakhetene måtte angriper ha lurt brukere til et fiendtlig nettsted, for deretter å gjøre kall mot LastPass sitt API. LastPass konkluderer med at ingen sensitiv data skal være tapt, og at feilen skal være patchet for alle de utsatte nettleserne. Til tross for at oppdateringen skal ha skjedd automatisk hos de fleste brukere, anbefales det å sjekke hvilken versjon av programtillegget en innehar.
Referanser
https://blog.lastpass.com/2017/03/important-s[...]

Spredning av malware i Microsoft Word-fil kan angripe både Windows og Mac

FortiGuard har funnet en ny Microsoft Word-fil som kan kjøre skadende Visual Basic-kode på maskinen filen blir åpnet på. Dersom en bruker åpner dokumentet vil det vises en beskjed om å skru på kjøring av makroer. Dette vil la den skadende koden kjøre, både på Microsoft Windows og Apple Mac OS X. Dette vil føre til kjøring av et python-script som henter en fil på nettet og kjører denne.
Referanser
http://blog.fortinet.com/2017/03/22/microsoft[...]

Google skal sende ut hyppigere sikkerhetsoppdateringer til Android-telefoner

Google planlegger nå, i samarbeid med telefon-produsentene, å sende ut hyppigere sikkerhetsoppdateringer til Android-telefoner fra andre produsenter enn Google. I 2016 mottok kun halvparten av alle Android-enheter sikkerhetsoppdateringer.
Referanser
https://www.engadget.com/2017/03/22/google-ey[...]
https://www.tek.no/artikler/google-pisker-pro[...]

Russisk statsborger erklært skyldig i utvikling og deling av Citadel malware

Den russiske statsborgeren Mark Vartanyan, kjent som hackeren Kolypto, har nå erklært seg skyldig i en amerikansk domstol for utvikling og deling av malwaren Citadel. Vartanyan ble arrestert i Norge og utlevert til USA i 2016. Citadel har som hensikt å stjele bankkonto-informasjon og det har blitt estimert at denne malwaren har svindlet mer en fem millioner mennesker for totalt over en halv billion dollar.
Referanser
http://www.securityweek.com/citadel-botnet-au[...]

Litauer arrestert etter å ha lurt to store teknologibedrifter

En mann fra Litauen er arrestert etter å ha lurt til seg 100 millioner dollar i en phisingsak mot to store teknologibedrifter i USA. Han utga seg for å være en asiatisk samarbeidspartner og opprettet kontoer som bedriftene skulle sende penger til. Dette ble oppdaget av bankene. Amerikanske advokater anbefaler alle bedrifter, selv de store, til å være oppmerksomme mot phising.
Referanser
http://www.zdnet.com/article/lithuanian-scam-[...]
http://www.theregister.co.uk/2017/03/22/man_c[...]

Google ute med sikkerhetsrapport for Android i 2016

Google har kommet ut med en rapport som oppsummerer sikkerheten til Android-enheter i 2016. Den sier blant annet at antall "Potentially Harmful Applications" (PHA) har sunket i 50 av 50 land. Den sier også at enheter som lastet ned apper kun fra Google Play var 90% mindre sannsynlig å ha PHA installert. Det skal kun være 0.05% av alle Android-enheter som har PHA installert, noe som er en nedgang fra 0.15% i 2015.
Referanser
https://static.googleusercontent.com/media/so[...]
https://www.wired.com/2017/03/good-news-andro[...]

Cisco er ute med sikkerhetsoppdatering

Cisco har utgitt sikkerhetsoppdateringer som tar for seg svakhetene i IOS, IOS XE og IOx som har vært omtalt i det siste. Administratorer anbefales å sjekke ut disse.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 22 March 2017

2017.03.22 - Nyhetsbrev

Svakhet i Cisco Automatic Networking Infrastructure.

Svakhet i Cisco sin Automatic Networking Infrastructure

NorCERT melder om en sårbarhet i programvaren Automatic Networking Infrastrucutre til Cisco IOS- og Cisco IOS XE. Sårbarheten gjør det mulig for en uautentisert fjernangriper å tvinge fram tjenestenekt av den berørte enheten. Sårbare enheter er enheter som støtter ANI og har et åpent IPv6-grensesnitt. Cisco har kommet med en programvareoppdatering som skal håndtere sårbarheten.
Referanser
https://tools.cisco.com/security/center/conte[...]

Tuesday, 21 March 2017

2017.03.21 - Nyhetsbrev

Historien om «Operasjon Jackpot» – politi spilte direktør og rundlurte svindlere. Ny alvorlig svakhet i LastPass.

Historien om «Operasjon Jackpot» – politi spilte direktør og rundlurte svindlere

VG har en interessant sak om "Operasjon Jackpot". Norsk politi spilte rollen som økonomidirektør for å lure bakmennene. Etterforskningen ledet til slutt til en razzia og flere arrestasjoner i Israel.
Referanser
http://www.vg.no/nyheter/innenriks/krim/histo[...]

Ny alvorlig svakhet i LastPass

Tavis Ormandy fra Google har oppdaget en ny alvorlig svakhet i LastPass for Chrome og FireFox. Alt etter hvilken versjon av LastPass du bruker, kan en angriper enten ta kontroll over maskinen din eller hente ut alle passordene dine. Tavis opplyser også at den forrige alvorlige svakheten han oppdaget enda ikke er fikset.
Anbefaling
Vent på ny versjon
Referanser
https://twitter.com/taviso/status/84396551937[...]

Monday, 20 March 2017

2017.03.20 - Nyhetsbrev

En gruppe fra Qihoo 360 bryter ut av virtuell maskin kjørende i Vmware Workstation fra en nettside under Pwn2Own. Svakhet i Cisco sin CMP-protokoll. Firefox Integer overflow svakhet oppdaget som kan utnyttes av angriper oppdaget i Firefox.

En gruppe fra Qihoo 360 bryter ut av virtuell maskin under Vmware Workstation under Pwn2Own

Deltakere på hacke-konkurransen Pwn2Own i Vancouver har klart å bryte ut av virtuell maskin under Vmware Workstation og få kontroll over host-maskinen. Dette klarte de ved hjelp av en svakheter i Microsoft Edge og i Windows 10 kjernen som gjorde at de kunne simulere en hardware-feil, og to svakheter i Vmware for deretter få kontroll over host-maskinen. Alt ble initiert fra en nettside. Gruppen som utførte angrepet vant $105,000.
Referanser
https://arstechnica.com/security/2017/03/hack[...]

Svakhet i Cisco Cluster Management Protocol (CMP)

En svakhet i Cisco sin Cluster Management Protocol (CMP) gjør at en angriper kan fremtvinge en restart av en berørt enhet, og potensielt kjøre kode med utvidede rettigheter. Dette kan skje om angriperen sender spesiell Telnet-informasjon ved hjelp av CMP under opprettelse av en Telnet-sesjon.
Referanser
https://tools.cisco.com/security/center/conte[...]

Svakhet i Firefox gir Integer overflow som kan utnyttes av en angriper

Det er funnet en bug i createImageBitmap-funksjonen i Mozilla Firefox som gir en Integer overflow-feil som kan brukes av en angriper til å kjøre vilkårlig kode på offerets maskin. Denne svakheten må kjøres i kombinasjon med andre svakheter for å kunne ta over en maskinen. Feilen ble kjent igjennom Pwn2Own og er blitt fikset i versjon 52.0.1 av Firefox.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]
http://www.securitytracker.com/id/1038060

Friday, 17 March 2017

2017.03.17 - Nyhetsbrev

Svakhet i Ubiquiti sitt nettverksutstyr gir mulighet for administrasjonstilgang ved bruk at et enkelt Cross Site Scripting-angrep.

Svakhet i Ubiquiti utstyr

Feilen er i Ubiquiti sitt nettverksutstyr og skyldes at firmwaren kjører en web-server med root-tilgang og svært gammel versjon av PHP. En angriper kan utnytte svakheten ved å lure brukeren til å besøke en spesielt utformet nettside. Denne vil kjøre angriperens kommandoer mot administrasjonsnettsiden til Ubiquity-utstyret. Dette er en såkalt Cross Site Scripting svakhet som krever at brukeren er logget inn på nettsiden til utstyret som skal angripes. I dette tilfellet er det mulig å få root-tilgang uansett hvilken bruker som er logget inn på utstyret.
Anbefaling
La være å surfe på nettet i samme nettleser som man har oppe administrasjonsnettsiden til Ubiquiti utstyret i.
Referanser
https://www.theregister.co.uk/2017/03/16/ubiq[...]

Thursday, 16 March 2017

2017.03.16 - Nyhetsbrev

USA har etterlyst fire personer etter hackingen av Yahoo i 2014. Checkpoint har funnet en svakheter i webutgaven og WhatsApp og Telegram.

Russiske FSB-ansatte koblet til Yahoo-hack og etterlyst av FBI

USA sitt justisdepartement kunngjorde onsdag at de skal ha koblet fire personer til hackingen av Yahoo tidlig 2014. To offiserer fra russisk sikkerhetstjeneste er blant de anklagede. Over 500 millioner Yahoo-kontoer ble berørt i den omtalte hackingen. Informasjonen som ble hentet ut ble blant annet ha brukt til å oppnå uautorisert tilgang til kontoer tilhørende russiske journalister og både russiske og amerikanske embetsmenn.
Referanser
http://edition.cnn.com/2017/03/14/politics/ju[...]
http://krebsonsecurity.com/2017/03/four-men-c[...]
https://www.justice.gov/opa/press-release/fil[...]

Svakhet i web-versjon av WhatsApp omgår endte-til-ende-krypteringen

Check Point har avdekket svakheter i WhatsApp og Telegram der deres ende-til-ende-kryptering kan omgås dersom appene blir brukt gjennom en nettleser. Dette kan føre til at angriperen kan få tilgang til alle meldinger, bilder, videoer og kontaktlisten til brukeren. Svakhetene er nå fikset. Problemene skyldes at nettlesere har en mye større angrepsflate enn en dedikert app, blant annet på grunn av muligheten for å kjøre JavaScript.
Referanser
https://www.wired.com/2017/03/whatsapp-hack-s[...]
https://www.digi.no/artikler/flere-hundre-mil[...]

Wednesday, 15 March 2017

2017.03.15 - Nyhetsbrev

Twitter-kontoer sprer propaganda. VMware ute med oppdatering til Workstation og Fusion. Adobe patcher Flash og Shockwave Player. Microsoft ute med oppdateringer for mars. Google fjerner apper brukt til annonse-svindel fra Google Play.

Twitter-kontoer sprer propaganda

Tusenvis av Twitter-kontoer har de siste timene sendt ut tyrkisk propaganda. Tyskland og Nederland blir også beskyldt for å være nazister. Angrepet settes i sammenheng med den pågående diplomatiske uenigheten mellom Nederland og Tyrkia. Blant de kompromitterte kontoene er Forbes, Amnesty, Unicef og Legeforeningen. Twitter Counter, en statistikk-tjeneste, har blitt kompromittert og er grunnen til alle tweetene. Benytt gjerne anledningen til å ta en sjekk over tilgangene til Twitter-kontoen din.
Referanser
https://www.nrk.no/urix/omfattende-hackerangr[...]
https://www.engadget.com/2017/03/15/twitter-a[...]

VMware ute med oppdatering til Workstation og Fusion

VMWare har nå gitt ut en kritisk oppdatering til Workstation og Fusion som skal fikse en svakhet som kunne gjøre det mulig for angriper å ta over systemet.
Referanser
http://www.vmware.com/security/advisories/VMS[...]

Adobe patcher Flash og Shockwave Player

Adobe har nå gitt ut oppdatering til Flash Player til Windows, Mac OS, Chrome OS og Linux som skal fikse en svakhet som kunne gjøre det mulig for angriper å ta over systemet. I tillegg har Adobe gitt ut en oppdatering til Shockwave Player for Windows som fikser en svakhet som kunne gjøre det mulig for angriper å øke rettighetene sine på angrepet maskin.
Referanser
https://helpx.adobe.com/security/products/sho[...]
https://helpx.adobe.com/security/products/fla[...]
https://threatpost.com/adobe-fixes-six-code-e[...]

Microsoft ute med oppdateringer for mars

Microsoft har sluppet sine månedlige sikkerhetsoppdateringer. Denne måneden er også oppdateringene som skulle ha vært sluppet forrige måned tatt med. Det er hele 18 oppdateringer, der 8 er rangert som kritiske. De mest alvorlige svakhetene gjelder håndtering av SMB-trafikk. Dette er sårbarheter som kan brukes til å ta kontroll over sårbare servere, dersom du kan sende SMBv1-pakker til dem.

Det er også alvorlige svakheter i Internet Explorer, Edge, Windows-kjernen, Windows GDI, PDF-bibliotket, Office, IIS og Exchange.
Referanser
https://technet.microsoft.com/library/securit[...]
https://isc.sans.edu/forums/diary/February+an[...]

Google fjerner apper brukt til annonse-svindel fra Google Play

Google har fjernet skadelige apper i Chamois-familien fra Google Play. Appene lurte brukere til å trykke på annonser ved å manipulere brukerinterfacet eller sende ut SMSer. Malwaren kunne også laste ned andre skadelige apper, uten at brukeren var klar over det. Chamois skjulte seg spesielt godt ved å sette sammen sin egne kode av flere moduler. Den krypterer også konfigurasjonsdata. Google skal nå ha fjernet appene fra sitt marked.
Referanser
https://security.googleblog.com/2017/03/detec[...]
https://threatpost.com/google-eliminates-andr[...]

Tuesday, 14 March 2017

2017.03.14 - Nyhetsbrev

Det er gjennomført en studie av falske "Tech-support" telefoner og det er oppdaget flere 0-dags svakheter i SAP HANA.

Studie av falske "Tech-support" telefoner

En gruppe forskere har studert en rekke falske "tech-support" selsakper, ved å ringe og snakke med de, og samtidig sjekke hvor deres servere og call-sentere er lokalisert. En artikkel fra Wired har mer informasjon om dette, i tillegg til eksempler på faktiske telefonsamtaler forskerne har foretatt.
Referanser
https://www.wired.com/2017/03/listen-tech-sup[...]

Flere 0-dags svakheter oppdaget i SAP HANA

Det er oppdaget flere 0-dags svakheter i produktet SAP HANA. Svakhetene kan gi en angriper full tilgang til systemet, uten noen form for autentisering. Svakheten kan også utnyttes fra eksternt ståsted. Detaljer om svakhetene er så langt kun delt med SAP, men vil bli offentlig tilgjengelige om 90 dager.
Anbefaling
Referanser
https://www.helpnetsecurity.com/2017/03/14/sa[...]

Monday, 13 March 2017

2017.03.13 - Nyhetsbrev

Google har sluppet månedens oppdatering til Android. Forhåndsinstallert malware oppdaget i Android-enheter.

Google har sluppet månedens oppdatering til Android

Google har sluppet sin månedlige oppdatering til Android. Oppdateringen patcher 105 sårbarheter, deriblant 35 rangert som kritiske. Ni av de kritiske svakhetene finnes i media-serveren, altså systemet for å spille av media-filer. Oppdateringen patcher også 35 sårbarheter i Qualcomm-komponenter.
Referanser
https://source.android.com/security/bulletin/[...]

Forhåndsinstallert malware oppdaget i Android-enheter

Nylig oppdaget et større telekommunikasjonsselskap at 38 av deres Android-enheter var infisert av malware. Selv om dette ikke er uvanlig, var opphavet til infiseringen mer spesiell. De infiserte enhetene skal ha blitt levert med malwaren forhåndsinstallert. Enhetene skal ikke ha vært infisert ved utsending fra leverandøren, men blitt infisert et sted i forsyningskjeden. Denne typen hendelser skjer typisk med svært billige Android-enheter.
Referanser
http://blog.checkpoint.com/2017/03/10/preinst[...]

Friday, 10 March 2017

2017.03.10 - Nyhetsbrev

Google slipper sikkerhetsoppdateringer for Chrome

Google slipper sikkerhetsoppdateringer for Chrome

Google slipper sikkerhetsoppdateringer for Chrome. Oppdateringer fikser 36 svakheter, hvor av 9 er klassifisert som "høy".
Referanser
https://chromereleases.googleblog.com/2017/03[...]

Thursday, 9 March 2017

2017.03.09 - Nyhetsbrev

Apache gir ut oppdatering til Struts 2. Apple har patchet svakheter avslørt i WikiLeaks CIA-avsløring. Artikkel om CryptoLocker og en undersøkelse rundt oppdagelse av 0-dags svakheter. Hva skjuler seg i siste CIA lekasjen fra WikiLeaks? The Register har gjennomgått over 8000 dokumenter som ble frigitt.

Apache gir ut oppdatering til Struts 2

Apache har gitt ut en oppdatering til Struts 2 som skal fikse en svakhet som gjorde det mulig for angripere å eksekvere kode på systemet. Svakheten er allerede under aktiv utnyttelse!
Referanser
https://cwiki.apache.org/confluence/display/W[...]
http://blog.talosintelligence.com/2017/03/apa[...]

Apple har patchet mange av svakhetene i iOS fra CIA-dokumentene

Wikileaks ga på tirsdag kveld ut 8 761 dokumenter og filer som de hevder kom fra CIA sitt senter for Cyber Intelligence. I dokumentene er det beskrevet 14 svakheter i iOS, men det er ikke publisert exploit-kode.

Apple har kommet med en uttalelse om at mange av svakhetene som ble beskrevet i disse dokumentene allerede har blitt fikset i senere versjoner av iOS. I tillegg nevner de at de jobber med å fikse resterende svakheter. De nevner ikke noe om hvilke svakheter som er blitt fikset eller når man kan forvente en oppdatering for å fikse de resterende.
Referanser
http://www.theverge.com/2017/3/8/14851266/app[...]

Artikkel med analyse av CryptoLocker

Interessant artikkel med analyse av en CryptoLocker-kampanje lik den som har rammet Norge den siste tiden.
Referanser
http://blog.talosintelligence.com/2017/03/cry[...]

En studie om oppdagelse av 0-dags svakheter.

Rand Corporation har publisert en studie av 0-dags svakheter og exploitkode.
Referanser
https://motherboard.vice.com/en_us/article/ze[...]

Hva skjuler seg i siste CIA lekasjen fraWikiLeaks?

The Register har foretatt en gjennomgang og skrevet en oppsummering av over 8000 dokumenter sluppet av WikiLeaks på tirsdag som omhandler CIA.
Referanser
https://www.theregister.co.uk/2017/03/08/cia_[...]