Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 31 August 2017

2017.08.31 - Nyhetsbrev

Gjennomgang av nye sikkerhetstiltak i Android 8.0 Oreo.

Gjennomgang av nye sikkerhetstiltak i Android 8.0 Oreo

Computerworld har en artikkel der de går igjennom nye sikkerhetstiltak i Android 8.0 Oreo. Denne nye versjonen av Android ble sluppet 21. august, i første omgang kun for Googles egne mobiler.
Referanser
https://www.computerworld.com/article/3220446[...]

Wednesday, 30 August 2017

2017.08.30 - Nyhetsbrev

Dump av over 700 millioner epostadresser. NSM har publisert grunnprinsipper for IKT-sikkerhet. Forskere får utstedet falske sertifikater ved hjelp av BGP hijacking. Tyrkia har arrestert 5 i forbindelse med hacking mot nyhetsbyrå i Qatar.

Dump av over 700 millioner epostadresser

Troy Hunt har fått tilgang til en datadump av 711 millioner epostadresser. Adressene er samlet inn av en såkalt spambot og blir brukt til å sende ut spam-mail. Det skal også finnes noe annen informasjon for noen av adressene i datasettet - som passord og SMTP-server. Alle passordene fantes allerede i databasen til Troy Hunt. IP-adressen til boten er lokalisert i Nederland og det jobbes med lokale myndigheter for å få tatt den ned.
Referanser
https://www.troyhunt.com/inside-the-massive-7[...]
https://benkowlab.blogspot.no/2017/08/from-on[...]

NSM har publisert grunnprinsipper for IKT-sikkerhet

NSM (Nasjonal Sikkerhetsmyndighet) legger i dag frem «Grunnprinsipper for IKT-sikkerhet», som definerer et sett med prinsipper for hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser.
Referanser
https://nsm.stat.no/publikasjoner/rad-og-anbe[...]

Forskere får utstedet falske sertifikater ved hjelp av BGP hijacking

Forskere ved Princeton University har demonstrert i praksis hvordan de kan få utstedt SSL-sertifikater til domener de ikke kontrollere. Dette gjøres ved hjelp av BGP-hijacking i det sertifikatutstederen sjekker domenet. Kun et lite subnett i domenet hijackes, så det er vanskelig å oppdage angrepet.

For å forhindre slike angrep, foreslår forskerne at eierskapet til domenet sjekkes fra flere steder på Internet. Det blir da vanskeligere å gjennomføre BGP-hijackingen, og den blir også enklere å oppdage. Sertifikatutstederen Lets Encrypt har nå innført denne typen sjekk.
Referanser
https://www.cs.princeton.edu/~jrex/papers/hot[...]
https://community.letsencrypt.org/t/validatin[...]

Tyrkia har arrestert 5 i forbindelse med hacking mot nyhetsbyrå i Qatar

I mai ble Qatars statlige nyhetsbyrå QNA hacket og falske nyheter ble lagt ut. Disse nyhetene bidro til den diplomatiske krisen mellom Qatar og flere av nabolandene. Tyrkia har nå arrestert 5 personer de mistenker for å stå bak hacket.
Referanser
http://www.reuters.com/article/us-gulf-qatar-[...]

Tuesday, 29 August 2017

2017.08.29 - Nyhetsbrev

Kundedata lekket fra det svenske hosting-firmaet Loopia. DDoS-funksjonalitet oppdaget i Android-apper.

Kundedata lekket fra det svenske hosting-firmaet Loopia

Det svenske hosting-firmaet Loopia har blitt kompromittert og hele kundedatabasen er lekket. Firmaet ble utsatt for et hacker-angrep den 22. august. Person- og kontaktopplysninger, samt krypterte (hashede) passord har lekket. Loopia har siden endret alle kunders kundenummer og tilhørende passord.
Referanser
https://www.theregister.co.uk/2017/08/29/loop[...]
https://support.loopia.se/wiki/utskick/

DDoS-funksjonalitet oppdaget i Android-apper

Et Distributed Denial of Service-botnett (DDoS) bestående av flere hundre tusen Android-telefoner er nylig oppdaget av sikkerhetsforskere. Botnettet – som har fått navnet «WireX» – skal ha blitt brukt som pressmiddel for å tilrøve seg penger fra ulike domeneeiere verden over. Android-telefonene har blitt infisert gjennom rundt 300 apper som har blitt distribuert via Google Play-markedet.
Referanser
https://www.digi.no/artikler/ble-overrasket-d[...]
https://arstechnica.com/information-technolog[...]

Monday, 28 August 2017

2017.08.28 - Nyhetsbrev

Bloggeren Roy Solberg avdekket feil i Digipost. Valg-stemmene blir talt opp av datamaskiner tilkoblet internett. Cyberkriminalitet relatert til kryptovaluta har kostet flere millioner.

Bloggeren Roy Solberg avdekket feil i Digipost

Bloggeren Roy Solberg har oppdaget en informasjonslekkasje i Digipost. Et API-kall som ikke stilte krav til autentisering kunne brukes til å hente ut data om andre brukere. Blant dataene var bruksmønster, navn og IP-adresse. Digipost fikset problemet i løpet av kort tid og ga en mindre belønning for tipset.
Referanser
http://blog.roysolberg.com/2017/08/digipost-leak

Cyberkriminalitet relatert til kryptovaluta har kostet flere millioner

Totalt har cyberkriminlatitet relatert til kryptovalutaen Ethereum kostet $225 millioner så langt i år. Mer enn 30 000 personer har blitt ofre for Ethereum-relatert cyberkriminalitet, som i gjennomsnitt har mistet $7,500 hver.
Referanser
https://www.bloomberg.com/news/articles/2017-[...]

Valg-stemmene blir talt opp av datamaskiner tilkoblet internett

En rekke kommuner har innført maskinell opptelling av stemmene i norske valg, hvor systemene er tilkoblet internett. Systemene består av vanlige Windows-datamaskiner som er tilkoblet en dokumentskanner. Dette systemet er igjen koblet til en database-server i samme lokale som maskinene som utfører tellingen. Etter tellingen er utført, sendes det krypterte resultatet inn til valgdatasystemet. Valgloven stiller krav til at stemmene telles minst to ganger, men det er ingen krav til manuell telling. Det betyr at kontrolltellingene også kan bli gjort av tellemaskiner. Flere IT-eksperter er skeptiske til løsningen.
Referanser
https://www.nrk.no/norge/teller-opp-stemmer-i[...]

Friday, 25 August 2017

2017.08.25 - Nyhetsbrev

ZERODIUM tilbyr opptil 1/2 milion dollar for svakheter i Signal og WhatsApp.

ZERODIUM tilbyr opptil 1/2 milion dollar for svakheter i Signal og WhatsApp

ZERODIUM, en gruppe som spesialiserer seg på kjøp og salg av 0-dags svakheter, har sagt at de tilbyr opptil 1/2 milion dollar for svakheter i de populære krypterte meldingsapplikasjonene Signal og WhatsApp.
Referanser
http://mashable.com/2017/08/23/whatsapp-signa[...]

Thursday, 24 August 2017

2017.08.24 - Nyhetsbrev

Kaspersky Lab publiserer spam og phishing rapport for Q2.

Kaspersky Lab med spam og phishing rapport for Q2.

Kaspersky Lab har gitt ut rapporten "Spam and phishing in Q2 2017", der man bl.a kan lese at kriminelle forsøkte å sko seg på WannaCry-utbruddet tidligere i år.
Referanser
https://securelist.com/spam-and-phishing-in-q[...]
https://www.kaspersky.com/about/press-release[...]

Wednesday, 23 August 2017

2017.08.23 - Nyhetsbrev

Mer enn 500 apper trukket fra Google Play etter funn av bakdør.

Mer enn 500 apper trukket fra Google Play etter funn av bakdør

Dette skriver Lookout Security Intelligence i et blogginnlegg. Svakheten ligger i en SDK (Software Development Kit) kalt lgexin som ser ut til å ha vært populær blant flere apputviklere. Det som gjør denne saken litt spesiell er at bakdøren ikke er en funksjonalitet som appuviklerne selv har lagt til, men at den er en del av SDKen som de bruker i utviklingen av appen. I dette tilfellet var den en type SDK som skal gjøre det enklere for utviklerne å vise reklame.

Sårbarheten ligger i SDKen sitt plugin rammeverk og gjør at klienten (mobiltelefonen) kjører ondsinnet kode basert på responser den får fra det eksterne REST APIet den kontakter. Koden som lastes ned er under ekstern kontroll og kan endres av de som styrer APIet. Hva koden kan gjøre er selvsagt begrenset av sikkerhetsinntillingene i android for den aktuelle appen. I det mest alvorlige tilfellet skal Lookout Security Intelligence ha funnet en plugin som henter ut telefonlogger.

Apper som inneholder den sårbare SDKen skal ha vært alt fra spill til vær og internett radio apper. Noen av dem hadde opp mot 100 millioner nedlastninger.
Referanser
https://blog.lookout.com/igexin-malicious-sdk

Tuesday, 22 August 2017

2017.08.22 - Nyhetsbrev

Valutaplattformen Enigma hacket. Kritiske svakheter er fikset i Thunderbird 52.3.

Valutaplattformen Enigma hacket

Hackere har svindlet investorer i valuttaplattformen Enigma. Dette ble gjort ved at hackere kompromitterte Enigmas websider, e-post servere og Slack channel, for så offentliggjøre meldinger om forhåndssalg hvor deres egen digitale lommebok var mottaker av pengene. De mottok flere millioner kroner før svindelen ble oppdaget. Angriperne kom seg inn siden én av de ansatte gjenbrukte gamle passord og ikke brukte to-faktor-autentisering.
Referanser
http://www.theregister.co.uk/2017/08/21/enigm[...]

Kritiske svakheter er fikset i Thunderbird 52.3

Mozilla har gitt ut en ny oppdatering til Thunderbird, som fikser en rekke svakheter, blant annet 2 kritiske (CVE-2017-7800, CVE-2017-7801). Svakhetene kan føre til potensielt utnyttbar krasj.
Anbefaling
Det anbefales å oppdatere til nyeste versjon, Thunderbird 52.3.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Monday, 21 August 2017

2017.08.21 - Nyhetsbrev

Kritiske svakheter i Foxit PDF Reader

Kritiske svakheter i Foxit PDF Reader

Sikkerhetsforskere har avdekket to kritiske svakheter (CVE-2017-10951 og CVE-2017-10952) i Foxit Reader. Dersom en spesiallaget fil ikke åpnes i Safe Mode, vil den kunne kjøre vilkårlig kode på offerets maskin. Det er ikke utgitt fikser for svakhetene.
Anbefaling
Det anbefales at man dobbeltsjekker at man har aktivert Safe Mode og at man er forsiktig med å åpne vedlegg man får på epost.
Referanser
http://thehackernews.com/2017/08/two-critical[...]

Friday, 18 August 2017

2017.08.18 - Nyhetsbrev

Utviklerkontoer til populære Chrome-utvidelser tatt over av cyberkriminelle. Ny variant av Locky-løsepengevirus omgår antivirus.

Utviklerkontoer til populære Chrome-utvidelser tatt over av cyberkriminelle

I slutten av juli og begynnelsen av august ble utviklerkontoer tilknyttet 8 populære Chrome-utvidelser overtatt av kriminelle. Kontoene ble brukt til å distribuere manipulerte versjoner av utvidelsene. Over 4.7 millioner brukere kan være berørt.

Kontoene ble stjålet ved at angriperne brukte phishing-eposter for å få tilgang. Det ble lagt inn kode i utvidelsene som byttet ut legitim reklame på nettsteder med annen reklame, for det meste pornografiske nettsteder. I teorien kan de også ha hentet inn innloggingsdetaljer fra sluttbrukere.

De kompromitterte utvidelsene er:

Web Developer - 1,044,016 brukere
Chrometana - 597,577 brukere
Infinity New Tab - 476,803 brukere
CopyFish - 37,397 brukere
Web Paint - 53,930 brukere
Social Fixer - 182,083 brukere
TouchVPN - 1,031,690 brukere
Betternet VPN - 1,334,517 brukere
Referanser
http://securityaffairs.co/wordpress/62090/hac[...]

Ny variant av Locky-løsepengevirus omgår antivirus

Fra 9. til 11. august, havnet løsepengeviruset kalt IKARUSdilapidated i titusenvis av innbokser ifølge Comodo Threat Intelligence Lab. Innholdet er en fil med navn "E 2017-08-09 (580).vbs" hvor 580 og ".vbs" kan endre seg fra mail til mail. Hvis filen lastes ned og kjøres, laster denne ned et dokument. Når brukeren åpner dokumentet, ser det ut til å være fylt med tilfeldige tegn, og det inkluderer teksten "Enable macro if data encoding is incorrect". Dersom brukeren slår på makroer, lagres og kjøres en eksekverbar fil som laster ned det virkelige løsepengeviruset.

Etter at en klient er infisert, blir brukeren bedt om laste ned TOR-nettleseren for å besøke en betalingsside. Løsepengesummen er fra 0.5 til 1 Bitcoin (ca 16980 til 33960 NOK).
Referanser
https://threatpost.com/locky-ransomware-varia[...]

Thursday, 17 August 2017

2017.08.17 - Nyhetsbrev

Norsk mobilapp muliggjorde uthenting av fødselsnummer. Flere alvorlige svakheter i Drupal Core. Cisco fikser svakheter i flere produkter.

Norsk mobilapp muliggjorde uthenting av fødselsnummer

Appen "Trygg Reise" fra Tryg forsikring hadde manglende autentisering mot et bakenforliggende system. Ved hjelp av en proxy, var det mulig å få hentet ut informasjon om bileiere ved å slå opp på skilt-nummer. Info som kunne hentes ut var navn, adresse, forsikringer og fødselsnummer.
Referanser
https://www.digi.no/artikler/norsk-mobilapp-a[...]

Flere alvorlige svakheter i Drupal Core

Det har blitt sluppet en ny versjon av publiseringssystemet Drupal som utbedrer tre svakheter. En av svakhetene har blitt rangert som "kritisk".
Anbefaling
Oppdater til Drupal v8.3.7.
Referanser
https://www.drupal.org/SA-CORE-2017-004

Cisco fikser svakheter i flere produkter

Cisco fikser svakheter i produktene "Application Policy Infrastructure Controller" og "Virtual Network Function Element Manager".
Anbefaling
dfg
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 16 August 2017

2017.08.16 - Nyhetsbrev

Telenor utgir rapporten "Digital Sikkerhet 2017".

Bakdør funnet i flere produkter fra NetSarang.

Det omfattende utpressingsangrepet "NotPetya" i juni kan komme til å koste Maersk Line opptil to milliarder kroner.

Bakdør funnet i flere NetSarang produkter.

KasperskyLabs oppdaget tidligere i juni en bakdør lagt inn i server-håndteringssystemer fra NetSarang. Bakdøren ble oppdaget etter mistenkelige DNS-spørringer fra servere som brukte NetSarang produkter. Bakdøren er fjernet i nyeste oppdateringer.
Referanser
https://securelist.com/shadowpad-in-corporate[...]

Telenor utgir rapporten "Digital Sikkerhet 2017"

En ny rapport fra Telenor Norge kaster lys over risikoer og utfordringer Norge står overfor når avanserte trusselaktører utnytter cyberspace.
Referanser
http://www.mynewsdesk.com/no/telenor/pressrel[...]
https://www.telenor.no/om/digital-sikkerhet/
http://

Utpressingsangrepet "NotPetya" kan koste Maersk Line opptil to milliarder kroner.

Shippingfirmaet Maersk Line skriver i deres kvartalsrapport for Q2 at utpressingsangrepet "NotPetya", som rammet dem i slutten av juni, kan koste selskapet så mye som 200-300 millioner dollar.
Referanser
https://www.digi.no/artikler/dataangrepet-kan[...]
http://investor.maersk.com/releasedetail.cfm?[...]

Tuesday, 15 August 2017

2017.08.15 - Nyhetsbrev

PostgreSQL fikser tre svakheter og over 50 feil i siste oppdatering. Svakhet fra patche-tirsdag i Windows har orme-potensiale.

PostgreSQL fikser tre svakheter og over 50 feil i siste oppdatering

Siste ukes oppdatering fikset en svakhet som aksepterte blanke passord. Det anbefales å oppgradere.
Referanser
http://www.securityweek.com/password-flaws-pa[...]

Svakhet fra patche-tirsdag i Windows har orme-potensiale

CVE-2017-8620, fikset i august-oppdateringen fra Microsoft, har potensiale til kunne benyttes til spredning av ormer. Svakheten gir angriper muligheten til å oppgradere rettigheter og fra eksternt ståsted angripe og kjøre kode. Alle Windows versjoner er påvirket svakheten utnyttes via SMB. Vi anbefaler å oppgradere.
Referanser
https://threatpost.com/windows-search-bug-wor[...]

Monday, 14 August 2017

2017.08.14 - Nyhetsbrev

Sikkerhetsoppdateringer til Symantec Messaging Gateway. Spoofing av GPS-signaler narret navigasjonsutstyret til flere titalls skip. Hackergruppen APT28 hacket gjester på hoteller i Europa og Midtøsten.

Hackergruppen APT28 hacket gjester på hoteller i Europa og Midtøsten

Den russisktalende hackergruppen APT28 skal, i følge forskere, ha lurt gjester ved hoteller i Europa og Midtøsten til å laste ned skjemaer som likner på hotellenes egne skjemaer. Disse filene installerer skadevaren Gamefish som igjen sprer seg videre over nettet ved hjelp av svakheten i SMB-protokollen brukt i NSA sitt EternalBlue-verktøy. Målet for angrepene skal ha vært forretningsfolk og politikere. Det anbefales på et generelt grunnlag at man unngår å bruke offentlige, åpne nettverk.
Referanser
https://threatpost.com/apt28-using-eternalblu[...]

Spoofing av GPS-signaler narret navigasjonsutstyret til flere titalls skip

Den siste tiden er det rapportert om flere skip som feilrapporterer posisjonen sin. Det mistenkes at flere av hendelsene skyldes russisk testing av et nytt system for GPS-spoofing. Slik spoofing av GPS-signaler kan misbrukes til mange formål, blant annet GPS-avhengige raketter brukt av militæret.
Referanser
https://www.digi.no/artikler/falske-gps-signa[...]
https://www.newscientist.com/article/2143499-[...]

Sikkerhetsoppdateringer til Symantec Messaging Gateway

Symantec har oppdaget og fikset to sikkerhetshull i Symantec Messaging Gateway. Den ene feilen er klassifisert som alvorlig og gjør det mulig for en angriper å kjøre uautorisert kode eksternt. I verste fall kan dette føre til at en angriper får tilgang til maskinen.
Anbefaling
Oppdater Symantec Messaging Gateway 10.6.3-267
Referanser
https://www.symantec.com/security_response/se[...]

Friday, 11 August 2017

2017.08.11 - Nyhetsbrev

Sårbarheter i Juniper Networks Junos OS

Sårbarheter i Junipers JunOS

Det er oppdaget sårbarheter (CVE-2017-2347 / CVE2016-3074) i operativsystemet tilhørende Juniper Networks routere som kjører Junos OS. Sårbarhetene åpner for heap-overflow og tjenestenekt.

Juniper har sluppet oppdateringer som tetter svakhetene.
Anbefaling
Oppdater berørte systemet.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

Thursday, 10 August 2017

2017.08.10 - Nyhetsbrev

Data fra Carbon Blacks EDR-tjeneste hentet ut via Virus Total sitt 3-parts API.

Carbon Black anklaget for å ha lekket kundedata

Sensitiv bedriftsdata fra kunder beskyttet av Carbon Black Endpoint Detection and Response (EDR)-løsning har blitt funnet på Virus Total i følge Direct Defense. Lekkasjen har blitt knyttet til en API-nøkkel som Direct Defence sier tilhører Carbon Black Cb Response. Selv om EDR-løsningen endrer navn på filene ved hjelp av hashing, blir filene fremdeles lagret hos Virus Total. Ved å abonnere på data fra Virus Total, kan en laste ned tidligere opplastede filer. Det er på denne måten DirectDefence fant filene lastet opp fra Carbon Black.

Carbon Blacks CTO Michael Viscuso kom på banen etter avsløringene. Han opplyser at Carbon Black ikke laster opp filer til Virus Total i standard konfigurasjon. Dette er funksjonalitet som kan slås på for brukere som ønsker dette. Dersom brukeren prøver å slå på funksjonen, advares det også mot at tredjeparter kan få tak i filene som lastes opp. Mange andre sikkerhetsverktøy laster også opp ukjente filer til Virus Total og andre sikkerhetsjenester.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.carbonblack.com/2017/08/09/direct[...]
https://blog.savagesec.com/words-have-meaning[...]

Wednesday, 9 August 2017

2017.08.09 - Nyhetsbrev

Denne månedens sikkerhetsoppdateringer er ute. Det er en mengde sikkerhetsoppdateringer for Android, Windows-produkter, Firefox, Adobe-produkter og SAP.

Firefox versjon 55 med flere kritiske oppdateringer

Firefox 55 er sluppet med 30 sikkerhetsoppdateringer. Av disse er 5 kategorisert som kritiske. De kritiske oppdateringene omhandler flere forskjellig svakheter, blant annet en svakhet (CVE-2017-7798) i developer-tools som kan tillate eksekvering av kode ved hjelp av en ondsinnet webside.

WebSockets er også berørt (CVE-2017-7800), der en use-after-free svakhet kan oppstå om objektet som opprettholder tilkoblingen blir frigjort før frakoblingsprosedyren er ferdig. Dette kan føre til en kræsj som kan utnyttes.

En annen use-after-free svakhet kan også oppstå om brukeren endrer størrelsen på et vindu når siden inneholder et marquee-element. Dette kan skje fordi det oppdaterte style-objektet blir frigjort mens det er i bruk.
Anbefaling
Oppdater berørte systemer
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Google patchet 10 kritiske svakheter i Android

Google patchet 10 kritiske sårbarheter i sine månedlige sikkerhetsoppdatering for Android. I alt ble det rettet 49 svakheter. Mange av svakhetene er knyttet til Android sitt mediarammeverk, som består av blant annet MediaServer, AudioServer og CameraServer. Oppdateringen fikset også en rekke sårbarheter knyttet til Android sine Kernel komponenter, og chipset produsert av MediaTek, Broadcom og Qualcomm.
Anbefaling
Installer oppdatering.
Referanser
https://threatpost.com/google-patches-10-crit[...]

25 kritiske svakheter i denne månedens oppdateringer fra Microsoft

Microsoft har sluppet 48 sikkerhetsoppdateringer for August. Dette inkluderer oppdateringer for Windows, Internet Explorer (IE), Edge, Linux subsystem, Kernel, SharePoint, SQL-Server og Hyper-V. Av 48 oppdateringer er 25 listet som kritiske.

En feil i SMB (CVE-2017-8620) gir en angriper mulighet til å eksekvere kode på en ekstern host gjennom en ondsinnet SMB-spørring. Denne regnes av mange som denne månedenes viktigste oppdatering.

I Hyper-V er det oppdaget en svakhet (CVE-2017-8664) som muliggjør ekstern kodeeksekvering. Svakheten er et resultat av manglende validering av input sendt av autentiserte brukere på et gjesteoperativsystem. Dette kan gi en angriper tilgang til den underliggende hypervisoren.

Microsofts egen JavaScript-motor Chakra, som er integrert i blant annet Microsoft Edge, har en svakhet (CVE-2017-8641) som lar en angriper eksekvere kode eksternt. Dette gjøres ved hjelp av tilpassede websider eller filer. Svakheten ligger i håndtering av JavaScript sin eval-funksjon, der manglende validering fører til en buffer-overflow. Dette gir mulighet for å eksekvere programkode i konteksten til applikasjonen.

Ekstern kodeeksekvering (CVE-2017-8635) er mulig i Microsoft Edge og Internet Explorer 10-11 ved å utnytte måten JavaScript-motoren håndterer objekter i minnet. Svakheten utnyttes ved hjelp av en spesielt tilpasset nettside, og kan gi en angriper full kontroll over systemet.

En annen ekstern rettighetseskalerings (CVE-2017-8653) er oppdaget i Microsoft Internet Explorer. Svakheten krever at bruker besøker en spesiallaget side som utnytter måten Internet Explorer håndterer HTML-dokumenter. Angriper kan potensielt få tilgang til minne, og videre eksekvere kode under konteksten til brukeren.

En ekstern kodeeksekvering-svakhet (CVE-2017-0250) finnes også i Microsoft Windows. Svakheten lar en angriper eksekvere kode når bruker besøker en spesiallaget webside. Den spesifikke svakheten eksisterer i Microsoft Jet Engine Libray og er et resultat av manglende validering av input. Svakheten gir angriper tilgang på nivå med bruker.

I Windows PDF Library er det oppdaget en svakhet (CVE-2017-0293) som tillater ekstern kodeeksekvering. Svakheten utnytter manglende validering i prosesseringen av JPEG2000 bildefiler. En angriper oppnår tilgang på nivå med prosessen selv.

I Microsoft RDP eksisterer det en DOS-svakhet (CVE-2017-8673) som lar en angriper sende en spesielt utformet spørring som fører til at tjenesten blir utilgjengelig.
Anbefaling
Oppdater berørte systemer.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://www.zerodayinitiative.com/blog/2017/8[...]

Denne månedens oppdateringer fra Adobe

Denne måneden har Adobe gitt ut to kritiske oppdateringer for Adobe Flash, Adobe Digital Edition, Adobe Reader samt en viktig oppdatering for Adobe Experience Manager.

For Adobe Flash er oppdateringen ganske liten, mens for Adobe Reader er oppdateringen større ettersom den omhandler 43 kritiske og 24 viktige sikkerhetshull. De fleste er relatert til korrupt minne, som gir en angriper muligheten til å eksekvere ondsinnet kode. Utnyttelse krever at bruker åpner en spesiallaget fil.

For Adobe Digital Edition er det to kritiske og syv viktige sikkerhetshull som fikses. Disse omhandler informasjonsavsløring på grunn av lekkede minneadresser.

For Experience Manager er det tre forskjellige problemer som fikses.
Anbefaling
Installer oppdatering.
Referanser
https://www.zerodayinitiative.com/blog/2017/8[...]
https://helpx.adobe.com/security/products/exp[...]

SAP fikser 19 sikkerhetshull i sine produkter

SAP ga denne uken ut en oppdatering for sine produkter for å fikse totalt 19 sikkerhetshull. De fleste sikkerhetshullene som er fikset denne måneden er relatert til cross-site-scripting.
Anbefaling
Installer oppdatering.
Referanser
http://www.securityweek.com/sap-resolves-19-v[...]
https://blogs.sap.com/2017/08/08/sap-security[...]

Tuesday, 8 August 2017

2017.08.08 - Nyhetsbrev

HBO utsatt for pengeutpressing etter datainnbrudd.

HBO utsatt for pengeutpressing etter datainnbrudd

Mediaselskapet HBO har blitt utsatt for et datainnbrudd. Hackerne påstår at de har stjålet 1.5TB med data over lengre tid. Som bevis har de sluppet diverse interne data, som manuskript til TV-serier, interne eposter, finansdata, kontrakter osv. De krever nå en ukjent pengesum for ikke å offentliggjøre mer informasjon.
Referanser
https://www.wired.com/story/hbo-hack-ransom-note/

Monday, 7 August 2017

2017.08.07 - Nyhetsbrev

Microsoft venter med å oppdatere kjent SMB-sårbarhet i Windows. Sikkerhetsforsker lagde enkel IMSI-catcher for 60 kroner. Nytt virus på Facebook.

Microsoft venter med å oppdatere kjent SMB-sårbarhet i Windows

Microsoft vil vente med å rette opp kjent sårbarhet i nettverksprotokollen SMB (Server Message Block). Sårbarheten, som har fått navnet SMBLoris, gjør det mulig for en angriper å utføre tjenestenektangrep (DoS) mot maskiner med SMB-støtte, uten å være en autorisert bruker. To ulike team hos Microsoft skal ha vurdert sårbarheten, og konkludert med at den ikke er alvorlig nok til å bli rettet opp i en sikkerhetsoppdatering. Microsoft opplyser om at sårbarheten vil bli fikset i en fremtidig utgave av Windows. Sårbarheten ble varslet 2. juni tidligere i år, og eksisterer i alle nyere versjoner av Windows.
Referanser
https://www.digi.no/artikler/microsoft-vil-ve[...]

Sikkerhetsforsker lagde enkel IMSI-catcher for 60 kroner

Keld Norman, som jobber som sikkerhetskonsulent hos danske Dubex, har laget en IMSI-catcher som kan fange opp såkalte IMSI-nummer. IMSI-nummer er en unik identifikator for en bruker tilknyttet mobilnettet. Dette gjør at man kan registrere hvilke SIM-kort, og dermed mobiltelefoner, som er koblet opp til nærmeste mobilbasestasjon på et gitt tidspunkt. Ved hjelp av dette kan IMSI-catcheren brukes til å avsløre en persons lokasjon på det bestemte tidspunktet. Å kunne fange opp IMSI-nummer er i seg selv ikke noe nytt, men forskjellen ligger i at det har blitt betydelig billigere og enklere å lage sin egen IMSI-catcher. IMSI-catcheren egner seg best på steder hvor det ikke er så mange brukere, men dersom man klarer å prosessere alle dataene kan det i teorien også brukes i storbyer.
Referanser
https://www.digi.no/artikler/sikkerhetsforske[...]

Nytt virus på Facebook

Det har blitt observert et nytt virus på Facebook som oppretter og sender meldinger til brukerens venner. Meldingene inneholder en emoji og en link til en ekstern side, hvor brukeren blir spurt om å legge til en Chrome extension. Dette tilleggsprogrammet henter så informasjon fra Facebook-profilen. I tillegg fjerner den lenken for å bytte passord, slik at det skal være vanskeligere for infiserte brukere å bytte passord. Viruset begynte å spre seg før helgen, og har blitt betydelig mer synlig i løpet av de siste dagene. Infiserte brukere anbefales å avinstallere dette tilleggsprogrammet, og skifte passord på via følgende link: https://www.facebook.com/settings?tab=security
Referanser
http://www.nettavisen.no/na24/propaganda/viru[...]
https://www.datahjelperne.no/facebook-messeng[...]

Friday, 4 August 2017

2017.08.04 - Nyhetsbrev

306 millioner passord tilgjengelig for nedlastning. Mannen som stoppet WannaCry arrest i USA. Nettleserutvidelsen Web Developer kompromittert. Bitcoins fra WannaCry-angrepet blir konvertert til Monero.

306 millioner passord tilgjengelig for nedlastning

Sikkerhetsforsker Troy Hunt har gjort tilgjengelig 306 millioner passord som ved tidligere hackerangrep har blitt kompromittert. Hunt anbefaler utviklere å lage systemer som nekter nye brukere å opprette kontoer med passord fra listen. Det er ikke de originale passordene som ligger i listen, men en SHA-1 basert hash av dem.
Referanser
https://www.troyhunt.com/introducing-306-mill[...]
https://www.digi.no/artikler/er-ditt-passord-[...]

Mannen som stoppet WannaCry arrest i USA

Sikkerhetsforsker Marcus Hutchins, også kjent under aliaset MalwareTech, ble onsdag arrestert av FBI på en flyplass i Las Vegas. Hutchins er kjent for å være mannen som stoppet WannaCry-viruset tidligere i år. Nå er han siktet for å ha utviklet og solgt skadevaren Kronos, som tidligere har rammet finanssektoren. Mange har trodd at Kronos stammet fra Russland, men dette trekkes nå i tvil.
Referanser
https://www.theregister.co.uk/2017/08/03/wann[...]
https://threatpost.com/wannacry-hero-arrested[...]
https://www.nytimes.com/2017/08/03/technology[...]

Nettleserutvidelsen Web Developer kompromittert

Chrome-versjonen av nettleserutvidelsen Web Developer ble kompromittert av hackere etter at utvikleren selv gikk på et phishing-angrep. Angriperne lastet opp en modifisert versjon av utvidelsen som injiserte reklame i brukerens nettleser. Det har vært en trend i det siste at populære nettleser-tillegg har blitt kompromittert. Slike utvidelser har ofte rettigheter til å avlytte trafikk og tastetrykk i nettleseren.
Referanser
https://www.tripwire.com/state-of-security/fe[...]

Bitcoins fra WannaCry-angrepet blir konvertert til Monero

Bitcoins verdt 108.000 pund har blitt hentet ut fra de tre Bitcoin-lommebøkene assosiert med WannaCry-angrepet. Firmaet Elliptic opplyser at de har blitt konvertert til kryptovalutaen Monero, der det er vanskeligere å spore transaksjoner.
Referanser
https://www.theguardian.com/technology/2017/a[...]

Thursday, 3 August 2017

2017.08.03 - Nyhetsbrev

Kryptowire advarer mot lavkostnadstelefoner.

Produsenter av lavkostnadstelefoner selger personlig informasjon

Kryptowire mener flere modeller fra telefonprodusentene BLU og Cubot sine Android-telefoner sender store mengder sensitiv informasjon til servere i Kina. Produsenter av lavkostnadstelefoner selger ofte personlig informasjon innhetet fra telefonene for å senke kostnadene, og det er derfor bekymringer for sikkerheten på slike telefoner. Telefonene det er snakk om skal normalt ikke være til salgs i Norge.
Referanser
https://arstechnica.com/information-technolog[...]

Tuesday, 1 August 2017

2017.08.01 - Nyhetsbrev

Ansatt hos FireEye/Mandiant hacket, ny banktrojaner for Android og flere svakheter i produkter fra Trend Micro.

Ansatt hos FireEye/Mandiant hacket

Sikkerhetsanalytikeren Adi Perez, en ansatt i selskapet Mandiant, skal ha blitt utsatt for et hackerangrep. Angriperne hevder de har hatt tilgang til Perez sin datamaskin i over et år. Ved hjelp av nettstedet pastebin.org har angriperne lekket interne dokumenter fra Mandiant, samt innhold fra Perez sin epost-konto og sosiale nettverk. Angriperne advarer andre sikkerhetsanalytikere om at de personlig vil være mål i framtiden, og ikke bare firmaene de jobber for.
Referanser
https://thenextweb.com/insider/2017/07/31/hac[...]
https://pastebin.com/6HugrWH4
http://money.cnn.com/2017/07/31/technology/ma[...]

Ny banktrojaner for Android benytter seg av accessibility services

Securelist skriver om en ny trojaner for Android som benytter seg av accessibility services for å ta bilder av skjermen og logge tastetrykk.
Referanser
https://securelist.com/a-new-era-in-mobile-ba[...]

Flere svakheter i produkter fra Trend Micro

Zero Day Initiative har publisert informasjon om svakheter i følgende produkter fra Trend Micro: Interscan Messaging Security Proxy, Deep Discovery Email Inpector og Control Manager. Trend Micro har sluppet patcher for berørte produkter.
Anbefaling
Installer oppdatering
Referanser
http://www.zerodayinitiative.com/advisories/p[...]