Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 31 March 2017

2017.03.31 - Nyhetsbrev

Skype leverer ransomware via annonser. 8,3 millioner IIS 6.0 webservere sårbare gjennom 0-dags sårbarhet. 90% av smart-TV apparater sårbare for angrep gjennom falske tv-signaler.

Skype har levert ransomeware via annonser

Skype har levert annonser til sluttbruker som kan medføre nedlasting av ransomware. Flash-annonsene kan, hvis de blir åpnet, servere fiendtlig kode til klientmaskinen.
Referanser
http://www.zdnet.com/article/skype-served-up-[...]

0-dags svakhet i IIS 6.0 gjør millioner av webservere sårbare

En ny 0-dags sårbarhet i IIS 6.0 gjør millioner av webservere sårbare mot angrep. Svakheten er bekreftet utnyttet i juli 2016. Målinger tilsier at over 8,3 millioner webservere bruker IIS 6.0. Sårbarheten ligger i komponenten "Webdav". Vi anbefaler å slå av denne komponenten på eldre IIS-servere.
Anbefaling
Diable WebDAV om mulig.
Referanser
http://securityaffairs.co/wordpress/57513/hac[...]

90% av Smart-TV apparatene er sårbare for angrep via falske tv-signaler

Veldig mange smart-TV enheter er sårbare for angrep via falske TV-signaler. Disse kan leveres via luft, kabel eller IPTV. Tidligere var slike enheter sårbare hvis man hadde fysisk tilgang, men nå viser det seg at angripere kan få tilgang gjennom TV-sendinger.

Forskjellige typer TV-sendinger støtter HbbTV-standarden. I denne standarden ligger det en mulighet for å be nettleseren på TVen om å åpne en spesiell URL. Den innebyggede nettleseren i en TV er ofte gammel og sårbar. En sikkerhetsforsker har klart å ta kontroll over TVer ved hjelp av svakheter i Flash og JavaScript.
Anbefaling
Begrens enhetens unødvendige tilkoblinger til tv mottakere og andre enheter som kan levere tv-signaler.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Thursday, 30 March 2017

2017.03.30 - Nyhetsbrev

Google oppdaterer Chrome. Analyse av LuminosityLink Remote Access Trojan.

Sikkerhetsoppdatering for Chrome

Google har sluppet en oppdatering for Chrome. Oppdateringen fikser 5 svakheter, hvor én har kritisk viktighet.
Referanser
https://chromereleases.googleblog.com/2017/03[...]

Analyse av LuminosityLink RAT (Remote Access Trojan)

Palo Alto har tatt en gjennomgang av konfigurasjonen av LuminosityLink RAT. Dette er en trojaner som også markedsføres og selges for $40 som et verktøy for systemadministrasjon.
Referanser
http://researchcenter.paloaltonetworks.com/20[...]

Wednesday, 29 March 2017

2017.03.29 - Nyhetsbrev

VMware ute med viktige oppdateringer og forsvarsministeren presenterer nytt senter mot digitale trusler. NSM har også lagt fram sin årlige rapport Risiko 2017.

VMware ute med viktige oppdateringer

VMware er ute med viktige oppdateringer til ESXi, Workstation og Fusion for å fikse tre rapporterte bugs. Den mest kritiske bugen resulterer i heap buffer overflow og kan føre til kjøring av kode på hosten.
Referanser
http://www.vmware.com/security/advisories/VMS[...]
https://www.theregister.co.uk/2017/03/29/vmwa[...]

NSM har lagt fram sin årlige rapport Risiko 2017

I dag legger Nasjonal sikkerhetsmyndighet frem sin rapport “Risiko 2017: Risiko og sårbarheter i en ny tid”.

– Norge er et trygt land, men for å beskytte verdiene våre må vi redusere sårbarhetene, sier direktør Kjetil Nilsen i Nasjonal Sikkerhetsmyndighet (NSM).
Referanser
https://www.nsm.stat.no/aktuelt/risiko-2017/
https://www.nsm.stat.no/globalassets/rapporte[...]

Nytt senter mot dataangrep har åpnet

Forsvarsminister Ine Eriksen Søreide (H) fortalte under åpningen av NSMs sikkerhetskonferanse i Oslo kongressenter i går at et nytt senter mot digitale trusler skal bli operativt fra fredag. Dette koordineringssenteret er et samarbeid mellom Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet, E-tjenesten og Kripos. Målet er å styrke evnen til å motvirke truslene i det digitale rom.
Referanser
https://www.digi.no/artikler/nytt-senter-mot-[...]

Tuesday, 28 March 2017

2017.03.28 - Nyhetsbrev

Apple er ute med oppdateringer til hele sitt økosystem. FireEye presenterer oppdatert analyse av APT29. Lets Encrypt kritiseres for å gjøre det enklere å få phishing-sider til å fremstå som legitime. LastPass jobber med å tette svakhet.

Programvareoppdateringer fra Apple


Apple har utgitt oppdateringer til iOS, macOS (OS X), wachOS og tvOS. Oppdateringene inneholder både ny funksjonalitet og sikkerhetsoppdateringer. Mange av sårbarhetene som tettes berører Safari og macOS Server.
Referanser
https://support.apple.com/en-us/HT201222
https://techcrunch.com/2017/03/27/apple-relea[...]
https://www.us-cert.gov/ncas/current-activity[...]
https://isc.sans.edu/diary/22241

APT29 bruker domain fronting for å skjule seg


Mandiant har observert at den russisk-tilknyttede trusselaktøren APT29 har benyttet domain fronting-teknikker i over to år for å kunne bruke bakdører i stillhet. Ved å kombinere domain-fronting og TOR-pluginen "meek" kan aktøren forkle ondsinnet trafikk som legitime forespørsler til populære nettsider som google.com.
Referanser
https://www.fireeye.com/blog/threat-research/[...]
https://medium.com/@pmvk/domain-fronting-a-te[...]

Lets Encrypt misbrukes til phishing i stor skala


Lets Encrypt har gjort det enklere for nettsteder å ta i bruk SSL ved å tilby gratis sertifikater med liten grad av verifisering. Den eneste verifikasjonen som gjøres av Lets Encrypt for å unngå å utstede sertifikater til phishing-nettsteder er å spørre Googles Safebrowsing-tjeneste. Dette har resultert i at titusener av phishing-nettsteder har benyttet Lets Encrypt til å tilføre falsk legitimitet. Det er viktig å huske at sertifikater fra Lets Encrypt kun viser at forbindelsen er kryptert, ikke at du kan stole på den du kommuniserer med.
Referanser
https://www.digi.no/artikler/let-s-encrypt-ha[...]
https://www.thesslstore.com/blog/lets-encrypt[...]
https://www.bleepingcomputer.com/news/securit[...]

LastPass jobber igjen med sikkerhetsoppdatering


LastPass melder at de jobber med sårbarheten i sin nettleserplugin som ble avdekket i helgen og at oppdatering er på vei.
Referanser
https://blog.lastpass.com/2017/03/security-up[...]

Monday, 27 March 2017

2017.03.27 - Nyhetsbrev

Det har vært en rolig helg.

Det er ingen nye saker siden sist.


Friday, 24 March 2017

2017.03.24 - Nyhetsbrev

30.000 sertifikater fra Symantec med for høy validering. Sto Nord-Korea bak innbruddet i Bangladesh sin sentralbank?

30.000 sertifikater fra Symantec med for høy validering

Google har over flere år sette seg lei på at Symantec ikke klarer å utføre den forventede valideringen av sertifikater de utsteder til kjøpere. Derfor har Google nå besluttet å ikke stole på disse sertifikatene i like stor grad som de egentlig var tiltenkt. Dette vil en først og fremst merke i Google Chrome. Totalt er det snakk om minst 30 000 sertifikater utstedt av Symantec og deres forhandlere.
Referanser
https://groups.google.com/a/chromium.org/foru[...]
http://news.softpedia.com/news/google-says-sy[...]
https://www.digi.no/artikler/mengder-av-netts[...]

Sto Nord-Korea bak innbruddet i Bangladesh sin sentralbank?

I begynnelsen av 2016 ble sentralbanken i Bangladesh angrepet og bakmenn klarte å stjele 81 millioner USD. Nå anklager Justisdepartementet i USA fire kinesiske statsborgere, som alle har tilknytninger til Nord-Korea, for å hjelpe til med tyveriet. Med dette mener USA at Nord-Korea står bak tyveriet, noe flere sikkerhetseksperter allerede har ment i lang tid.
Referanser
http://www.bankinfosecurity.com/blogs/report-[...]

Thursday, 23 March 2017

2017.03.23 - Nyhetsbrev

En svakhet er oppdaget i LastPass. En russer har erklært seg skyldig i utvikling og spredning av malware og en litauer er arrestert for phising. Google har også kommet med en sikkerhetsrapport for Android i 2016 og planlegger å sende ut hyppigere sikkerhetsoppdateringer til sine telefoner. Cisco har kommet med oppdatering til sine OS.

Svakhet oppdaget i LastPass

En sikkerhetsekspert har oppdaget to sikkerthetshull i LastPass sine nettlesertillegg. For å kunne utnytte svakhetene måtte angriper ha lurt brukere til et fiendtlig nettsted, for deretter å gjøre kall mot LastPass sitt API. LastPass konkluderer med at ingen sensitiv data skal være tapt, og at feilen skal være patchet for alle de utsatte nettleserne. Til tross for at oppdateringen skal ha skjedd automatisk hos de fleste brukere, anbefales det å sjekke hvilken versjon av programtillegget en innehar.
Referanser
https://blog.lastpass.com/2017/03/important-s[...]

Spredning av malware i Microsoft Word-fil kan angripe både Windows og Mac

FortiGuard har funnet en ny Microsoft Word-fil som kan kjøre skadende Visual Basic-kode på maskinen filen blir åpnet på. Dersom en bruker åpner dokumentet vil det vises en beskjed om å skru på kjøring av makroer. Dette vil la den skadende koden kjøre, både på Microsoft Windows og Apple Mac OS X. Dette vil føre til kjøring av et python-script som henter en fil på nettet og kjører denne.
Referanser
http://blog.fortinet.com/2017/03/22/microsoft[...]

Google skal sende ut hyppigere sikkerhetsoppdateringer til Android-telefoner

Google planlegger nå, i samarbeid med telefon-produsentene, å sende ut hyppigere sikkerhetsoppdateringer til Android-telefoner fra andre produsenter enn Google. I 2016 mottok kun halvparten av alle Android-enheter sikkerhetsoppdateringer.
Referanser
https://www.engadget.com/2017/03/22/google-ey[...]
https://www.tek.no/artikler/google-pisker-pro[...]

Russisk statsborger erklært skyldig i utvikling og deling av Citadel malware

Den russiske statsborgeren Mark Vartanyan, kjent som hackeren Kolypto, har nå erklært seg skyldig i en amerikansk domstol for utvikling og deling av malwaren Citadel. Vartanyan ble arrestert i Norge og utlevert til USA i 2016. Citadel har som hensikt å stjele bankkonto-informasjon og det har blitt estimert at denne malwaren har svindlet mer en fem millioner mennesker for totalt over en halv billion dollar.
Referanser
http://www.securityweek.com/citadel-botnet-au[...]

Litauer arrestert etter å ha lurt to store teknologibedrifter

En mann fra Litauen er arrestert etter å ha lurt til seg 100 millioner dollar i en phisingsak mot to store teknologibedrifter i USA. Han utga seg for å være en asiatisk samarbeidspartner og opprettet kontoer som bedriftene skulle sende penger til. Dette ble oppdaget av bankene. Amerikanske advokater anbefaler alle bedrifter, selv de store, til å være oppmerksomme mot phising.
Referanser
http://www.zdnet.com/article/lithuanian-scam-[...]
http://www.theregister.co.uk/2017/03/22/man_c[...]

Google ute med sikkerhetsrapport for Android i 2016

Google har kommet ut med en rapport som oppsummerer sikkerheten til Android-enheter i 2016. Den sier blant annet at antall "Potentially Harmful Applications" (PHA) har sunket i 50 av 50 land. Den sier også at enheter som lastet ned apper kun fra Google Play var 90% mindre sannsynlig å ha PHA installert. Det skal kun være 0.05% av alle Android-enheter som har PHA installert, noe som er en nedgang fra 0.15% i 2015.
Referanser
https://static.googleusercontent.com/media/so[...]
https://www.wired.com/2017/03/good-news-andro[...]

Cisco er ute med sikkerhetsoppdatering

Cisco har utgitt sikkerhetsoppdateringer som tar for seg svakhetene i IOS, IOS XE og IOx som har vært omtalt i det siste. Administratorer anbefales å sjekke ut disse.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 22 March 2017

2017.03.22 - Nyhetsbrev

Svakhet i Cisco Automatic Networking Infrastructure.

Svakhet i Cisco sin Automatic Networking Infrastructure

NorCERT melder om en sårbarhet i programvaren Automatic Networking Infrastrucutre til Cisco IOS- og Cisco IOS XE. Sårbarheten gjør det mulig for en uautentisert fjernangriper å tvinge fram tjenestenekt av den berørte enheten. Sårbare enheter er enheter som støtter ANI og har et åpent IPv6-grensesnitt. Cisco har kommet med en programvareoppdatering som skal håndtere sårbarheten.
Referanser
https://tools.cisco.com/security/center/conte[...]

Tuesday, 21 March 2017

2017.03.21 - Nyhetsbrev

Historien om «Operasjon Jackpot» – politi spilte direktør og rundlurte svindlere. Ny alvorlig svakhet i LastPass.

Historien om «Operasjon Jackpot» – politi spilte direktør og rundlurte svindlere

VG har en interessant sak om "Operasjon Jackpot". Norsk politi spilte rollen som økonomidirektør for å lure bakmennene. Etterforskningen ledet til slutt til en razzia og flere arrestasjoner i Israel.
Referanser
http://www.vg.no/nyheter/innenriks/krim/histo[...]

Ny alvorlig svakhet i LastPass

Tavis Ormandy fra Google har oppdaget en ny alvorlig svakhet i LastPass for Chrome og FireFox. Alt etter hvilken versjon av LastPass du bruker, kan en angriper enten ta kontroll over maskinen din eller hente ut alle passordene dine. Tavis opplyser også at den forrige alvorlige svakheten han oppdaget enda ikke er fikset.
Anbefaling
Vent på ny versjon
Referanser
https://twitter.com/taviso/status/84396551937[...]

Monday, 20 March 2017

2017.03.20 - Nyhetsbrev

En gruppe fra Qihoo 360 bryter ut av virtuell maskin kjørende i Vmware Workstation fra en nettside under Pwn2Own. Svakhet i Cisco sin CMP-protokoll. Firefox Integer overflow svakhet oppdaget som kan utnyttes av angriper oppdaget i Firefox.

En gruppe fra Qihoo 360 bryter ut av virtuell maskin under Vmware Workstation under Pwn2Own

Deltakere på hacke-konkurransen Pwn2Own i Vancouver har klart å bryte ut av virtuell maskin under Vmware Workstation og få kontroll over host-maskinen. Dette klarte de ved hjelp av en svakheter i Microsoft Edge og i Windows 10 kjernen som gjorde at de kunne simulere en hardware-feil, og to svakheter i Vmware for deretter få kontroll over host-maskinen. Alt ble initiert fra en nettside. Gruppen som utførte angrepet vant $105,000.
Referanser
https://arstechnica.com/security/2017/03/hack[...]

Svakhet i Cisco Cluster Management Protocol (CMP)

En svakhet i Cisco sin Cluster Management Protocol (CMP) gjør at en angriper kan fremtvinge en restart av en berørt enhet, og potensielt kjøre kode med utvidede rettigheter. Dette kan skje om angriperen sender spesiell Telnet-informasjon ved hjelp av CMP under opprettelse av en Telnet-sesjon.
Referanser
https://tools.cisco.com/security/center/conte[...]

Svakhet i Firefox gir Integer overflow som kan utnyttes av en angriper

Det er funnet en bug i createImageBitmap-funksjonen i Mozilla Firefox som gir en Integer overflow-feil som kan brukes av en angriper til å kjøre vilkårlig kode på offerets maskin. Denne svakheten må kjøres i kombinasjon med andre svakheter for å kunne ta over en maskinen. Feilen ble kjent igjennom Pwn2Own og er blitt fikset i versjon 52.0.1 av Firefox.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]
http://www.securitytracker.com/id/1038060

Friday, 17 March 2017

2017.03.17 - Nyhetsbrev

Svakhet i Ubiquiti sitt nettverksutstyr gir mulighet for administrasjonstilgang ved bruk at et enkelt Cross Site Scripting-angrep.

Svakhet i Ubiquiti utstyr

Feilen er i Ubiquiti sitt nettverksutstyr og skyldes at firmwaren kjører en web-server med root-tilgang og svært gammel versjon av PHP. En angriper kan utnytte svakheten ved å lure brukeren til å besøke en spesielt utformet nettside. Denne vil kjøre angriperens kommandoer mot administrasjonsnettsiden til Ubiquity-utstyret. Dette er en såkalt Cross Site Scripting svakhet som krever at brukeren er logget inn på nettsiden til utstyret som skal angripes. I dette tilfellet er det mulig å få root-tilgang uansett hvilken bruker som er logget inn på utstyret.
Anbefaling
La være å surfe på nettet i samme nettleser som man har oppe administrasjonsnettsiden til Ubiquiti utstyret i.
Referanser
https://www.theregister.co.uk/2017/03/16/ubiq[...]

Thursday, 16 March 2017

2017.03.16 - Nyhetsbrev

USA har etterlyst fire personer etter hackingen av Yahoo i 2014. Checkpoint har funnet en svakheter i webutgaven og WhatsApp og Telegram.

Russiske FSB-ansatte koblet til Yahoo-hack og etterlyst av FBI

USA sitt justisdepartement kunngjorde onsdag at de skal ha koblet fire personer til hackingen av Yahoo tidlig 2014. To offiserer fra russisk sikkerhetstjeneste er blant de anklagede. Over 500 millioner Yahoo-kontoer ble berørt i den omtalte hackingen. Informasjonen som ble hentet ut ble blant annet ha brukt til å oppnå uautorisert tilgang til kontoer tilhørende russiske journalister og både russiske og amerikanske embetsmenn.
Referanser
http://edition.cnn.com/2017/03/14/politics/ju[...]
http://krebsonsecurity.com/2017/03/four-men-c[...]
https://www.justice.gov/opa/press-release/fil[...]

Svakhet i web-versjon av WhatsApp omgår endte-til-ende-krypteringen

Check Point har avdekket svakheter i WhatsApp og Telegram der deres ende-til-ende-kryptering kan omgås dersom appene blir brukt gjennom en nettleser. Dette kan føre til at angriperen kan få tilgang til alle meldinger, bilder, videoer og kontaktlisten til brukeren. Svakhetene er nå fikset. Problemene skyldes at nettlesere har en mye større angrepsflate enn en dedikert app, blant annet på grunn av muligheten for å kjøre JavaScript.
Referanser
https://www.wired.com/2017/03/whatsapp-hack-s[...]
https://www.digi.no/artikler/flere-hundre-mil[...]

Wednesday, 15 March 2017

2017.03.15 - Nyhetsbrev

Twitter-kontoer sprer propaganda. VMware ute med oppdatering til Workstation og Fusion. Adobe patcher Flash og Shockwave Player. Microsoft ute med oppdateringer for mars. Google fjerner apper brukt til annonse-svindel fra Google Play.

Twitter-kontoer sprer propaganda

Tusenvis av Twitter-kontoer har de siste timene sendt ut tyrkisk propaganda. Tyskland og Nederland blir også beskyldt for å være nazister. Angrepet settes i sammenheng med den pågående diplomatiske uenigheten mellom Nederland og Tyrkia. Blant de kompromitterte kontoene er Forbes, Amnesty, Unicef og Legeforeningen. Twitter Counter, en statistikk-tjeneste, har blitt kompromittert og er grunnen til alle tweetene. Benytt gjerne anledningen til å ta en sjekk over tilgangene til Twitter-kontoen din.
Referanser
https://www.nrk.no/urix/omfattende-hackerangr[...]
https://www.engadget.com/2017/03/15/twitter-a[...]

VMware ute med oppdatering til Workstation og Fusion

VMWare har nå gitt ut en kritisk oppdatering til Workstation og Fusion som skal fikse en svakhet som kunne gjøre det mulig for angriper å ta over systemet.
Referanser
http://www.vmware.com/security/advisories/VMS[...]

Adobe patcher Flash og Shockwave Player

Adobe har nå gitt ut oppdatering til Flash Player til Windows, Mac OS, Chrome OS og Linux som skal fikse en svakhet som kunne gjøre det mulig for angriper å ta over systemet. I tillegg har Adobe gitt ut en oppdatering til Shockwave Player for Windows som fikser en svakhet som kunne gjøre det mulig for angriper å øke rettighetene sine på angrepet maskin.
Referanser
https://helpx.adobe.com/security/products/sho[...]
https://helpx.adobe.com/security/products/fla[...]
https://threatpost.com/adobe-fixes-six-code-e[...]

Microsoft ute med oppdateringer for mars

Microsoft har sluppet sine månedlige sikkerhetsoppdateringer. Denne måneden er også oppdateringene som skulle ha vært sluppet forrige måned tatt med. Det er hele 18 oppdateringer, der 8 er rangert som kritiske. De mest alvorlige svakhetene gjelder håndtering av SMB-trafikk. Dette er sårbarheter som kan brukes til å ta kontroll over sårbare servere, dersom du kan sende SMBv1-pakker til dem.

Det er også alvorlige svakheter i Internet Explorer, Edge, Windows-kjernen, Windows GDI, PDF-bibliotket, Office, IIS og Exchange.
Referanser
https://technet.microsoft.com/library/securit[...]
https://isc.sans.edu/forums/diary/February+an[...]

Google fjerner apper brukt til annonse-svindel fra Google Play

Google har fjernet skadelige apper i Chamois-familien fra Google Play. Appene lurte brukere til å trykke på annonser ved å manipulere brukerinterfacet eller sende ut SMSer. Malwaren kunne også laste ned andre skadelige apper, uten at brukeren var klar over det. Chamois skjulte seg spesielt godt ved å sette sammen sin egne kode av flere moduler. Den krypterer også konfigurasjonsdata. Google skal nå ha fjernet appene fra sitt marked.
Referanser
https://security.googleblog.com/2017/03/detec[...]
https://threatpost.com/google-eliminates-andr[...]

Tuesday, 14 March 2017

2017.03.14 - Nyhetsbrev

Det er gjennomført en studie av falske "Tech-support" telefoner og det er oppdaget flere 0-dags svakheter i SAP HANA.

Studie av falske "Tech-support" telefoner

En gruppe forskere har studert en rekke falske "tech-support" selsakper, ved å ringe og snakke med de, og samtidig sjekke hvor deres servere og call-sentere er lokalisert. En artikkel fra Wired har mer informasjon om dette, i tillegg til eksempler på faktiske telefonsamtaler forskerne har foretatt.
Referanser
https://www.wired.com/2017/03/listen-tech-sup[...]

Flere 0-dags svakheter oppdaget i SAP HANA

Det er oppdaget flere 0-dags svakheter i produktet SAP HANA. Svakhetene kan gi en angriper full tilgang til systemet, uten noen form for autentisering. Svakheten kan også utnyttes fra eksternt ståsted. Detaljer om svakhetene er så langt kun delt med SAP, men vil bli offentlig tilgjengelige om 90 dager.
Anbefaling
Referanser
https://www.helpnetsecurity.com/2017/03/14/sa[...]

Monday, 13 March 2017

2017.03.13 - Nyhetsbrev

Google har sluppet månedens oppdatering til Android. Forhåndsinstallert malware oppdaget i Android-enheter.

Google har sluppet månedens oppdatering til Android

Google har sluppet sin månedlige oppdatering til Android. Oppdateringen patcher 105 sårbarheter, deriblant 35 rangert som kritiske. Ni av de kritiske svakhetene finnes i media-serveren, altså systemet for å spille av media-filer. Oppdateringen patcher også 35 sårbarheter i Qualcomm-komponenter.
Referanser
https://source.android.com/security/bulletin/[...]

Forhåndsinstallert malware oppdaget i Android-enheter

Nylig oppdaget et større telekommunikasjonsselskap at 38 av deres Android-enheter var infisert av malware. Selv om dette ikke er uvanlig, var opphavet til infiseringen mer spesiell. De infiserte enhetene skal ha blitt levert med malwaren forhåndsinstallert. Enhetene skal ikke ha vært infisert ved utsending fra leverandøren, men blitt infisert et sted i forsyningskjeden. Denne typen hendelser skjer typisk med svært billige Android-enheter.
Referanser
http://blog.checkpoint.com/2017/03/10/preinst[...]

Friday, 10 March 2017

2017.03.10 - Nyhetsbrev

Google slipper sikkerhetsoppdateringer for Chrome

Google slipper sikkerhetsoppdateringer for Chrome

Google slipper sikkerhetsoppdateringer for Chrome. Oppdateringer fikser 36 svakheter, hvor av 9 er klassifisert som "høy".
Referanser
https://chromereleases.googleblog.com/2017/03[...]

Thursday, 9 March 2017

2017.03.09 - Nyhetsbrev

Apache gir ut oppdatering til Struts 2. Apple har patchet svakheter avslørt i WikiLeaks CIA-avsløring. Artikkel om CryptoLocker og en undersøkelse rundt oppdagelse av 0-dags svakheter. Hva skjuler seg i siste CIA lekasjen fra WikiLeaks? The Register har gjennomgått over 8000 dokumenter som ble frigitt.

Apache gir ut oppdatering til Struts 2

Apache har gitt ut en oppdatering til Struts 2 som skal fikse en svakhet som gjorde det mulig for angripere å eksekvere kode på systemet. Svakheten er allerede under aktiv utnyttelse!
Referanser
https://cwiki.apache.org/confluence/display/W[...]
http://blog.talosintelligence.com/2017/03/apa[...]

Apple har patchet mange av svakhetene i iOS fra CIA-dokumentene

Wikileaks ga på tirsdag kveld ut 8 761 dokumenter og filer som de hevder kom fra CIA sitt senter for Cyber Intelligence. I dokumentene er det beskrevet 14 svakheter i iOS, men det er ikke publisert exploit-kode.

Apple har kommet med en uttalelse om at mange av svakhetene som ble beskrevet i disse dokumentene allerede har blitt fikset i senere versjoner av iOS. I tillegg nevner de at de jobber med å fikse resterende svakheter. De nevner ikke noe om hvilke svakheter som er blitt fikset eller når man kan forvente en oppdatering for å fikse de resterende.
Referanser
http://www.theverge.com/2017/3/8/14851266/app[...]

Artikkel med analyse av CryptoLocker

Interessant artikkel med analyse av en CryptoLocker-kampanje lik den som har rammet Norge den siste tiden.
Referanser
http://blog.talosintelligence.com/2017/03/cry[...]

En studie om oppdagelse av 0-dags svakheter.

Rand Corporation har publisert en studie av 0-dags svakheter og exploitkode.
Referanser
https://motherboard.vice.com/en_us/article/ze[...]

Hva skjuler seg i siste CIA lekasjen fraWikiLeaks?

The Register har foretatt en gjennomgang og skrevet en oppsummering av over 8000 dokumenter sluppet av WikiLeaks på tirsdag som omhandler CIA.
Referanser
https://www.theregister.co.uk/2017/03/08/cia_[...]

Wednesday, 8 March 2017

2017.03.08 - Nyhetsbrev

Wikileaks presenterer stor lekkasje fra CIA. Mozilla patcher alvorlige svakheter i Firefox. Verifone etterforsker innbrudd i internt nettverk.

Mozilla gir ut ny oppdatering til Firefox

Mozilla har nå gitt ut en ny oppdatering som fikser flere svakheter, blant annet 5 kritiske svakheter som kunne gjøre det mulig for angriper å ta kontroll over systemet.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Verifone etterforsker innbrudd i internt nettverk

Kredittkort og betalingstjeneste-giganten Verifone etterforsker et innbrudd i sitt interne nettverk. Innbruddet ser ut til å ha påvirket flere av selskapets kunder sine betalingssystemer. Verifone sier i en uttalelse at innbruddet var begrenset til interne systemer, og at betalingsløsningene ikke var påvirket. En intern kilde har opplyst om at angrepet berørte en gruppering internt i selskapet som jobber med løsninger rettet mot bensinstasjoner. Det mistenkes også at en russisk hacker-gruppering, som tidligere har angrepet betalingstilbydere, er involvert.
Referanser
https://krebsonsecurity.com/2017/03/payments-[...]

Wikileaks presenterer stor lekkasje fra CIA

Wikileaks presenterte i går en stor lekkasje fra CIA. Lekkasjen er navngitt "Vault7" og første del, "Year Zero" er nå sluppet. Lekkasjen skal bestå av rundt 8761 dokumenter som omtaler CIAs metoder for uthenting av data og sikkerhetsutnyttelse. Det er rapportert om skadevare rettet mot et bredt spekter av produkter som Android, iOS og Windows. Lekkasjen inneholder ikke selve skadevaren, men bare omtale av den, metodikk, wiki-sider osv. Det er uvisst hvordan Wikileaks har fått tak i dataene. Vedlagte lenke fra Lawfareblog inneholder en god gjennomgang av saken.
Referanser
https://wikileaks.org/ciav7p1/
https://arstechnica.com/security/2017/03/wiki[...]
https://www.lawfareblog.com/cias-no-good-very[...]
http://blog.erratasec.com/2017/03/some-commen[...]

Tuesday, 7 March 2017

2017.03.07 - Nyhetsbrev

Stor spam-operasjon avslørt. Ny destruktiv malware oppdaget. WordPress 4.7.3 fikser sikkerhetshull.

Stor spam-operasjon avslørt

MacKeeper Security Research Center, CSOOnline, og Spamhaus har sammen etterforsket og avslørt en større spam-operasjon. Spammerne har hatt dårlige rutiner for å passe på backupene sine, hvilket har ført til at disse har blitt tilgjengelige. Blant funnene er en liste på 1.4 milliarder e-postadresser, mange med detaljer som navn og adresse.
Referanser
https://mackeeper.com/blog/post/339-spammerga[...]

Ny destruktiv malware oppdaget

Kaspersky Labs har oppdaget en ny type destruktiv malware laget for å slette harddisker. Fra før av er malwaren Shamoon kjent for lignende adferd. Den nye malwaren har fått navnet Stonedrill og er mer avansert. Målene til Stonedrill er for det meste i Saudia Arabia, men også et europeisk oljeselskap er rammet.
Referanser
https://threatpost.com/destructive-stonedrill[...]
https://cdn.securelist.com/files/2017/03/Repo[...]

WordPress 4.7.3 fikser sikkerhetshull

WordPress har sluppet versjon 4.7.3. Dette er en sikkerhetsoppdatering som fikser seks svakheter. Flere av disse er forskjellige cross-site-scripting svakheter.
Referanser
https://wordpress.org/news/2017/03/wordpress-[...]

2017.03.07 - Nyhetsbrev

Stor spam-operasjon avslørt. Ny destruktiv malware oppdaget. WordPress 4.7.3 fikser sikkerhetshull.

Stor spam-operasjon avslørt

MacKeeper Security Research Center, CSOOnline, og Spamhaus har sammen etterforsket og avslørt en større spam-operasjon. Spammerne har hatt dårlige rutiner for å passe på backupene sine, hvilket har ført til at disse har blitt tilgjengelige. Blant funnene er en liste på 1.4 milliarder e-postadresser, mange med detaljer som navn og adresse.
Referanser
https://mackeeper.com/blog/post/339-spammerga[...]

Ny destruktiv malware oppdaget

Kaspersky Labs har oppdaget en ny type destruktiv malware laget for å slette harddisker. Fra før av er malwaren Shamoon kjent for lignende adferd. Den nye malwaren har fått navnet Stonedrill og er mer avansert. Målene til Stonedrill er for det meste i Saudia Arabia, men også et europeisk oljeselskap er rammet.
Referanser
https://threatpost.com/destructive-stonedrill[...]
https://cdn.securelist.com/files/2017/03/Repo[...]

WordPress 4.7.3 fikser sikkerhetshull

WordPress har sluppet versjon 4.7.3. Dette er en sikkerhetsoppdatering som fikser seks svakheter. Flere av disse er forskjellige cross-site-scripting svakheter.
Referanser
https://wordpress.org/news/2017/03/wordpress-[...]

Monday, 6 March 2017

2017.03.06 - Nyhetsbrev

Omfattende svakheter i WD MyCloud NAS webinterface. God bloggpost rundt farene ved smarttelefoner.

God bloggpost rundt farene ved smarttelefoner

Å legge fra seg mobiltelefon i situasjoner hvor en frykter avlytting er en en vanlig praksis i enkelte miljøer, blant annet hos Nasjonal sikkerhetsmyndighet. Men nå skal denne praksisen også brukes ved den nært forestående forsvarsøvelsen, Joint Viking, hvor 8000 menn og kvinner skal delta. Ingen skal ha med seg mobiltelefon på øvelsen. «Vi gjør det fordi vi øver oss på krig. Da er helt klart mobiltelefonen en risikofaktor» sier Hærens talsmann Ole Johan Skogmo til Forsvarets Forum.
Referanser
https://www.nsm.stat.no/blogg/smartutenmobil/

Omfattende svakheter i WD MyCloud NAS webinterface

I en bloggpost på Exploitee.rs gått igjennom webinterfacet til WD MyCloud NAS, og funnet en rekke graverende feil. Feilene kan misbrukes til å få tilgang til data på enheten, eller å få kjørt vilkårlig kode. Feilene er så mange og så omfattende, at man ikke regner med at de vil la seg løse på kort sikt, og at den eneste løsningen er å ikke eksponere disse på Internet.
Anbefaling
Ikke eksponer WD MyCloud enheter på Internet
Referanser
https://blog.exploitee.rs/2017/hacking_wd_mycloud/

Friday, 3 March 2017

2017.03.03 - Nyhetsbrev

Amazon har publisert en forklaring på bakgrunnen for S3 driftsproblemene tirsdag denne uken.

Amazon har publisert en forklaring på driftsproblemene 28. februar

Amazon har publisert en forklaring på hva som gikk galt i forbindelse med nedetiden de opplevde på S3 i en av sine regioner 28. februar. Det hele startet pga. en tekniker som tastet feil i et argument til et verktøy. Dette endte opp med å utilsiktet fjerne en rekke servere.
Referanser
https://aws.amazon.com/message/41926/

Thursday, 2 March 2017

2017.03.02 - Nyhetsbrev

Alvorlig svakhet funnet i WordPress plugin NextGEN Gallery. Bug i Slack gir angriper tilgang til en token som muliggjør uthenting av informasjon om brukeren og sendte meldinger. Cloudfare med en oppsummering etter forrige ukes sikkerhetshull.

Alvorlig svakhet i populær WordPress plugin

Forskere har funnet en svakhet i den populære pluginen til WordPress, NextGEN Gallery. Ved hjelp av SQL injection kan uautentiserte brukere få tilgang til sensitive opplysninger fra offerets database. Problemet skal være fikset i den oppdaterte versjonen.
Referanser
https://threatpost.com/million-plus-wordpress[...]
https://blog.sucuri.net/2017/02/sql-injection[...]

Bug i Slack kunne gi hackere full tilgang

Sikkerhetsfirmaet Detectify har funnet et bug i Slack som får tak i brukerens tokens i Slack. Dette gjør at uvedkommende kan få tak i all informasjon om brukeren, samt historiske meldinger. Slack har fikset feilen.
Referanser
https://thenextweb.com/apps/2017/03/01/slack-[...]

Cloudflare med oppsumering etter forrige ukes sikkerhetshull

Cloudflare har tirsdag gitt ut en oppsummering etter forrige ukes avsløringer. I rapporten konkluderer Cloudflare med at det ikke finnes spor etter aktiv utnyttelse av sikkerhetshullet før dette ble patchet.
Det opplyses også at mesteparten av Cloudflare sine kunder aldri var berørt av problemet. Det er i ettertid brukt mye tid på gjennomgang av lekket materiale. Det er her verken funnet spor etter passord, kredittkort eller helseinformasjon.
Referanser
https://blog.cloudflare.com/quantifying-the-i[...]

Wednesday, 1 March 2017

2017.03.01 - Nyhetsbrev

Google frigir informasjon om en ny alvorlig svakhet i Internet Explorer 11 og Edge. Feil i Amazons skybaserte lagringstjeneste S3 rammet flere tusen nettsteder og tjenester i går kveld.

Google publiserer informasjon om en ny alvorlig og upatchet svakhet i Internet Explorer 11 og Edge

Google Project Zero publiserer detaljer om en alvorlig og foreløpig upatchet sårbarhet i Internet Explorer 11 og Windows 10 Edge. Sårbarheten kan utnyttes til å få kjørt vilkårlig kode fra eksternt hold. Google skal ha informert Microsoft om problemet den 25/11-16, med beskjed om at de vil frigi informasjonen etter 90 dager, uavhengig av om svakheten er patchet eller ikke. Sammen med publiseringen følger en PoC-kode, der enkelte vitale deler er utelatt.
Referanser
https://threatpost.com/google-discloses-anoth[...]
https://bugs.chromium.org/p/project-zero/issu[...]

Feil i Amazons skybaserte lagringstjeneste S3 rammet flere tusen nettsteder og tjenester

En feil i Amazons S3 lagringstjeneste lammet i går kveld flere tusen nettsteder og tjenester i omlag 4 timer. Feilen skal ha oppstått ved S3-lokasjonen US-East-1, og skal også ha påvirket flere AWS-tjenester (Amazon Web Services).
Referanser
https://arstechnica.co.uk/information-technol[...]
https://www.theregister.co.uk/2017/03/01/aws_[...]