Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 27 February 2020

2020.02.27 - Nyhetsbrev

Ny svakhet i kryptering av WiFi-nettverk: KrØØk.

Ny svakhet i kryptering av WiFi-nettverk: KrØØk

Eset har gitt såbarheten CVE-2019-15126 navnet "KrØØk". Sårbarheten gjør det mulig å dekryptere av WPA2-kryptert WiFi-trafikk. Sårbarheten ligger i ikke-patchede Broadcom og Cypress WiFi-brikkesett. Sårbarhetene rammer enheter fra Appe, Amazon, Google, Samsung osv. Mange WiFi-aksesspunkter er også rammet. Vi anbefaler å oppdatere enheter med WiFi.

Svakheten avdekker ikke WPA2-passordet. Trafikk som fra før er kryptert, for eksempel med TLS, vil ikke la seg dekryptere ved hjelp av svakheten.
Referanser
https://www.eset.com/int/kr00k/
https://www.welivesecurity.com/2020/02/26/kro[...]

Wednesday, 26 February 2020

2020.02.26 - Nyhetsbrev

CVE-2020-0688: Svakhet i Microsoft Exchange Server mer alvorlig enn først antatt. OpenSMTPD fikser alvorlig svakhet.

CVE-2020-0688: Svakhet i Microsoft Exchange Server mer alvorlig enn først antatt.

En svakhet i Microsoft Exchange Server (CVE-2020-0688), som ble fikset av Microsoft i denne månedens sikkerhetsoppdatering, viser seg nå å være mer alvorlig enn først antatt. Svakheten, som er relatert til generering av krypto-nøkler under installasjon, gir enhver som har tilgang til en gyldig brukerkonto på plattformen mulighet til å kjøre vilkårlig kode på serveren med SYSTEM/Administrator-rettigheter.
Anbefaling
Intallêr patch.
Referanser
https://www.thezdi.com/blog/2020/2/24/cve-202[...]

OpenSMTPD fikser alvorlig svakhet.

OpenSMTPD gir ut versjon 6.6.4p1 for å fikse en alvorlig svakhet. Svakheten kan unyttes til ekstern kodeeksekvering.
Anbefaling
Oppdatèr til versjon 6.6.4p1
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Tuesday, 25 February 2020

2020.02.25 - Nyhetsbrev

Amerikanske Department of Defence kompromittert. Google Chrome fikser svakheter.

Amerikanske Department of Defence kompromittert

Et system driftet av Defense Information Systems Agency (DISA) som er en del av Department of Defence har sendt ut varsler til en rekke personer om at personlig informasjon er på avveie. DISA har blant annet ansvaret for sikker kommunikasjon for presidenten, secret service, deler av militæret mm. DISA har rundt 8000 militære og sivile ansatte, men behandler også data fra flere kontraktører. Det spekuleres i at en nasjonalstat står bak innbruddet.
Referanser
https://threatpost.com/data-breach-occurs-at-[...]

Google Chrome fikser svakheter

Google har sluppet en oppdatert versjon av Chrome som blant annet fikser 3 alvorlige svakheter. For en av svakhetene skal det være exploit-kode tilgjengelig.
Referanser
https://chromereleases.googleblog.com/2020/02[...]

Monday, 24 February 2020

2020.02.24 - Nyhetsbrev

Apple Safari godtar ikke TLS-sertifikater med lang gyldighet. Kritisk feil i Cisco Smart Software Manager On-Prem (CVE-2020-3158) kan gi fjerntilgang til systemkonto.

Apple Safari godtar ikke TLS-sertifikater med lang gyldighet

Fra og med 1. september 2020 vil ikke lenger Safari stole på (nye) sertifikater med gyldighet lengre enn 398 døgn. Ifølge Apple er en av grunnene til endringen at kortvarige sertifikater forbedrer sikkerheten fordi de reduserer eksponeringsvinduet hvis et TLS-sertifikat er kompromittert.
Referanser
https://www.digicert.com/position-on-1-year-c[...]

Kritisk feil i Cisco Smart Software Manager On-Prem (CVE-2020-3158) kan gi fjerntilgang til systemkonto

Cisco har oppdaget i feil i et Cisco-verktøy som brukes for lisensbehandling (CVE-2020-3158). Feilen kan gi fjerntilgang for ikke-autentiserte angripere slik at de kan aksessere sensitive deler av systemet med høye privilegier. Feilen skyldes en systemkonto med et statisk standard-passord.
Anbefaling
Cisco har sluppet en oppdatering som fikser feilen, og det anbefales å oppdatere omgående.
Referanser
https://cve.mitre.org/cgi-bin/cvename.cgi?nam[...]
https://www.digi.no/artikler/kritisk-feil-avd[...]
https://tools.cisco.com/security/center/conte[...]

Friday, 21 February 2020

2020.02.21 - Nyhetsbrev

USA beskylder Russlands GRU for aktive cyberangrep i Georgia. Microsoft Defender ATP tilgjengelig for test på seks linux-distribusjoner.

USA beskylder Russlands GRU for aktive cyberangrep i Georgia

Amerikanske myndigheter har gått ut med beskyldninger mot den russiske militære etterretningstjenesten GRU etter lang tids etterforskning.
I uttalelsen beskyldes GRU for aktivt å forstyrre georgiske private og statlige interesser med angrep som har pågått over lengre tid. Russlands GRU er aktive i flere av de gamle sovjetstatene, og har blitt knyttet til aktivitet fra APT-grupperingen Sandworm.

Sandworm har blitt identifisert som hovedaktøren bak bl.a. NotPetya-ormen og Olympic Destroyer skadevaren. NotPetya-ormen ble designet for å ta ned og forstyrre Ukrainske interesser, og den spredte seg globalt på svært kort tid og tok med seg flere store selskaper, blant annet Maersk. Olympic Destroyer skapte store forstyrrelser under OL i Pyongyang.
Referanser
https://www.wired.com/story/us-blames-russia-[...]

Microsoft Defender ATP tilgjengelig for test på seks linux-distribusjoner

Microsoft har nylig sluppet en åpen testversjon av sin antivirus for bedrifter, Microsoft Defender ATP, til seks av de store server-distribusjonene av Linux. Programvaren sender logger fra antivirus-programvaren til et felles konsoll kalt Microsoft Defender Security Center.

Det ryktes også at Microsoft jobber med iOS og Android-versjoner av sin antivirus-suite og skal slippe disse i løpet av 2020.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

Thursday, 20 February 2020

2020.02.20 - Nyhetsbrev

Amerikanske myndigheter advarer mot ransomware. Danske ISS rammet av dataangrep. Hackere var i nettverket til Citrix i fem måneder.Kinesiske hackere har brutt seg inn i spill-tjenester.

Amerikanske myndigheter advarer mot ransomware

Amerikanske myndigheter sendte ut en advarsel til alle bransjer som driver kritisk infrastruktur om en ny ransomware-trussel, som kan ha alvorlige konsekvenser dersom den ikke blir adressert.

Advarselen kommer i forbindelse med angrep mot et gassledningsanlegg. Trusselaktøren brukte en spear-phishing lenke, og fikk tilgang til organisasjonens IT- og OT-nettverk via skadevaren som ble nedlastet. Videre plasserte angriperen ransomware for å kryptere data på begge nettverkene.
Referanser
https://thehackernews.com/2020/02/critical-in[...]

Danske ISS rammet av dataangrep

Den danske rengjøringsgiganten ISS er rammet av et dataangrep med skadelig programvare, og har stengt ned datasystemer i flere land. «Noen systemer er allerede gjenopprettet. Det er ingen indikasjon på at kundedata har blitt kompromittert», skriver ISS. Nettsiden deres fungerer ikke som normalt, men viser en kunngjøring on hendelsen. Selskapet ønsker ikke å opplyse om finansielle følger, men aksjen faller.
Referanser
https://e24.no/naeringsliv/i/qLMVa1/danske-is[...]

Hackere var i nettverket til Citrix i fem måneder

Tidligere har det blitt kjent at Citrix har hatt uvedkommende i sine interne nettverk. Nye detaljer tyder på at de var kompromittert i fem månederen i 2018 til 2019. Angriperne fikk tak i informasjon om ansatte, innleide og jobbsøkere. Angriperne kom inn ved å utnytte et svakt passord.
Referanser
https://krebsonsecurity.com/2020/02/hackers-w[...]

Kinesiske hackere har brutt seg inn i spill-tjenester

Trend Micro melder at en gruppe kinesiske hackere skal ha kompromittert flere firmaer som driver med online gambling/spill i Asia. Angriperne har fått tak i kildekode og oversikt over brukere og det virker ikke som om de har finansielle motiver. Grupperingen bak angrepene kalles DRBControl og settes i sammenheng med Winnti og Emissary Panda.
Referanser
https://www.zdnet.com/article/chinese-hackers[...]

Wednesday, 19 February 2020

2020.02.19 - Nyhetsbrev

Mer enn hundre millioner PC-komponenter inneholder fremdeles sårbar firmware. Utpressing av Google AdSense-kunder.

Mer enn hundre millioner PC-komponenter inneholder fremdeles sårbar firmware

Eclypsium rapporterer at en rekke nettverkskort, Wi-Fi adaptere, USB-huber og webkameraer bruker firmware som kan oppdateres med usignert kode, og kan skrives om uten noen form for sikkerhetskontroll. Deteksjon og mitigering vil være nesten umulig dersom koden skjules i obskure komponenter. Sårbarheten har vært et kjent problem i årevis, med det er liten fremgang i å eliminere den.
Referanser
https://www.wired.com/story/firmware-hacks-vu[...]

Utpressing av Google AdSense-kunder

Svindlere truer nettsider som bruker annonser via AdSense med å sende nok søppeltrafikk mot annonsene, til at Google sine automatiserte anti-svindelsystemer suspenderer brukerens AdSense-konto. Svindlerne sender eieren av nettsiden en e-post, og krever betaling via kryptovaluta mot et løfte om å ikke utføre angrepet.

Google svarer med at de har gode nok verktøy og prosesser til å filtrere bort søppeltrafikken. Videre forteller Google at det finnes et skjema som kan fylles ut av AdSense-kunder som mistenker de blir utsatt for sabotasje.
Referanser
https://krebsonsecurity.com/2020/02/pay-up-or[...]