Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 17 July 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.07.17

SharePoint nulldagssårbarhet med aktiv utnyttelse lagt til CISA KEV-katalog. Ny ClickLock skadevare for macOS tvinger brukere til å oppgi innloggingspassord. Claude-utvidelse for Chrome kan misbrukes av ondsinnede nettleserutvidelser.


SharePoint nulldagssårbarhet med aktiv utnyttelse lagt til CISA KEV-katalog

Amerikanske CISA har lagt til sårbarheten CVE-2026-58644 i sin liste over kjente aktivt utnyttede sårbarheter (KEV). Feilen påvirker lokale installasjoner av Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 og SharePoint Enterprise Server 2016. Sårbarheten har CVSS-score 9,8 og skyldes usikker deserialisering, noe som kan føre til fjernkjøring av kode (RCE).

For å utnytte feilen må angriperen være autentisert med minst Site Owner-rettigheter. Microsoft bekrefter at sårbarheten har blitt utnyttet som en nulldag før sikkerhetsoppdateringene ble publisert i juli 2026. Angrepene vurderes som relativt enkle å gjennomføre og kan gi angripere vedvarende tilgang til kompromitterte SharePoint-miljøer.

CISA advarer samtidig om aktiv utnyttelse av flere SharePoint-sårbarheter som kan brukes til å stjele IIS-maskinnøkler, oppnå persistens og installere skadevare på lokale SharePoint-servere. Organisasjoner anbefales å installere de nyeste oppdateringene umiddelbart, aktivere AMSI-integrasjon, overvåke logger for mistenkelig aktivitet, fjerne eventuelle inntrengningsartefakter og begrense eller unngå direkte eksponering av SharePoint-servere mot internett.

Anbefaling:

Prioriter patching av alle berørte SharePoint-servere, verifiser at oppdateringene er korrekt installert, og gjennomfør en gjennomgang av miljøet for tegn på kompromittering før eventuell rotasjon av IIS-maskinnøkler.

Sårbarheter:

Ny ClickLock skadevare for macOS tvinger brukere til å oppgi innloggingspassord

ClickLock er en ny informasjonsstjelende skadevare for macOS som bruker sosial manipulering til å få brukere til å oppgi systempassordet sitt. Angrepet starter trolig med en ClickFix lokkemetode der brukeren lures til å kjøre en kommando i Terminal, som viser en falsk Cloudflare verifisering samtidig som skadevaren lastes ned i bakgrunnen og varsler deaktiveres. Dersom brukeren avviser det falske passordvinduet, etablerer skadevaren vedvarende tilgang gjennom LaunchAgents og avslutter gjentatte ganger sentrale macOS prosesser som Finder, Dock, Terminal og Systeminnstillinger til brukeren oppgir riktig passord. Når passordet er bekreftet, sendes det til angriperen via Telegram, samtidig som skadevaren samler inn nettleserdata, informasjonskapsler, lagrede passord, kryptolommebøker, passordbehandlerdata og annen systeminformasjon. ClickLock installerer også en modifisert versjon av GSocket som bakdør, noe som gir angriperen vedvarende ekstern tilgang til den kompromitterte enheten. Group IB opplyser at minst 100 systemer i 33 land er rammet, og at skadevaren på analysetidspunktet ikke ble oppdaget av sikkerhetsløsningene tilgjengelige på VirusTotal.

Anbefaling:

Unngå å kjøre Terminal kommandoer fra ukjente nettsteder. Hvis macOS viser et uventet passordvindu samtidig som systemet ikke reagerer, slå av maskinen ved å holde inne av/på-knappen og start i sikkermodus.

Claude-utvidelse for Chrome kan misbrukes av ondsinnede nettleserutvidelser

En sårbarhet i Anthropics Claude-utvidelse for Chrome kan gjøre det mulig for en ondsinnet nettleserutvidelse å utløse forhåndsdefinerte AI-handlinger uten reell brukerinteraksjon. Feilen ble oppdaget av Manifold Security og skyldes at Claude-utvidelsen ikke bekrefter om klikkhendelser faktisk kommer fra brukeren ved å kontrollere Event.isTrusted.

En angriper må først få offeret til å installere en ondsinnet Chrome-utvidelse med tilgang til claude.ai. Deretter kan utvidelsen generere falske klikk som får Claude til å utføre innebygde arbeidsflyter, blant annet å lese Gmail, håndtere Google Dokumenter, opprette kalenderavtaler eller endre Salesforce-data. Angrepet gir ikke mulighet for vilkårlig prompt injection, men er begrenset til de forhåndsdefinerte oppgavene som finnes i Claude-utvidelsen.

Forskerne identifiserte også parameteren skipPermissions=true, som kan omgå enkelte tillatelseskontroller ved oppstart av utvidelsen. Denne ble klassifisert som informativ fordi den ikke kan utnyttes alene uten en ekstra sårbarhet.

Risikoen er størst for brukere som har koblet Claude til flere tjenester og spesielt dersom innstillingen «Act without asking» er aktivert. Anthropic er varslet om funnene, men forskerne opplyser at sårbarhetene fortsatt er reproducerbare i versjon 1.0.80 av utvidelsen.

Anbefaling:

Begrens installasjon av nettleserutvidelser til pålitelige kilder, gjennomgå tillatelser regelmessig, og vurder å deaktivere automatiske AI-handlinger som kan utføres uten brukerbekreftelse.

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.07.17

SharePoint nulldagssårbarhet med aktiv utnyttelse lagt til CISA KEV-katalog. Ny ClickLock skadevare for macOS tvinger brukere til å oppgi innloggingspassord. Claude-utvidelse for Chrome kan misbrukes av ondsinnede nettleserutvidelser.


SharePoint nulldagssårbarhet med aktiv utnyttelse lagt til CISA KEV-katalog

Amerikanske CISA har lagt til sårbarheten CVE-2026-58644 i sin liste over kjente aktivt utnyttede sårbarheter (KEV). Feilen påvirker lokale installasjoner av Microsoft SharePoint Server Subscription Edition, SharePoint Server 2019 og SharePoint Enterprise Server 2016. Sårbarheten har CVSS-score 9,8 og skyldes usikker deserialisering, noe som kan føre til fjernkjøring av kode (RCE).

For å utnytte feilen må angriperen være autentisert med minst Site Owner-rettigheter. Microsoft bekrefter at sårbarheten har blitt utnyttet som en nulldag før sikkerhetsoppdateringene ble publisert i juli 2026. Angrepene vurderes som relativt enkle å gjennomføre og kan gi angripere vedvarende tilgang til kompromitterte SharePoint-miljøer.

CISA advarer samtidig om aktiv utnyttelse av flere SharePoint-sårbarheter som kan brukes til å stjele IIS-maskinnøkler, oppnå persistens og installere skadevare på lokale SharePoint-servere. Organisasjoner anbefales å installere de nyeste oppdateringene umiddelbart, aktivere AMSI-integrasjon, overvåke logger for mistenkelig aktivitet, fjerne eventuelle inntrengningsartefakter og begrense eller unngå direkte eksponering av SharePoint-servere mot internett.

Anbefaling:

Prioriter patching av alle berørte SharePoint-servere, verifiser at oppdateringene er korrekt installert, og gjennomfør en gjennomgang av miljøet for tegn på kompromittering før eventuell rotasjon av IIS-maskinnøkler.

Sårbarheter:

Ny ClickLock skadevare for macOS tvinger brukere til å oppgi innloggingspassord

ClickLock er en ny informasjonsstjelende skadevare for macOS som bruker sosial manipulering til å få brukere til å oppgi systempassordet sitt. Angrepet starter trolig med en ClickFix lokkemetode der brukeren lures til å kjøre en kommando i Terminal, som viser en falsk Cloudflare verifisering samtidig som skadevaren lastes ned i bakgrunnen og varsler deaktiveres. Dersom brukeren avviser det falske passordvinduet, etablerer skadevaren vedvarende tilgang gjennom LaunchAgents og avslutter gjentatte ganger sentrale macOS prosesser som Finder, Dock, Terminal og Systeminnstillinger til brukeren oppgir riktig passord. Når passordet er bekreftet, sendes det til angriperen via Telegram, samtidig som skadevaren samler inn nettleserdata, informasjonskapsler, lagrede passord, kryptolommebøker, passordbehandlerdata og annen systeminformasjon. ClickLock installerer også en modifisert versjon av GSocket som bakdør, noe som gir angriperen vedvarende ekstern tilgang til den kompromitterte enheten. Group IB opplyser at minst 100 systemer i 33 land er rammet, og at skadevaren på analysetidspunktet ikke ble oppdaget av sikkerhetsløsningene tilgjengelige på VirusTotal.

Anbefaling:

Unngå å kjøre Terminal kommandoer fra ukjente nettsteder. Hvis macOS viser et uventet passordvindu samtidig som systemet ikke reagerer, slå av maskinen ved å holde inne av/på-knappen og start i sikkermodus.

Claude-utvidelse for Chrome kan misbrukes av ondsinnede nettleserutvidelser

En sårbarhet i Anthropics Claude-utvidelse for Chrome kan gjøre det mulig for en ondsinnet nettleserutvidelse å utløse forhåndsdefinerte AI-handlinger uten reell brukerinteraksjon. Feilen ble oppdaget av Manifold Security og skyldes at Claude-utvidelsen ikke bekrefter om klikkhendelser faktisk kommer fra brukeren ved å kontrollere Event.isTrusted.

En angriper må først få offeret til å installere en ondsinnet Chrome-utvidelse med tilgang til claude.ai. Deretter kan utvidelsen generere falske klikk som får Claude til å utføre innebygde arbeidsflyter, blant annet å lese Gmail, håndtere Google Dokumenter, opprette kalenderavtaler eller endre Salesforce-data. Angrepet gir ikke mulighet for vilkårlig prompt injection, men er begrenset til de forhåndsdefinerte oppgavene som finnes i Claude-utvidelsen.

Forskerne identifiserte også parameteren skipPermissions=true, som kan omgå enkelte tillatelseskontroller ved oppstart av utvidelsen. Denne ble klassifisert som informativ fordi den ikke kan utnyttes alene uten en ekstra sårbarhet.

Risikoen er størst for brukere som har koblet Claude til flere tjenester og spesielt dersom innstillingen «Act without asking» er aktivert. Anthropic er varslet om funnene, men forskerne opplyser at sårbarhetene fortsatt er reproducerbare i versjon 1.0.80 av utvidelsen.

Anbefaling:

Begrens installasjon av nettleserutvidelser til pålitelige kilder, gjennomgå tillatelser regelmessig, og vurder å deaktivere automatiske AI-handlinger som kan utføres uten brukerbekreftelse.

Thursday, 16 July 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.07.16

Zoom advarer om kritisk sårbarhet som kan gi kontoovertakelse. Sikkerhetsoppdatering tilgjengelig for Foxit PDF Reader 2026.1.2 og Foxit PDF Editor 2026.1.2. Aktivt utnyttet nulldagssårbarhet i Microsoft AD FS gir administratorrettigheter. Utvidet sikkerhetsoppdatering fra Microsoft - KB5099539.


Zoom advarer om kritisk sårbarhet som kan gi kontoovertakelse

Zoom har offentliggjort en kritisk sårbarhet, CVE-2026-53412, som kan gjøre det mulig for en uautentisert angriper å overta Zoom-kontoer via nettverkstilgang. Sårbarheten skyldes en feil i input-validering og har fått en CVSS-score på 9,8 av 10.

Følgende produkter er berørt:

  • Zoom Workplace for Windows før versjon 7.0.0

  • Zoom VDI Client for Windows før 7.0.10, 6.6.15 og 6.5.18

  • Zoom Meeting SDK for Windows før versjon 7.0.0

Zoom har foreløpig ikke offentliggjort tekniske detaljer om sårbarheten, trolig for å redusere risikoen for aktiv utnyttelse før de fleste kunder har oppdatert. Det finnes per nå ingen tegn til at sårbarheten er blitt utnyttet i angrep.

Samtidig har Zoom rettet flere andre alvorlige Windows-relaterte sårbarheter:

  • CVE-2026-53410: Privilegiumeskalering under installasjon eller avinstallasjon via en TOCTOU-race condition.

  • CVE-2026-53409: Feil i privilegiehåndtering som kan gi lokal privilegieeskalering i Zoom Rooms.

  • CVE-2026-53411: Input-valideringsfeil i Zoom Workplace VDI Plugin som kan gi lokal privilegieeskalering.

Anbefaling:

Organisasjoner bør prioritere oppdatering av alle Zoom-klienter og VDI-komponenter på Windows til siste tilgjengelige versjon. Sikkerhetsteam bør også verifisere at eldre Zoom-installasjoner ikke fortsatt er i bruk i miljøet.

Sårbarheter:

Sikkerhetsoppdatering tilgjengelig for Foxit PDF Reader 2026.1.2 og Foxit PDF Editor 2026.1.2

Foxit har publisert sikkerhetsoppdateringene Foxit PDF Reader 2026.1.2 og Foxit PDF Editor 2026.1.2 for Windows. Oppdateringene retter et stort antall sikkerhetssårbarheter som kan føre til ekstern kjøring av vilkårlig kode, lokal privilegieeskalering og informasjonslekkasje ved åpning av spesiallagde PDF eller XDP filer. Totalt adresseres over 25 sårbarheter, hvor majoriteten er Use-After-Free, Out-of-Bounds Read/Write, Type Confusion, Buffer Overflow og XML External Entity (XXE)-feil. Flere av sårbarhetene kan utnyttes dersom en bruker åpner en ondsinnet PDF fil, noe som kan gi angripere mulighet til å kjøre vilkårlig kode med brukerens rettigheter.

Den mest alvorlige sårbarheten er CVE-2026-57239 (CVSS 8.2), som kan føre til lokal privilegieeskalering gjennom Foxits oppdateringstjeneste ved å laste inn ondsinnede DLL filer med SYSTEM rettigheter. Oppdateringen omfatter også en rekke sårbarheter relatert til JavaScript-behandling i PDF filer, 3D-objekter, annotasjoner, bildeobjekter og XDP/XML-parseren. Det finnes foreløpig ingen offentlig informasjon om aktiv utnyttelse av disse sårbarhetene.

Anbefaling:

Oppgrader umiddelbart til Foxit PDF Reader 2026.1.2 eller Foxit PDF Editor 2026.1.2 (eller Foxit PDF Editor 14.0.5 for 14.x serien). Organisasjoner bør prioritere oppdateringen på alle Windows systemer som benytter Foxit produkter. Inntil oppdateringen er installert bør brukere være varsomme med å åpne PDF filer fra ukjente eller upålitelige kilder, da flere av sårbarhetene krever at brukeren åpner en spesiallaget fil for å bli utnyttet.

Aktivt utnyttet nulldagssårbarhet i Microsoft AD FS gir administratorrettigheter

Microsoft har publisert sikkerhetsoppdateringer for CVE-2026-56155, en aktivt utnyttet sårbarhet i Active Directory Federation Services (AD FS). Sårbarheten skyldes utilstrekkelig detaljert tilgangskontroll i AD FS og gjør det mulig for en autentisert lokal bruker med lave privilegier å eskalere til administratorrettigheter. Angrepet krever lokal autentisert tilgang, lav kompleksitet og ingen brukerinteraksjon. En vellykket utnyttelse kan gi full kontroll over konfidensialitet, integritet og tilgjengelighet på den berørte serveren. Sårbarheten er særlig alvorlig fordi AD FS håndterer autentisering og utsteder sikkerhetstokener til virksomhetens tjenester, noe som kan gi en angriper mulighet til å endre føderasjonsinnstillinger, få tilgang til autentiseringsmateriale og bruke serveren som utgangspunkt for videre angrep i nettverket. Microsoft har bekreftet at sårbarheten utnyttes aktivt og har gjort sikkerhetsoppdateringer tilgjengelige for berørte Windows Server versjoner.

Anbefaling:

Installer Microsofts sikkerhetsoppdateringer for juli 2026 på alle berørte AD FS servere og bekreft at oppdateringene er installert.

Sårbarheter:

Utvidet sikkerhetsoppdatering fra Microsoft - KB5099539

Microsoft tilgjengeliggjorde tirsdag 14.07 en utvidet sikkerhetsoppdatering for Windows 10-enheter, KB5099539, som er omfattet av ESU-programmet (Extended Security Updates). Oppdateringen inkluderer sikkerhetsfikser fra juli 2026 Patch Tuesday, der totalt 570 sårbarheter ble rettet, inkludert to aktivt utnyttede null-dagssårbarheter og én offentlig kjent null-dagssårbarhet.

I tillegg til sikkerhetsoppdateringene inneholder KB5099539 flere feilrettinger, blant annet for OLE Automation, OneDrive-integrasjonen i Filutforsker og visning av filnavn ved permanent sletting fra Papirkurven. Oppdateringen introduserer også forbedringer knyttet til Secure Boot og RDP-sikkerhet, inkludert støtte for SHA-2-baserte sertifikatavtrykk.

Microsoft lanserte i juli sikkerhetsoppdateringer for totalt 622 sårbarheter hvor 59 vurderes som kritiske. Av disse trekkes følgende frem:

- Kodekjøring i Windows Server Network driver (CVE-2026-56188 / CVSSv3.1 9,8 (KRITISK))
- Kodekjøring i Windows FTP (CVE-2026-49172 / CVSSv3.1 9,8 (KRITISK))
- Kodekjøring i SharePoint (CVE-2026-50522 / CVSSv3.1 9,8 (KRITISK))
- Kodekjøring i SharePoint (CVE-2026-58644 / CVSSv3.1 9,8 (KRITISK))
- Kodekjøring i DHCP Server (CVE-2026-50518 / CVSSv3.1 9,8 (KRITISK))
- Omgåelse av autentisering i SharePoint Server (CVE-2026-55040 / CVSSv3.1 9,1 (KRITISK))
- Omgåelse av autentisering i SharePoint Server (CVE-2026-56164 / CVSSv3.1 5,3 (MEDIUM))

Microsoft varsler samtidig at en ny sikkerhetsherding i nettverksstakken kan påvirke eldre applikasjoner som benytter uregistrerte tredjeparts TDI-transporter. Organisasjoner med eldre programvare bør derfor teste oppdateringen før bred utrulling.

Anbefaling:

Oppdateringene bør prioriteres installert på støttede Windows 10-systemer, da de adresserer et betydelig antall sårbarheter og innfører flere viktige sikkerhetsforbedringer. Samtlige enheter bør oppdateres så snart som mulig, og ikke senere enn 29.juli.

Wednesday, 15 July 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.07.15

Sikkerhetsoppdatering tilgjengelig for Foxit PDF Reader 2026.1.2 og Foxit PDF Editor 2026.1.2. Aktivt utnyttet nulldagssårbarhet i Microsoft AD FS gir administratorrettigheter. Utvidet sikkerhetsoppdatering fra Microsoft - KB5099539.


Sikkerhetsoppdatering tilgjengelig for Foxit PDF Reader 2026.1.2 og Foxit PDF Editor 2026.1.2

Foxit har publisert sikkerhetsoppdateringene Foxit PDF Reader 2026.1.2 og Foxit PDF Editor 2026.1.2 for Windows. Oppdateringene retter et stort antall sikkerhetssårbarheter som kan føre til ekstern kjøring av vilkårlig kode, lokal privilegieeskalering og informasjonslekkasje ved åpning av spesiallagde PDF eller XDP filer. Totalt adresseres over 25 sårbarheter, hvor majoriteten er Use-After-Free, Out-of-Bounds Read/Write, Type Confusion, Buffer Overflow og XML External Entity (XXE)-feil. Flere av sårbarhetene kan utnyttes dersom en bruker åpner en ondsinnet PDF fil, noe som kan gi angripere mulighet til å kjøre vilkårlig kode med brukerens rettigheter.

Den mest alvorlige sårbarheten er CVE-2026-57239 (CVSS 8.2), som kan føre til lokal privilegieeskalering gjennom Foxits oppdateringstjeneste ved å laste inn ondsinnede DLL filer med SYSTEM rettigheter. Oppdateringen omfatter også en rekke sårbarheter relatert til JavaScript-behandling i PDF filer, 3D-objekter, annotasjoner, bildeobjekter og XDP/XML-parseren. Det finnes foreløpig ingen offentlig informasjon om aktiv utnyttelse av disse sårbarhetene.

Anbefaling:

Oppgrader umiddelbart til Foxit PDF Reader 2026.1.2 eller Foxit PDF Editor 2026.1.2 (eller Foxit PDF Editor 14.0.5 for 14.x serien). Organisasjoner bør prioritere oppdateringen på alle Windows systemer som benytter Foxit produkter. Inntil oppdateringen er installert bør brukere være varsomme med å åpne PDF filer fra ukjente eller upålitelige kilder, da flere av sårbarhetene krever at brukeren åpner en spesiallaget fil for å bli utnyttet.

Aktivt utnyttet nulldagssårbarhet i Microsoft AD FS gir administratorrettigheter

Microsoft har publisert sikkerhetsoppdateringer for CVE-2026-56155, en aktivt utnyttet sårbarhet i Active Directory Federation Services (AD FS). Sårbarheten skyldes utilstrekkelig detaljert tilgangskontroll i AD FS og gjør det mulig for en autentisert lokal bruker med lave privilegier å eskalere til administratorrettigheter. Angrepet krever lokal autentisert tilgang, lav kompleksitet og ingen brukerinteraksjon. En vellykket utnyttelse kan gi full kontroll over konfidensialitet, integritet og tilgjengelighet på den berørte serveren. Sårbarheten er særlig alvorlig fordi AD FS håndterer autentisering og utsteder sikkerhetstokener til virksomhetens tjenester, noe som kan gi en angriper mulighet til å endre føderasjonsinnstillinger, få tilgang til autentiseringsmateriale og bruke serveren som utgangspunkt for videre angrep i nettverket. Microsoft har bekreftet at sårbarheten utnyttes aktivt og har gjort sikkerhetsoppdateringer tilgjengelige for berørte Windows Server versjoner.

Anbefaling:

Installer Microsofts sikkerhetsoppdateringer for juli 2026 på alle berørte AD FS servere og bekreft at oppdateringene er installert.

Sårbarheter:

Utvidet sikkerhetsoppdatering fra Microsoft - KB5099539

Microsoft tilgjengeliggjorde tirsdag 14.07 en utvidet sikkerhetsoppdatering for Windows 10-enheter, KB5099539, som er omfattet av ESU-programmet (Extended Security Updates). Oppdateringen inkluderer sikkerhetsfikser fra juli 2026 Patch Tuesday, der totalt 570 sårbarheter ble rettet, inkludert to aktivt utnyttede null-dagssårbarheter og én offentlig kjent null-dagssårbarhet.

I tillegg til sikkerhetsoppdateringene inneholder KB5099539 flere feilrettinger, blant annet for OLE Automation, OneDrive-integrasjonen i Filutforsker og visning av filnavn ved permanent sletting fra Papirkurven. Oppdateringen introduserer også forbedringer knyttet til Secure Boot og RDP-sikkerhet, inkludert støtte for SHA-2-baserte sertifikatavtrykk.

Microsoft varsler samtidig at en ny sikkerhetsherding i nettverksstakken kan påvirke eldre applikasjoner som benytter uregistrerte tredjeparts TDI-transporter. Organisasjoner med eldre programvare bør derfor teste oppdateringen før bred utrulling.

Anbefaling:

Oppdateringen bør prioriteres installert på støttede Windows 10-systemer, da den adresserer et betydelig antall sårbarheter og innfører flere viktige sikkerhetsforbedringer.

Tuesday, 14 July 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.07.14

Russiske aktører utnytter svake rutere globalt. AI generert PowerShell skript brukt til å kartlegge Active Directory miljø.


Russiske aktører utnytter svake rutere globalt

En ny felles rådgivning fra flere vestlige etterretnings- og sikkerhetsmyndigheter advarer om at russisk statssponsede aktører, særlig knyttet til FSB Center 16, over lengre tid har utnyttet sårbare eller feilkonfigurerte nettverksenheter. Angrepene anses å være opportunistiske og retter seg mot et bredt spekter av kritisk infrastruktur globalt, inkludert energi, telekom, finans, helse og offentlig sektor.

Angriperne bruker primært omfattende scanning etter enheter med åpne eller svakt sikrede SNMP tjenester. Blir slike enheter funnet, kan aktørene hente ut konfigurasjonsfiler (ofte via TFTP) og dermed få tilgang til legitimasjon og sensitiv nettverksinformasjon. I noen tilfeller kan også kjente sårbarheter (CVE-er) i blant annet Cisco-enheter utnyttes, samt svakheter i administrasjonsgrensesnitt og funksjoner som Smart Install.

Konsekvensene anses som alvorlige: kompromitterte rutere kan gi angripere vedvarende tilgang til nettverk, muliggjøre datalekkasjer og fungere som infrastruktur for videre angrep. Aktiviteten overlapper også med metoder sett hos andre statlige trusselaktører, noe som øker kompleksiteten i deteksjon og respons.

Anbefaling:

Myndighetene anbefaler flere tiltak: deaktivere gamle protokoller (SNMPv1/v2), bruke SNMPv3 med kryptering, endre standardpassord, deaktivere usikre funksjoner som Smart Install, begrense administrasjonstilgang via ACL-er og holde firmware oppdatert. I tillegg bør organisasjoner overvåke mistenkelig aktivitet og sikre at kun nødvendige porter og tjenester er eksponert.

AI generert PowerShell skript brukt til å kartlegge Active Directory miljø

En ukjent trusselaktør har benyttet seg av et PowerShell skript som Huntress mener sannsynligvis er generert med hjelp fra kunstig intelligens for å kartlegge et Active Directory miljø. Angrepet startet med RDP tilgang til en domenetilknyttet Windows Server ved bruk av kompromitterte legitimasjoner, før verktøy ble plassert i mappen C:\ProgramData\. Skriptet identifiserte domenekontrolleren og samlet inn informasjon om brukere, datamaskiner, domener, grupper, organisatoriske enheter (OU-er) og tillitsforhold, før dataene ble lagret i en mellomlagringsmappe. Huntress beskriver skriptet som aggressivt og omfattende, med flere metoder for å finne domenekontrolleren, samt tegn som tyder på bruk av en språkmodell, inkludert skripttittel, plassholdertekst og overkonstruert kode. Etter kartleggingen brukte angriperen verktøyene s5cmd og SharpShares for å kartlegge tilgjengelige nettverksdelinger, før informasjonen ble eksportert, arkivert og sendt til en ekstern server. Angrepet viser at AI kan brukes til å raskere lage og tilpasse kjente angrepsmetoder, men teknikkene som ble brukt var basert på etablerte fremgangsmåter.

Anbefaling:

Telenor Cyberdefence anbefaler at aktivitet knyttet til RDP tilgang og Active Directory kartlegging overvåkes.

Monday, 13 July 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.07.13

Angripere utnytter kritisk autentiseringsomgåelse i Gitea Docker-avbildning. Kompromittert jscrambler pakke på npm installerer Rust basert infostealer. Ghostcommit skjuler prompt injection i bilder for å stjele hemmeligheter fra AI kodeagenter. Dell BIOS svakhet gjør det mulig å hente administratorpassord fra SPI Flash på millisekunder. RedHook malware misbruker Wireless ADB for å oppnå utvidede privilegier på Android.


Angripere utnytter kritisk autentiseringsomgåelse i Gitea Docker-avbildning

En kritisk autentiseringsomgåelse i den offisielle Docker avbildningen for Gitea utnyttes aktivt og gjør det mulig for angripere å utgi seg for å være hvilken som helst bruker, inkludert administratorer. Sårbarheten, CVE-2026-20896, skyldes at standardkonfigurasjonen stoler på identitetsoverskrifter som X-WEBAUTH-USER fra alle IP-adresser når omvendt proxy autentisering er aktivert. Dette gjør at en uautentisert klient kan sende en egendefinert HTTP header og få tilgang som en vilkårlig bruker uten passord eller token. Sårbarheten påvirker offisielle Gitea Docker-avbildninger til og med versjon 1.26.2, og Sysdig observerte aktiv utnyttelse 13 dager etter at sikkerhetsrådet ble publisert. Gitea har rettet feilen i versjon 1.26.3 og 1.26.4, og myndighetene i Singapore har advart om at sårbarheten utnyttes i aktive angrep.

Anbefaling:

Oppgrader til Gitea 1.26.4. Dersom oppgradering ikke er mulig, begrens innstillingen REVERSE_PROXY_TRUSTED_PROXIES til kun betrodde IP-adresser og gjennomgå tilgangslogger for tegn på kompromittering.

Sårbarheter:

Kompromittert jscrambler pakke på npm installerer Rust basert infostealer

Den kompromitterte jscrambler@8.14.0-pakken på npm inneholder et ondsinnet preinstall skript som automatisk installerer og kjører en Rust basert infostealer på Windows, macOS og Linux under installasjonen. Skadevaren velger en plattformspesifikk binærfil, lagrer den med et tilfeldig navn i systemets midlertidige katalog og kjører den skjult. Ifølge analysene fra Socket, StepSecurity og SafeDep finnes de ondsinnede filene kun i npm pakken og ikke i det offentlige GitHub repositoriet, noe som tyder på at en legitim vedlikeholderkonto eller publiseringsprosessen ble kompromittert. Infostealeren samler inn skytjenestelegitimasjon, nettleserdata, passord, kryptolommebøker, AI verktøykonfigurasjoner, API nøkler og andre hemmeligheter, og kommuniserer med kommando- og kontrollservere over TLS. På Linux har skadevaren også støtte for å laste inn et eBPF-program i kjernen, mens Windows og macOS versjonene etablerer vedvarende tilgang ved hjelp av planlagte oppgaver eller LaunchAgents.

Anbefaling:

Oppgrader til jscrambler 8.15.0 eller gå tilbake til 8.13.0, fjern 8.14.0 fra lockfiler og cacher, og dersom versjon 8.14.0 har blitt installert, behandle alle tilgjengelige hemmeligheter som kompromitterte og roter nøkler, token og legitimasjon.

Ghostcommit skjuler prompt injection i bilder for å stjele hemmeligheter fra AI kodeagenter

Forskere ved University of Missouri–Kansas City har demonstrert Ghostcommit, en angrepsteknikk som skjuler prompt injection i PNG bilder for å få AI baserte kodeagenter til å lekke hemmeligheter fra kodearkiver. Angrepet utnytter at enkelte AI baserte kodegjennomgangsverktøy ikke analyserer bildefiler, samtidig som kodeagenter følger instruksjoner fra filer som AGENTS.md, der bildet refereres. Når en utvikler senere ber en AI agent utføre en tilsynelatende legitim oppgave, leser agenten instruksjonene i bildet, henter innholdet i .env-filen, koder dataene som en liste med heltall og skriver dem inn i kildekoden. Hemmelighetene kan deretter hentes ut fra et offentlig commit, uten at tradisjonelle hemmelighetsskannere oppdager lekkasjen. Forskerne fant at angrepet avhenger mer av hvordan AI verktøyet er implementert enn av hvilken språkmodell som brukes, og utviklet en multimodal GitHub applikasjon som analyserer både tekst og bilder for å oppdage denne typen angrep.

Anbefaling:

Bruk kodegjennomgangsverktøy som analyserer både tekst og bilder, begrens AI agenters tilgang til sensitive filer som .env, og overvåk uventet tilgang til hemmeligheter under kjøring.

Dell BIOS svakhet gjør det mulig å hente administratorpassord fra SPI Flash på millisekunder

Forskere har avdekket en sårbarhet i hvordan enkelte Dell enheter lagrer BIOS passord i SPI Flash. Svakheten skyldes en mangelfull XOR basert kryptering som gjør det mulig å gjenopprette BIOS administratorpassord svært raskt fra en flash dump. Ifølge opplysningene påvirkes flere Dell plattformer, og Dell har bekreftet funnene. Dell har publisert sikkerhetsoppdateringer for enkelte berørte plattformer, mens oppdateringer for andre modeller fortsatt er under arbeid.

Anbefaling:

Installer Dells tilgjengelige sikkerhetsoppdateringer for berørte plattformer.

Sårbarheter:

RedHook malware misbruker Wireless ADB for å oppnå utvidede privilegier på Android

Group-IB har analysert en ny versjon av Android skadevaren RedHook, som misbruker Wireless ADB for å oppnå skalltilgang (UID 2000) uten behov for root eller tilkobling til en datamaskin. Angrepet starter med at brukeren lures til å gi skadevaren tilgang til Androids tilgjengelighetstjenester, som deretter brukes til å aktivere utviklerinnstillinger og Wireless Debugging automatisk. Skadevaren leser parkoblingskoden som vises på skjermen, kobler seg til enhetens ADB tjeneste via 127.0.0.1 og benytter Shizuku til å utføre privilegerte skallkommandoer og endre beskyttede systeminnstillinger. RedHook beholder samtidig sine RAT funksjoner, blant annet skjermdeling, tastelogging, innsamling av kontakter og SMS, installasjon og fjerning av apper, kameratilgang og opprettelse av falske dialogvinduer. Ifølge Group-IB benytter skadevaren flere mekanismer for vedvarende tilgang og distribueres gjennom sosial manipulering, der angripere utgir seg for å være offentlige myndigheter eller finansinstitusjoner og leder ofrene til falske Google Play nettsteder.

Anbefaling:

Installer apper kun fra Google Play, kontroller hvilke tillatelser apper ber om, og sørg for at Google Play Protect er aktivert.

Friday, 10 July 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.07.10

Ny GigaWiper bakdør kombinerer datavisking, falsk ransomware og spionfunksjoner.


Ny GigaWiper bakdør kombinerer datavisking, falsk ransomware og spionfunksjoner

Microsoft har analysert en ny Windows bakdør kalt GigaWiper, som kombinerer flere destruktive funksjoner og spionkapasiteter i én skadevareplattform. Skadevaren kan overskrive hele fysiske disker, slette Windows-partisjonen eller kryptere filer ved hjelp av en falsk ransomware funksjon som ikke lagrer krypteringsnøkkelen, noe som gjør gjenoppretting umulig. I tillegg kan GigaWiper ta skjermbilder, gjøre skjermopptak, opprette skjulte VNC-økter, samle systeminformasjon, administrere prosesser og tjenester, endre registeret og slette Windows-hendelseslogger for å skjule aktivitet. For vedvarende tilgang oppretter den en planlagt oppgave kalt OneDrive Update, mens kommando og kontrolltrafikk sendes via RabbitMQ, Redis og MinIO for å fremstå som legitim nettverkstrafikk. Microsoft opplyser at GigaWiper gjenbruker kode fra de tidligere skadevarene Crucio og FlockWiper, mens Binary Defense omtaler de samme skadevareprøvene som BLUERABBIT.

Anbefaling:

Aktiver Microsoft Defender Tamper Protection, blokker de kjente kommando og kontrollserverne, aktiver Endpoint Detection and Response (EDR) i blokkmodus, og sørg for å ha oppdaterte sikkerhetskopier lagret offline.

 
>