Linux "Dirty Frag" nulldagssårbarhet gir root rettigheter via feil i ESP håndtering. Ivanti advarer om EPMM sårbarhet brukt i nulldag angrep. GhostLock angrep utnytter Windows fildeling for å låse filtilgang som løsepengevirus. Hackere bruker manipulert JPEG-fil til å installere PureHVNC-skadevare. macOS skadevare bruker Google Ads til å spre infiserte nettleserinstallasjoner. Stadig økende mengde sofistikerte phishingforsøk.
Linux "Dirty Frag" nulldagssårbarhet gir root rettigheter via feil i ESP håndtering
Dirty Frag er en alvorlig sårbarhet i Linux kjernen som kan gi en lokal angriper full kontroll over et system med root rettigheter. Feilen ligger i hvordan Linux håndterer nettverkspakker og minnedeling ved bruk av kryptert IPsec/ESP trafikk. Under bestemte forhold kan kjernen feilaktig dekryptere data direkte i delt minne i stedet for å lage en sikker kopi først. Dette gjør det mulig å endre beskyttede data i minnet og manipulere systemfiler uten å ha nødvendige rettigheter. Sårbarheten beskrives som en logikkfeil i Linux kjernen og krever ikke kompliserte race conditions for å fungere, noe som øker sjansen for vellykket angrep. Flere store Linux distribusjoner, inkludert Ubuntu, RHEL, Fedora og openSUSE er berørt. Mainline Linux kjernen er blitt oppdatert for å tette denne sårbarheten.
Ivanti advarer om EPMM sårbarhet brukt i nulldag angrep
En aktivt utnyttet nulldagssårbarhet (CVE-2026-6973) i on-premise versjonen av Ivanti Endpoint Manager Mobile gjør det mulig for autentiserte administratorer å kjøre vilkårlig kode eksternt på berørte servere. Ivanti bekrefter at et begrenset antall kunder allerede er kompromittert. Sårbarheten påvirker EPMM 12.8.0.0 og eldre versjoner, og kan gi tilgang til administrasjonsdata, brukerinformasjon og informasjon om administrerte enheter. Samtidig har Ivanti publisert sikkerhetsoppdateringer for ytterligere fire sårbarheter med høy grad i EPMM. Organisasjoner anbefales å oppgradere til 12.6.1.1, 12.7.0.1 eller 12.8.0.1 umiddelbart, samt rotere administratorpassord dersom tidligere EPMM sårbarheter kan ha blitt utnyttet. CISA har lagt sårbarheten til KEV katalogen og har gitt føderale virksomheter en firedagers frist for å installere sikkerhetsoppdateringer.
GhostLock angrep utnytter Windows fildeling for å låse filtilgang som løsepengevirus
GhostLock er en ny angrepsteknikk som misbruker standard funksjonalitet i Windows SMB-fildeling for å blokkere tilgang til filer uten å kryptere data. En autentisert domenebruker med vanlige leserettigheter kan åpne filer med CreateFileW-API-et og sette dwShareMode til 0x00000000, noe som oppretter eksklusive låser som hindrer andre prosesser i å lese, skrive eller slette filene. Angrepet gir STATUS_SHARING_VIOLATION (0xC0000043) for alle andre klienter til håndtaket frigjøres eller SMB-økten termineres. GhostLock bruker en Python-basert implementasjon med 32 parallelle tråder for å skalere angrepet over store SMB-delinger og oppnådde i testing 99,6 % låsesuksess på 500 000 filer. Under tester ble 99,8 % av filtilganger blokkert i en 60-sekundersperiode, og én angriper kunne holde over 500 000 eksklusive filhåndtak aktive. Teknikken utløste ingen alarmer fra honeypot-filer, EDR, SIEM, AI-baserte ransomware-detektorer eller nettverksinspeksjon fordi den ikke skriver data til disk og SMB-trafikken ser legitim ut. Artikkelen opplyser at problemet ikke regnes som en programvarefeil og derfor ikke har fått en CVE-identifikator.
Ghostlock understeker viktigheten av zero trust og prinsippet om least privilege; at brukere skal KUN ha tilgang til det de trenger. Normalt vil ingen nettverksbruker ha behov for å ha tilgang til alle filer på en filserver.
Hackere bruker manipulert JPEG-fil til å installere PureHVNC-skadevare
En pågående phishing-kampanje distribuerer PureHVNC Remote Access Trojan ved hjelp av en manipulert JPEG-fil som inneholder skjult skadevarekode. Angrepet starter med phishing-eposter som inneholder ZIP-arkiver med en .lnk-fil forkledd som et bilde, hvor snarveien kjører PowerShell-kommandoer som laster ned et JPEG-bilde fra eksterne servere. JPEG-filen inneholder Base64-kodet payload skjult etter gyldige bildedata, og PowerShell bruker findstr og certutil -decode for å trekke ut og dekode den skjulte koden til en kjørbar fil. Den dekodede payloaden injiseres deretter i legitime Windows-prosesser ved hjelp av prosess-hollowing for å omgå sikkerhetsprodukter og etablere vedvarende fjernkontroll. PureHVNC gir angriperen full fjernstyring av systemet, inkludert tastaturlogging, skjermovervåkning, filhåndtering og kommandoeksekvering. Kampanjen bruker legitime Windows-verktøy som PowerShell og certutil for å redusere sannsynligheten for deteksjon. Artikkelen beskriver også bruk av obfuskering i PowerShell-skript for å skjule kommandoene under analyse.
Blokker eller overvåk bruk av certutil og PowerShell som henter eller dekoder filer fra eksterne kilder.
macOS skadevare bruker Google Ads til å spre infiserte nettleserinstallasjoner
En skadevarekampanje rettet mot macOS-brukere bruker falske Google Ads for å lede ofre til nettsider som etterligner legitime nedlastingssider for nettlesere. Kampanjen distribuerer Atomic Stealer (AMOS), som stjeler passord, kryptolommebøker, nettleserdata og autentiseringsinformasjon fra infiserte systemer. Angrepet starter når brukeren klikker på sponsede annonser i søkeresultater og laster ned en manipulert .dmg-fil fra et domenenavn som ligner den legitime tjenesten. Den installerte applikasjonen ber brukeren om macOS-legitimasjon via falske systemdialoger for å få utvidede rettigheter og tilgang til sensitive filer. Skadevaren samler deretter inn data fra nettlesere, nøkkelringer og kryptolommebøker før informasjonen sendes til eksterne kommando- og kontrollservere. Kampanjen benytter domener med typosquatting og misbruker tilliten til Google Ads for å øke sannsynligheten for installasjon. Artikkelen beskriver at infrastrukturen og domenene endres raskt for å redusere effektiviteten til blokkering og nedtakingsforsøk.
Stadig økende mengde sofistikerte phishingforsøk
Den siste tiden er det identifisert flere phishingforsøk med økende teknisk presisjon og tilpasning til moderne identitetsløsninger. Angrepene distribueres hovedsakelig via e‑post og SMS, og utgir seg for å være varsler om delte dokumenter, sikkerhetshendelser eller hastepregede forespørsler som krever rask handling.
Flere av forsøkene benytter AiTM (Adversary‑in‑the‑Middle)‑teknikker, der brukeren ledes til en falsk påloggingsside som fungerer som et mellomledd mot den ekte tjenesten. Dette gjør det mulig å fange opp legitime påloggingsdata og autentiseringsinformasjon i sanntid, inkludert flerfaktor‑autentisering.
I tillegg er det observert økt bruk av device code phishing. I disse angrepene blir brukeren bedt om å gå til en legitim påloggingsside og angi en enhetskode som allerede er generert av angriperen. Siden påloggingen skjer på et ekte nettsted, kan angrepet fremstå som troverdig og samtidig omgå enkelte beskyttelsestiltak, spesielt dersom brukeren ikke forstår sammenhengen for kodeforespørselen.
Meldingene er ofte godt formulert og visuelt overbevisende. Brukere oppfordres til å være ekstra oppmerksomme på uventede påloggingsforespørsler, kontrollere adresser og kontekst nøye, og verifisere tvilsomme henvendelser via alternative kanaler. Tidlig rapportering av mistenkelige meldinger er fortsatt avgjørende for å begrense risiko og konsekvenser.
Vær obs på ukjente forespørsler for to-faktor autentisering. Sjekk kontekst og URL i mottatte henvendelser(mail, SMS, meldingsapper). Sjefen din vil aldri sende deg SMS og be deg kjøpe forhåndsbetalte kredittkort!
