Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 16 May 2019

2019.05.16 - Nyhetsbrev

Cisco har sluppet sikkerhetsoppdateringer. Falskt angrepsvarsel ble lagt inn i Eurovision-sending.

Cisco har sluppet sikkerhetsoppdateringer

Cisco har sluppet sikkerhetsoppdateringer for en mengde av sine produkter.
Referanser
https://tools.cisco.com/security/center/publi[...]

Falskt angrepsvarsel ble lagt inn i Eurovision-sending

Nettsiden som videreformidlet sendingen fra Eurovision 2019-eventen i Isreal ble hacket på tirsdag. Videosendingen ble også avbrutt av en falsk advarsel om et pågående rakettangrep.
Referanser
http://www.hackread.com/hackers-interrupt-isr[...]
https://www.digi.no/artikler/eurovision-sendi[...]

Wednesday, 15 May 2019

2019.05.15 - Nyhetsbrev

Nye svakheter funnet i Intel-CPUer. Microsoft patchetirsdag: ormbar-svakhet og 0-day under utnyttelse. Adobe slipper 87 patcher. VMware slipper oppdateringer. Apple patcher 173 svakheter i diverse produkter.

Microsoft patchetirsdag: ormbar-svakhet og 0-day under utnyttelse

Microsoft har sluppet deres månedlige sikkerhetsoppdateringer. Oppdateringene omfatter mange av deres produkter. 22 av svakhetene er rangert som kritiske.

Én av svakhetene i Windows sitt feilrapporteringssystem blir allerede utnyttet i aktive angrep til å oppnå utvidede rettigheter på kompromittere systemer.

Microsoft har også gitt ut en sikkerhetsoppdatering til flere av deres operativsystemer som i utgangspunktet ikke lenger mottar brukerstøtte. Svakheten er funnet i "Remote Desktop Services"-komponenten som brukes i blant annet Windows 7, XP, og Windows 2003. I likhet med WannaCry gjør svakheten det mulig for infiserte enheter å spre skadevaren videre automatisk, altså å utvikle en dataorm. Microsoft har ikke sett tegn til utnyttelse av svakheten, men anbefaler å oppdatere berørte enheter.
Anbefaling
Installer patcher.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://krebsonsecurity.com/2019/05/microsoft[...]
https://threatpost.com/microsoft-patches-zero[...]

Adobe slipper 87 patcher

Adobe har sluppet 87 patcher for Acrobat/Reader, Flash Player og Adobe Media Encoder for Windows og Mac OS. Flere av svakhetene har blitt rangert som kritiske, men Apple har ikke sett tegn på aktiv utnyttelse enda.
Anbefaling
Installer patcher.
Referanser
https://blogs.adobe.com/psirt/?p=1746
https://threatpost.com/adobe-flash-acrobat-re[...]

VMware slipper oppdateringer

VMware har sluppet oppdateringer for vCenter Server, ESXi, Workstation og Fusion. Noen av patchene er for å motvirke de nye svakhetene i Intel-CPUer.
Anbefaling
Installer patcher
Referanser
https://www.vmware.com/security/advisories/VM[...]

Apple patcher 173 svakheter i diverse produkter

Apple har gitt ut 173 patcher for diverse hardware, macOS, iPhone, Apple TV og Apple Watch. Flere av patchene er for å utbedre de nye Intel-svakhtene som ble offentliggjort i dag. 42 av fiksene er i iOS versjon 12.3, som også inneholder mye ny funksjonalitet.
Anbefaling
Installer patcher
Referanser
https://support.apple.com/en-us/HT201222
https://threatpost.com/apple-patches-intel-si[...]

Nye svakheter funnet i Intel-CPUer

I kjølevannet av Meltdown og Spectre-svakhetene, har det nå blitt offentliggjort flere nye svakheter i Intel-CPUer. Svakhetene er oppdaget av Intel selv, sikkerhetsfirmaer og forskere ved flere universiteter. De nye svakhetene har fått navnene ZombieLoad, Fallout og RIDL (Rogue In-Flight Data Load). Svakhetene har blitt oppdaget for opptil et år siden, men har blitt holdt hemmelig.

De nye svakhetene henter ut informasjon fra CPUen mens informasjonen beveger seg mellom forskjellige deler av den. Dette gjør at en prosess kan hente informasjon fra en annen prosess. Virtuelle miljøer er spesielt utsatt.

Det kreves patching av både hardware og software for motvirke svakhetene. Å slå av hyperthreading kan hjelpe. Google har f.eks. slått av HyperThreading i siste versjon av ChromeOS av sikkerhetsmessige grunner. Forskerne mener at de fortatt vil finne lignende svakheter framover.
Anbefaling
Installer patcher og slå eventuelt av hyperthreading
Referanser
https://www.wired.com/story/intel-mds-attack-[...]
https://www.theregister.co.uk/2019/05/14/inte[...]
https://www.intel.com/content/www/us/en/secur[...]

Tuesday, 14 May 2019

2019.05.14 - Nyhetsbrev

Twitter delte lokasjonsdata av iOS-brukere til reklame-partner med uhell. Kjøring av kode via nettverket i Linux-kjernen. Alvorlig svakhet i WhatsApp for iOS/Android. To alvorlige svakheter i Cisco-routere.

Twitter delte lokasjonsdata av iOS-brukere til reklame-partner med uhell

En bug i iOS-appen til Twitter gjorde at lokasjonsdata med en nøyaktighet på inntil 5 kilometer ble sendt til en reklame-partner. Hvis man hadde aktivert "precise location" funksjonen med en bruker, for så å logge inn med en annen bruker, kunne lokasjonsdataen for også denne brukeren bli sendt videre uten at man hadde godkjent det på noen måte.
Referanser
https://help.twitter.com/en/location-data-col[...]

Kjøring av kode via nettverket i Linux-kjernen

Det er en sårbarhet i Linux-kjerner eldre enn versjon 5.0.8 som gjør det mulig å kjøre vilkårlig kode via nettverket eller utføre tjenestenektangrep. Dette er en race-condition i kjernen. Svakheten skal heldigvis være vanskelig å utnytte i praksis, men patching anbefales!
Anbefaling
Oppgrader til siste versjon av kjernen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Alvorlig svakhet i WhatsApp for iOS/Android

Det er meldt om en alvorlig svakhet i WhatsApp for iOS/Android. Noen kan ta kontroll over telefonen din, kun ved å ringe den via WhatsApp. Du trenger ikke en gang å svare på anropet for at dette skal skje. Vi anbefaler å oppgradere til siste versjon fra App Store/Google Play ASAP.
Anbefaling
Installer siste versjon fra App Store/Google Play
Referanser
https://arstechnica.com/information-technolog[...]
https://journalisten.no/facebook-hacking-sosi[...]
https://www.nytimes.com/2019/05/13/technology[...]

To alvorlige svakheter i Cisco-routere

Selskapet Red Balloon Security har oppdaget to alvorlige svakheter i Cisco-produkter. Den ene svakheten lar en angriper omgå secure-boot mekanismen (Trust Anchor) og installere egen programvare på routeren. Den andre svakheten gir muligheten for å kjøre tilfeldige kommandoer på en router via nettverket. Til sammen gjør svakhetene det mulig å ta kontroll over en router via nettet og installere et spesialtilpasset OS på den.

Cisco har publisert patcher for svakheten som gjør det mulig å kjøre kommandoer via nettverket. Svakheten i Trust Anchor er ikke fikset enda og vil antaglig kreve fysisk nærhet til hardware når den skal patches.
Anbefaling
Install patch ASAP
Referanser
https://www.wired.com/story/cisco-router-bug-[...]
https://www.theregister.co.uk/2019/05/13/cisc[...]
https://thrangrycat.com/
https://tools.cisco.com/security/center/conte[...]

Monday, 13 May 2019

2019.05.13 - Nyhetsbrev

Windows 10 har fått FIDO2-sertifisering for passordfri innlogging. Telenor har presentert tips om hvordan en skal sikre IoT. Svakhet i Microsoft SharePoint blir nå utnyttet aktivt. Tre svakheter i Nvidia GPU-drivere.

Windows 10 har fått FIDO2-sertifisering for passordfri innlogging

Windows 10 har nå blitt offisielt FIDO2-serifisert av FIDO-alliansen. FIDO2 er et sett av standarder som muliggjør enkle og sikker pålogging på nettsider og applikasjoner via biometriske løsninger, mobile enheter eller fysiske sikkerhetsnøkler, og baserer seg på solid kryptografisk sikkerhet. Støtten kommer i neste oppdatering av Windows, som er ventet i slutten av mai.
Referanser
https://www.digi.no/artikler/na-tar-windows-1[...]

Telenor har presentert tips om hvordan en skal sikre IoT

Sikkerhetsdirektør Hanne Tangen Nilsen har gitt råd og tips om hvordan næringslivet skal forholde seg til IoT-sikkerhet. Dette ble gjort under Telenors eget arrangement for tingenes internett, IoT Gathering.
Referanser
https://www.digi.no/artikler/bruk-penger-pa-s[...]

Svakhet i Microsoft SharePoint blir nå utnyttet aktivt

Svakheten krever at angriper laster opp en pakke designet for å utnytte de kompromitterte versjonene av SharePoint. Angriperne laster typisk opp en bakdør, gjerne av typen ChinaChopper. Svakheten ble patchet av Microsoft i februar.
Referanser
https://portal.msrc.microsoft.com/en-US/secur[...]
https://www.cert.govt.nz/it-specialists/advis[...]

Tre svakheter i Nvidia GPU-drivere

Nvidia har patchet tre svakheter i sine GPU-drivere. Disse kan utnyttes til å oppnå utvidere rettigheter, utføre DoS-angrep og å hente ut informasjon fra et sårbart system. Maskinvareleverandørene jobber med å distribuere patcher.
Anbefaling
Installer patch fra leverandør
Referanser
https://threatpost.com/nvidia-windows-gamers-[...]

Friday, 10 May 2019

2019.05.10 - Nyhetsbrev

Ny variant av nordkoreansk malware. Gruppering skal ha brutt seg inn hos amerikanske antivirus-leverandører. Svakhet i PharStreamWrapper truer CMSer.

Ny variant av nordkoreansk malware

The Department of Homeland Security og Federal Bureau of Investigaion har identifisert en ny malware-variant som de kaller ELECTRICFISH som blir brukt av den nordkoreansk stat.

Linken under inkluderer analyse av malwaren, IoCer samt mer informason om ondsinnet cyber aktivitet fra Nord-Korea
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Gruppering skal ha brutt seg inn hos AV-leverandører

En hackergruppe som kaller seg for "Fxmsp" påstår å ha brutt seg inn hos tre amerikanske antivirusprogramleverandører, og driver nå ned aktiv markedsføring av kildekode og nettverkstilgang til selskapene. De forlanger 300.000 dollar, eller i underkant av 3 millioner kroner for dette, og har sterke beviser på gyldigheten av sine påstander. Gruppen hevder å ha utviklet en legitimasjonsstjelende botnet-malware som samler brukernavn og passord - for å angripe godt sikrede nettverk.
Referanser
https://arstechnica.com/information-technolog[...]

Svakhet i PharStreamWrapper truer CMSer

En svakhet i PharStreamWrapper, en PHP-kompontent utviklet av Typo3, kan gjøre flere forskjellige CMS-løsninger sårbare. Websider som kjører Drupal, Joomla eller Typo3 kan ha en svakhet som gjøre det mulig for angripere å eksekvere vilkårlig kode. Det anbefales å installere oppdatering fra respektive leverandør.
Anbefaling
Installer oppdatering fra respektive leverandør.
Referanser
https://arstechnica.com/information-technolog[...]

Thursday, 9 May 2019

2019.05.09 - Nyhetsbrev

Verizon har utgitt Data Breach Investigations Report for 2019. Det er oppdaget en alvorlig svakhet i Docker images som er basert på Alpine Linux.

Verizon har utgitt 2019 Data Breach Investigations Report

Data Breach Investigations Report (DBIR) fra Verizon er en rapport som har høy status i sikkerhetsmiljøet, spesielt med tanke på rapportens detaljerte innhold. Verizon har nå utgitt sin DBIR for 2019, hvor de går gjennom sine funn. Kort oppsummert viser statistikken at angrep som er økonomiske motivert øker, og det samme kan sies om angrep mot enkle mål.
Referanser
https://www.securityweek.com/verizon-publishe[...]

Alvorlig svakhet i Docker images som er basert på Alpine Linux

Det er oppdaget en alvorlig svakhet i de populære Docker imagene til Alpine Linux. Svakheten er at root-kontoen er ulåst, slik at en bruker kan logge seg inn som administrator uten noen form for autentisering.
Anbefaling
Oppgrader
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Wednesday, 8 May 2019

2019.05.08 - Nyhetsbrev

Cisco fikser alvorlig svakhet i Elastic Services Controller. Kryptobørsen Binance utsatt for sikkerhetsbrudd. Google gir ut månedlig sikkerhetsoppdatering for Android. APT-aktøren Turla har utviklet svært avansert Exchange-bakdør.

Sikkerhetsoppdatering til Cisco Elastic Services Controller

Cisco utgir sikkerhetsoppdatering til deres Elastic Services Controller (ESC) som fikser en svakhet som kan forbigå autentisering i deres REST API.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
https://tools.cisco.com/security/center/conte[...]
https://threatpost.com/critical-flaw-in-cisco[...]

Kryptovalutabørsen Binance utsatt for sikkerhetsbrudd

Binance oppdaget et stort sikkerhetsbrudd tirsdag 7. mai der hackere kom seg unna med 7000 Bitcoins, over 40 millioner USD. Hackere klarte å samle inn et stort antall API-nøkler tilhørende brukere, 2FA-koder, og potensielt annen info. Hackerne brukte en rekke teknikker, inkludert phishing, malware og andre angrep. Binance dekker tapet for kundene i forbindelse med hendelsen, så ingen brukeres midler vil bli påvirket. Innskudd og uttak vil forbli suspendert i ca 1 uke.
Referanser
https://www.binance.com/en/support/articles/3[...]
https://www.cnbc.com/2019/05/08/binance-bitco[...]

APT-aktøren Turla har utviklet svært avansert Exchange-bakdør

Den antatt russiske APT-aktøren Turla har utviklet en Exchange-bakdør kalt LightNeuron. Bakødren kan hente inn og endre info i alle eposter som går gjennom serveren. Den mottaer nye kommandoer via eposter. Disse epostene inneholder bildevedlegg der kommandoene er gjemt ved hjelp av steganografi. Bakdøren er brukt i nylige angrep mot mål i Midtøsten og Østeuropa.
Referanser
https://www.zdnet.com/article/russian-cybersp[...]
https://www.welivesecurity.com/wp-content/upl[...]

Google gir ut månedlig sikkerhetsoppdatering for Android

Google er ute med sin månedlig sikkerhetsoppdatering til Android. Som vanlig er det en lang rekke sårbarheter som fikses. Se referanse for mer informasjon.
Referanser
https://source.android.com/security/bulletin/[...]