Det har vært et rolig døgn på sikkerhetsfronten.
Det er ingen nye saker siden sist.
Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.
Friday, 30 September 2011
Thursday, 29 September 2011
2011.09.29 - Nyhetsbrev
Cisco, Citrix og Novell er ute med sikkerhetsoppdateringer. Mozilla slipper ny versjon av Firefox og Thunderbird. Microsoft og Kaspersky Lab har tatt ned Kelihos-botnettet.
Mozilla Firefox 7.0 og Mozilla Thunderbird 7.0 er ute
| Firefox 7.0 og Thunderbird 7.0 er sluppet av Mozilla. I tillegg til nye og forbedrede funksjoner har også flere svakheter blitt rettet. | ||||
| Referanser | ||||
|---|---|---|---|---|
| https://www.mozilla.org/en-US/firefox/7.0/releasenotes/ http://www.mozilla.org/en-US/thunderbird/7.0/releasenotes/ |
Microsoft og Kaspersky Lab tar ned Kelihos-botnettet
| Microsoft og Kaspersky Lab har tatt ned et botnett. Botnettet har blant annet blitt brukt til å sende ut store mengder spam, stjele sensitiv informasjon og spre falsk anti-virus til Mac-brukere. Kaspersky har en gjennomgang av hvordan botnettet fungerer. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.securelist.com/en/blog/208193137/Botnet_Shutdown_Success_Story_How_Kaspersky_Lab_Disabled_the_Hlux_Kelihos_Botnet https://blogs.technet.com/b/microsoft_blog/archive/2011/09/27/microsoft-neutralizes-kelihos-botnet-names-defendant-in-case.aspx |
Citrix Provisioning Services Unspecified Vulnerability
| Det har blitt avdekket en svakhet i Citrix Provisioning Services som gjør det mulig for en ekstern angriper å eksekvere kode ved å sende spesialtilpassede pakker. Autentisering er ikke nødvendig for å utnytte svakheten. Citrix har sluppet en patch som retter opp i problemet. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Installer oppdatering fra produsent | ||||
| Referanser | ||||
| http://support.citrix.com/article/CTX130846 | ||||
Cisco tetter sikkerhetshull i IOS og Unified Communications Manager
| Cisco har sluppet ni sikkerhetsoppdateringer for IOS og en for Unified Communications Manager. Av samtlige svakheter som rettes i denne halvårlige runden med oppdateringer, er det kun svakheten i IOS Software Smart Install som rangeres som kritisk. Resten er mindre alvorlige svakheter som kan føre til tjenestenekt. Vellykket utnyttelse av svakheten i Smart Install kan gi angriper full kontroll over enheten. Exploitkode for Smart Install svakheten eksisterer, men er ikke offentlige tilgjengelig iflg. Cisco. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Implementer "workarounds" eller oppgrader til siste versjon. | ||||
| Referanser | ||||
| http://blogs.cisco.com/security/cisco-ios-security-advisory-bundle-its-that-time-again/ http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep11.html |
||||
Svakheter i Novell GroupWise
| Det har blitt oppdaget flere svakheter i Novell GroupWise som kan gi en angriper mulighet for ekstern kodeeksekvering uten å måtte autentisere seg. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Installer oppdatering fra produsent. | ||||
| Referanser | ||||
| http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externa lId=7009216&sliceId=1&docTypeID=DT_TID_1_1&dialogID=269227180&stateId=0% 200%20269229135 http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7009208&sliceId=1&docTypeID=DT_TID_1_1&dialogID=268443893&stateId=0%200%20268449181 http://www.novell.com/support/search.do?cmd=displayKC&docType=kc&externalId=7009212&sliceId=1&docTypeID=DT_TID_1_1&dialogID=269199777&stateId=0%200%20269201751 |
||||
Wednesday, 28 September 2011
Tuesday, 27 September 2011
2011.09.27 - Nyhetsbrev
MySQL.com har blitt hacket og Microsoft har sluppet informasjon rundt svakheten i SSL/TLS.
MySQL.com hacket. Serverte Malware i 7 timer.
| Root-tilgang til MySQL.com skal ha blitt solgt på svartebørsen for 3000 USD. Deretter har de som kjøpte tilgangen lastet opp en BlackHole exploit-pakke. Denne malwaren var aktiv på tjeneren i rundt 7 timer, noe som betyr at det opp mot 120 000 brukere kan ha blitt infisert. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://krebsonsecurity.com/2011/09/mysql-com-sold-for-3k-serves-malware http://blog.armorize.com/2011/09/mysqlcom-hacked-infecting-visitors-with.html |
Microsoft har gitt ut informasjon og råd rundt SSL-svakhet
| Microsoft har i dag sluppet en "advisory" rundt SSL-svakheten og det tilhørende verktøyet BEAST som nettopp har blitt sluppet. Microsoft kommer her med forskjellige råd om hvordan tjenere kan settes opp for å unngå svakheten. Blant annet foreslår de å velge en annen krypteringsmetode enn CBC og å skru på TLS v1.1. Se artikkelen for flere detaljer. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspx |
Monday, 26 September 2011
2011.09.26 - Nyhetsbrev
Det har kommet flere detaljer rundt verktøyet BEAST.
Flere detaljer rundt BEAST og SSL
| Det har blitt sluppet noen flere detaljer rundt verktøyet BEAST og muligheten til å dekryptere SSL/TLS-trafikk. Dette viser at TLS versjon 1.0 er moden for utskiftning, selv om angrepet pr dags dato er vanskelig å implementere. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Bruk TLS v1.1 eller nyere. | ||||
| Referanser | ||||
| http://isc.sans.edu/diary.html?storyid=11635 http://nakedsecurity.sophos.com/2011/09/24/secure-web-browsing-cracked-by-beast/ |
||||
Friday, 23 September 2011
Thursday, 22 September 2011
2011.09.22 - Nyhetsbrev
Svakhet i Cisco Identity Services Engine blir patchet 30.september.
Adobe har publisert kritisk patch.
Kritisk patch for Adobe Flash Player er publisert
| Adobe har sluppet den kritiske patchen for Flash Player som vi omtalte i går. Svakhetene som blir fikset kan føre til at utenforstående får full kontroll over sårbart system. Følgende systemer er sårbare: Linux, Mac, Windows, Solaris og Android. Oppdateringen dukker automatisk opp for Windows og Mac brukere. Alle andre må selv hente ned oppdateringen manuelt. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppgrader | ||||
| Referanser | ||||
| http://www.adobe.com/support/security/bulletins/apsb11-26.html | ||||
Svakhet i Cisco Identity Services Engine
| Det har blitt oppdaget en udokumentert brukerkonto i Cisco Identity Services Engine. Denne kontoen kan brukes av en angriper for å full tilgang til systemet. Angrepet utføres via Oracle SQL*Net på TCP port 1521. Cisco melder at de vil publisere en patch for problemet 30.september. Bruk av aksesslister på port 1521 vil redusere risikoen betraktelig. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Følg anbefalinger fra produsent | ||||
| Referanser | ||||
| http://www.cisco.com/en/US/products/products_security_advisory09186a0080b95105.shtml http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b95110.html |
||||
Wednesday, 21 September 2011
2011.09.21 - Nyhetsbrev
Adobe kommer med en patch til Flash Player i løpet av dagen.
Adobe skal patche kritisk 0-day svakhet i løpet av dagen
| Adobe har varslet at de i løpet av dagen kommer med en patch til Adobe Flash Player. Oppdateringen retter flere kritiske svakheter, samt en "cross-site-scripting" svakhet som allerede blir aktivt utnyttet i følge Adobe. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://blogs.adobe.com/psirt/2011/09/prenotification-security-update-for-flash-player.html |
Tuesday, 20 September 2011
2011.09.20 - Nyhetsbrev
Et av foredragene på Ekoparty i Buenos Aires skal ta for seg en angivelig svakhet i SSL/TLS-protokollen. Det er publisert informasjon om svakheter Apples passordsikkerhet for OS X Lion.
Forskere påstår de klarer å dekryptere SSL-trafikk
| Noen forskere påstår at de har oppdaget en svakhet i SSL/TLS-protokollen som brukes til å kryptere trafikk til og fra web-tjenere. Svakheten finnes i versjon 1.0 av TLS. Foreløpig tar det lang tid å dekryptere trafikken. Angrepet er derfor rettet mot login-cookies fra f.eks. PayPal. Angriperne må også ha tilgang til trafikk-strømmen mellom web-tjeneren og brukeren for å gjennomføre angrepet. Dette gjøres ved å lure brukeren til å laste javascript i nettleseren. Detaljer rundt svakheten skal publiseres på sikkerhetskonferansen "Ekoparty" i Buenos Aires senere denne uken Svakheten er utbedret i TLS v1.1, men denne protokollen er foreløpig lite implementert. TheRegister har skrevet en artikkel med detaljer rundt saken. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/ |
Svakheter i passordsikkerhet i OS X Lion
| OX X Lion gir en lokal bruker mulighet til å endre passord uten å oppgi det gamle passordet. En lokal bruker kan også få tilgang til passord-hashene til andre brukere på systemet. Det har blitt sluppet et verktøy for å knekke disse hashene. Ingen av disse problemene fantes i forrige versjon av OS X. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Vent på patch. | ||||
| Referanser | ||||
| http://www.defenceindepth.net/2011/09/cracking-os-x-lion-passwords.html http://www.theregister.co.uk/2011/09/19/apple_password_security_exposed/ |
||||
Monday, 19 September 2011
2011.09.19 - Nyhetsbrev
Google er ute med ny versjon av Chrome som tetter mange svakheter. Mitsubishi Heavy Industries har blitt hacket. Verizon er ute med sikkerhetsrapport. Oracle tetter endelig DoS svakheten (Apache Killer) i Oracle HTTP webserver.
Ny versjon av Google Chrome
| Google har sluppet ny versjon av Google Chrome (14.0.835.163) Denne versjonen retter en rekke sårbarheter. For fullstendig liste, se referansen. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://googlechromereleases.blogspot.com/2011/09/stable-channel-update_16.html |
Mitsubishi Heavy Industries har blitt hacket
| Mitsubishi Heavy Industries Ltd bekrefter, i følge Reuters, at det er oppdaget 80 infiserte datamaskiner på hovedkontoret og ved forskjellige fabrikker. De aktuelle fabrikkene produserer blant annet missiler, rakettmotorer, ubåter og utstyr til atomkraftverk. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.reuters.com/article/2011/09/19/mitsubishiheavy-computer-idUSL3E7KJ0BD20110919 |
Verizon har publisert årets Data Breach Investigation Report
| Verizon har publisert sin Data Breach Investigations Report for 2011. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2011_en_xg.pdf |
Kritisk sikkerhetsoppdatering sluppet for Oracle HTTP Server
| Oracle har publisert en kritisk sikkerhetsoppdatering for Apache HTTP webserver. Oppdateringen tetter den mye omtalte "Apache killer" svakheten som ble patchet (versjon 2.2.21) av Apache.org 24. august i år. Vellykket utnyttelse av svakheten medfører tjenestenekt. Programmet Apache Killer er laget for å utnytte svakheten og er fritt tilgjengelig på Internett. Oracle anser dette sikkerhetshullet for såpass kritisk at de har publisert denne oppdateringen en måned før sin planlagte patchedag 18.oktober. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppgrader. | ||||
| Referanser | ||||
| http://blogs.oracle.com/security/entry/security_alert_for_cve_2011 http://www.oracle.com/technetwork/topics/security/alert-cve-2011-3192-485304.html http://www.securityfocus.com/bid/49303/info |
||||
Friday, 16 September 2011
2011.09.16 - Nyhetsbrev
Lite nytt på sikkerhetsfronten det siste døgnet.
Det er ingen nye saker siden sist.
Thursday, 15 September 2011
2011.09.15 - Nyhetsbrev
To nye svakheter oppdaget i flere Cisco produkter
To nye svakheter i flere Cisco-produkter
| Det har blitt oppdaget to svakheter i Unified Service Monitor, Unified Operations Manager og CiscoWorks LAN Management Solution. Begge svakhetene kan gi en uautentisert ekstern angriper mulighet til å foreta vilkårlig kodeeksekvering. Svakheten utnyttes gjennom å sende spesielt tilpassede TCP-pakker på port 9002. Cisco har publisert oppdatert programvare. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppgrader til nyeste versjon. | ||||
| Referanser | ||||
| http://www.cisco.com/warp/public/707/cisco-sa-20110914-cusm.shtml http://www.cisco.com/warp/public/707/cisco-sa-20110914-lms.shtml |
||||
Wednesday, 14 September 2011
2011.09.14 - Nyhetsbrev
Microsoft har i dag sluppet patcher som utbedrer sikkerhetshull i WINS, Microsoft Excel, Microsoft Office og Microsoft SharePoint. Svakheten i Microsoft Excel kan brukes til målrettede angrep. Alle svakhetene har fått nest høyeste viktighetsgrad av Microsoft (Important).
Adobe har sluppet patcher til Reader og Acrobat som utbedrer flere kritiske sikkerhetshull.
Web-sidene til uTorrent.com har servert malware i løpet av det siste døgnet.
uTorrent.com serverte malware i stedet for uTorrent-klienten
| uTorrent er en populær klient for å overføre filer ved hjelp av Bittorent-protokollen. Angripere har i løpet av det siste døgnet tatt kontroll over web-tjeneren til uTorrent.com. Brukere som har lastet ned uTorrent-klienten har i stedet fått servert falsk anti-virus. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://blog.bittorrent.com/2011/09/13/security-incident/ |
Adobe slipper oppdateringer til Adobe Reader og Acrobat
| Adobe har funnet kritiske sårbarheter i Adobe Reader og Acrobat. En angriper kan utnytte den mest alvorlige svakheten til å få kontroll over systemet som vedkommende angriper. Det anbefales å installere oppdateringene så fort som mulig. Adobe Reader vil ha versjonsnummer 10.1.1 etter oppdateringen. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Adobe Reader og Acrobat | ||||
| Referanser | ||||
| http://www.adobe.com/support/security/bulletins/apsb11-24.html | ||||
Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (MS11-072)
| Oppdateringen dekker 5 svakheter i Excel. Svakhetene kan føre ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet Excel-fil. En angriper som vellykket utnytter en av disse svakhetene, kan oppnå de samme brukerrettighetene som en lokal bruker. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Microsoft Office og installer og konfigurer "Office File Validation" slik at brukere ikke kan åpne suspekte filer. | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/ms11-072 | ||||
Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (MS11-074)
| Oppdateringen dekker 6 svakheter i Microsoft SharePoint og Windows SharePoint Services. Den mest alvorlige svakheten kan føre til rettighetseskalering dersom en bruker åpner en spesialdesignet URL eller besøker en spesialdesignet nettside. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Microsoft Office og Microsoft SharePoint | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/ms11-074 | ||||
Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (MS11-073)
| Oppdateringen dekker to svakheter i Microsoft Office. Svakhetene kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet "Office"-fil eller åpner en normal "Office"-fil lokalisert på samme nettverkskatalog som en spesialdesignet bibliotek (DLL)-fil. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som en lokal bruker. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Microsoft Office | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/ms11-073 | ||||
Vulnerability in Windows Components Could Allow Remote Code Execution (MS11-071)
| Oppdateringen dekker en svakhet i Microsoft Windows som kan føre til ekstern kodeeksekvering dersom en bruker åpner en tekstfil (av formatene .txt, .rtf eller .doc) som ligger på samme nettverkskatalog som en spesialdesignet "Dynamic Link Library"-fil. Ved et vellykket angrep vil angriperen få samme brukerrettigheter som den påloggede brukeren. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Microsoft Windows | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/ms11-071 | ||||
Vulnerability in WINS Could Allow Elevation of Privilege (MS11-070)
| Oppdateringen dekker en svakhet i Windows Internet Name Service (WINS) som kan føre til lokal rettighetseskalering hvis en bruker mottar en spesialdesignet WINS-pakke. Svakheten kan kun utnyttes på system som kjører WINS og angriperen må logge seg på lokalt for å utnytte svakheten. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppdater Microsoft Windows | ||||
| Referanser | ||||
| http://technet.microsoft.com/en-us/security/bulletin/ms11-070 | ||||
Tuesday, 13 September 2011
2011.09.13 - Nyhetsbrev
NBC har en artikkel om hvordan de mistet kontroll over Twitter-kontoen sin.
Hvordan NBC's Twitter-konto ble hacket
| NBC sin Twitter-konto ble hacket for noen dager siden. Kontoen ble brukt til å spre falske informasjon om et angrep mot Ground Zero i New York. NBC har i dag en sak om hvordan angriperne tok kontroll over Twitter-kontoen ved å sende en e-post med vedlegg til én av de tre som hadde passordet til kontoen. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://today.msnbc.msn.com/id/44464766/#.Tm8NqNT6_Qo |
Monday, 12 September 2011
2011.09.12 - Nyhetsbrev
Sertifikatutstederen GlobalSign og nettstedet Linux Foundation innrømmer å ha blitt kompromittert. Forskere har designet en Wifi-drone for å bryte seg inn i trådløse nettverk.
Ny sertifikatutsteder (CA) innrømmer å ha blitt hacket
| Sertifikatutstederen GlobalSign har nå innrømmet at også de har blitt hacket. Noen har hatt kontroll over deres web-tjener, men de benekter at systemet for utstedelse av sertifikater har blitt kompromittert. GlobalSign tok ned sine systemer for signering 6. september. De håper å ha dem operative igjen 13. september. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://threatpost.com/en_us/blogs/globalsign-says-web-server-was-hacked-no-signs-ca-breach-091011 http://www.globalsign.com/company/press/090611-security-response.html |
Wifi-drone hacker trådløse nettverk
| Forskere har laget en flyvende drone som kan bryte seg inn i Wifi-nettverk og infisere klienter med malware. Dronen flyr rundt og leter etter dårlig sikrede WLAN-soner. Klienter kan f.eks. infiseres ved hjelp av MITM-angrep (Man in The Middle). En kan også se for seg at dronen kan brukes til mer målrettede angrep ved å lande på taket av bygninger. Den vil der kunne ta seg inn i WLAN-soner som ellers ikke er tilgjengelige fra utsiden. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://nakedsecurity.sophos.com/2011/09/09/diy-drone-helicopter-wifi-attacks/ http://www.usenix.org/events/woot11/tech/final_files/Reed.pdf |
Linux Foundation (linux.com) kompromittert
| Linux Foundation (Linux.com) opplyser om at serverne deres har blitt kompromittert. Dette skjer to uker etter at nettstedet for Linux-kjernen, kernel.org, ble angrepet. Det blir opplyst om at angrepene muligens har en sammenheng. Linux Foundation har tatt ned alle sine web-sider mens innbruddet blir undersøkt. Vi kan opplyse om at kernel.org fortsatt ikke har kommet opp igjen etter innbruddet. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://linux.com/ http://www.zdnet.com/blog/security/hackers-break-into-linux-foundation/9363 |
Friday, 9 September 2011
2011.09.09 - Nyhetsbrev
Forskere har satt fokus på hvor lett det er å snappe opp e-post ved å opprette domenenavn som ligner på kjente navn. Microsoft og Adobe skal slippe sikkerhetsoppdateringer førstkommende tirsdag. VG har en artikkel om manglende sikkerhet ved Vann- og avløpsetaten i Oslo.
E-post snappes opp ved å opprette domener som ligner på legitime selskaper
| To forskere har fått tilgang til 20GB med feilsendte data etter at de opprettet 30 nesten identiske domener til legitime Fortune 500 selskaper. Metoden, som kalles "typosquatting", er en velkjent metode for å lure til seg webtrafikk. F.eks så er det fort å skrive www.goole.com istedet for google.com. I dette eksperimentet fikk man over en periode på seks måneder tak i 120.000 eposter og 20GB med data. Det var kun to avsendere som indikerte at de forstod at eposten var feilsendt og kun et selskap som oppdaget at typosquatting domenet var opprettet. I rapporten vises det til at svært mange av denne typen domener allerede er registrert i Kina. Konklusjonen er at det kan lønne seg å registrere domener som ligner på domenet til bedriften din før noen andre gjør det. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.wired.com/images_blogs/threatlevel/2011/09/Doppelganger.Domains.pdf |
Microsoft og Adobe slipper oppdateringer førstkommende tirsdag
| Både Microsoft og Adobe slipper sikkerhetoppdateringer én gang i måneden. Førstkommende tirsdag skal Microsoft slippe fem viktige oppdateringer som retter 15 ulike svakheter. Adobe opplyser at de skal slippe en patch til Adobe Acrobat og Reader som retter kritiske svakheter. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://blogs.technet.com/b/msrc/archive/2011/09/08/advanced-notification-for-the-september-2011-bulletin-release.aspx http://www.adobe.com/support/security/bulletins/apsb11-24.html |
Manglende sikkerhet ved Vann- og avløpsetaten i Oslo
| VG har fått tak i en hemmeligstemplet rapport som omhandler sikkerheten ved flere vannbehandlingsannlegg i Oslo. Det skal ha vært mulig å få tilgang til vannverkene ved hjelp av Bluetooth og koden 0000. Se artikkelen for flere detaljer. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.vg.no/nyheter/utenriks/terrorisme/artikkel.php?artid=10098352 |
Thursday, 8 September 2011
2011.09.08 - Nyhetsbrev
Enda en CA er muligens kompromittert. Er de største CAene for store til å feile? Alvorlig svakhet oppdaget i Cisco Nexus.
Er de store sertifikatutstederne (CA) for store til å feile?
| En kommentator i threatpost.com tar opp problemet med at konsekvensene vil bli svært store hvis noen av de store sertifikatutstedere som Verisign og Comodo blir kompromittert på samme måte som DigiNotar. Artikkelforfatteren mener at hvis så skjer, så vil det bli nesten umulig å behandle en slik CA på samme som DigiNotar fordi det vil påvirke et enormt antall bedrifter og brukere over hele verden. Problemet er at det per i dag ikke finnes et godt alternativ for å redusere denne risikoen. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://threatpost.com/en_us/blogs/are-some-certificate-authorities-too-big-fail-090711 |
Mulig kompromittering av enda en sertifikatutsteder i Nederland
| GlobalSign har stoppet utstedelsen av nye sertifikater etter påstander om at de har blitt kompromittert. Det er samme hacker som påstår han stod bak innbruddet i DigiNotar, som nå også hevder at han står bak et innbrudd i GlobalSign. GlobalSign melder at de har leid Fox-IT som allerede har utført en audit av DigiNotar. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.globalsign.co.uk/company/press/090611-security-response.html |
Svakhet i Cisco Nexus 3000 og 5000.
| Det har blitt oppdaget en svakhet i tilgangskontrollmekanismen i Cisco Nexus 3000 og 5000. Dette kan føre til at uautoriserte brukere får tilgang til systemet. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Installer oppdateringer fra produsent. | ||||
| Referanser | ||||
| http://www.cisco.com/warp/public/707/cisco-sa-20110907-nexus.shtml | ||||
Wednesday, 7 September 2011
2011.09.07 - Nyhetsbrev
Offentlig rapoprt om DigiNotar saken er publisert av Fox-IT. Microsoft har fjernet all tillit til DigiNotar. Les om pay-per-install og økonomien rundt skadevare.
Offentlig rapport om DigiNotar saken publisert av Fox-IT
| Fox-IT har på oppdrag av Nederlandske myndigheter utført en revisjon av DigiNotar og publisert funnene i en offentlig rapport. Rapporten avslører at det har stått svært dårlig til med sikkerheten hos DigiNotar. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1.html |
Microsoft har har fjernet all tillit til samtlige DigiNotar sertifikater
| Micorsoft har publisert en oppdatering hvor de fjerner all tillit til samtlige DigiNotar sertifikater. Oppdateringen er tilgjengelig for alle plattformer. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://blogs.technet.com/b/msrc/archive/2011/09/06/microsoft-updates-security-advisory-2607712.aspx |
Rapport om "pay-per-install" og hvordan økonomien rundt skadevare er organisert er publisert
| En gruppe forskere har publisert en svært detaljert rapport om hvordan distribusjon av skadevare og økonomien rundt det hele er er organisert. Det er tre aktører involvert; En aktør har skadevare (banktrojaner) som skal distribueres. Denne aktøren melder inn behovet til en megler som videreformidler jobben til gruppen som plasserer selve trojaneren på ofrenes maskiner. Selve jobben med å plassere skadevare på ofrenes maskiner koster fra 13US$ til 150US$ per 1000 maskiner. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Les rapporten | ||||
| Referanser | ||||
| http://usenix.org/events/sec11/tech/full_papers/Caballero.pdf | ||||
Tuesday, 6 September 2011
2011.09.06 - Nyhetsbrev
F-Secure er ute med mer informasjon omkring DigiNotar-saken og Computerworld skriver om hvordan norske bankkunder svindles.
DigiNotar hacker fra Iran
| F-Secure spekulerer i om DigiNotar-hackeren er den samme som tidligere har hacket Comodo. Via Pastebin har en som omtaler seg som Comodohacker postet innlegg hvor det angivelige CA-administratorpassordet til Diginotar blir oppgitt. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.f-secure.com/weblog/archives/00002231.html http://pastebin.com/u/ComodoHacker |
Computerworld skriver om svindel av norske bankkunder.
| Computerworld skriver i dag om hvordan DnB NORs kunder har vært utsatt for fire trojanerangrep i år. Artikkelen nevner blant annet SpyEye og Zeus som er to trojanere vi har rapport en god del av til våre kunder. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.idg.no/computerworld/article218958.ece |
Monday, 5 September 2011
2011.09.05 - Nyhetsbrev
DigiNotar-saken har blitt mer alvorlig, flere kompromiterte sertifikater er på avveie. Et DNS-hack er blitt rettet mot en rekke populære websider, foreløpig er det ukjent hvordan dette er utført. Flere sårbarheter er avdekket i løsninger fra Cisco, Microsoft og Symantec.
DigiNotar, saken vokser i omfang.
| Vi skrev i forrige uke om hvordan DigiNotar hadde blitt kompromitert og misbrukt til å utstede falske sertifikater. Nå viser det seg at saken er enda mer alvorlig. Antallet sertifikater som er misbrukt har blitt doblet til 531 og angriperne har signert 186 sertifikater som kan være såkalte "intermediate"-sertifikater. Dette er 3.part-sertifikater hvor de kan utgi seg for å være velkjente utstedere som Thawte, Verisign,Comodo og Equifax. Domener som har fått utstedt falske sertifikater tilhører blant annet: Facebook, Google, Microsoft, Yahoo, Tor, Skype, Mossad, CIA, MI6, LogMeIn, Twitter, Mozilla, AOL og WordPress. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://nakedsecurity.sophos.com/2011/09/05/ssl-certificate-debacle-includes-cia-mi6-mossad-and-tor |
DNS-hack
| Flere populære websider som blant annet The Register, The Daily Telegraph og UPS har blitt utsatt for et DNS-hack som har medført at brukerne har blitt videresendt til en annen side. Utenforstående har klart å endre DNS-pekerne uten at det er avklart hvordan dette har kunnet skje. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://nakedsecurity.sophos.com/2011/09/04/dns-hack-hits-popular-websites-telegraph-register-ups-etc |
sårbarheter i flere Cisco-produkter
| Det har blitt oppdaget en svakhet i den versjonen av Apache HTTPd server som benyttes i mange produkter fra Cisco. Denne svakheten kan benyttes for å utføre tjenestenektangrep. Det har ikke blitt publisert oppdateringer for sårbare produkter. Cisco har i stedet publisert detaljert informasjon om hvordan man kan beskytte seg uten å oppgradere programvaren. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Følg anbefalinger fra produsent. | ||||
| Referanser | ||||
| http://www.cisco.com/warp/public/707/cisco-sa-20110830-apache.shtml | ||||
0-day sårbarhet i Windows Script Host DLL versjon 5.6
| Cybsec.com melder om en 0-day svakhet i Windows Script Host DLL versjon 5.6. Nyere versjoner kan også være sårbare iflg. samme kilde (ikke bekreftet). Svakheten kan utnyttes ved å plassere en spesielt utformet DLL i en mappe eller SMB share. wscript.exe vil da laste den skadelige DLLen i stedet for den ekte. Microsoft har bekreftet problemet, men har foreløpig ikke publisert en oppdatering. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppgrader til siste versjon. | ||||
| Referanser | ||||
| http://cybsec.com/EN/research/default.php | ||||
Symantec Enterprise Vault Outside In Module Vulnerabilities
| Flere svakheter har blitt rapportert i Symantec Enterprise Vault. Svakhetene kan utnyttes av inntrengere som kan føre til DoS angrep eller kompromittering av systemet. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Installer hotfiks | ||||
| Referanser | ||||
| http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20110901_00 | ||||
Friday, 2 September 2011
2011.09.02 - Nyhetsbrev
Sans har publisert en oppsummering innbruddet i sertifikatutstederen DigiNotar
Cisco programvare for videkonferanser (for både konferanserom og personlige datamaskiner) er sårbar for tjenestenektangrep.
SANS har publisert en gjennomgang av DigiNotar saken
| Internet Storm Center har (isc.sans.edu) har publisert en god oppsummering av innbruddet i sertifikatutstederen DigiNotar. Ordliste finnes på bunnen av innlegget. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://isc.sans.edu/diary/DigiNotar+breach+-+the+story+so+far/11500 |
Kritisk DoS svakhet i Cisco TelePresence (videkonferanse)
| Cisco TelePresence C Series Endpoints, E/EX Personal Video units og MXP Series Codecs er sårbare for tjenestenektangrep. Utnyttelse av sårbarhetene krever verken autentisering eller bruker-interaksjon. Cisco har publisert oppdatert programvare, samt et eget dokument hvor de gir detaljert informasjon om hvordan man kan beskytte seg uten å oppgradere programvaren. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Følg anbefalingene til Cisco | ||||
| Referanser | ||||
| http://www.cisco.com/en/US/products/products_security_advisory09186a0080b91395.shtml http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b91257.html |
||||
Thursday, 1 September 2011
2011.09.01 - Nyhetsbrev
kernel.org har blitt kompromittert.
Apache har publisert ny versjon av webserveren som tetter DoS svakhet.
Ny phising kampanje treffer norske bedrifter.
FireEye har publisert en halvårsrapport om malware i store bedrifter.
Opera er ute i ny versjon.
kernel.org (Linux) har blitt kompromittert
| Kernel.org, som lager kjernen til Linux baserte systemer, har blitt kompromittert. Det er foreløpig uklart hva som har blitt gjort av angriperne, men sannsynligheten for at kildekoden er endret er iflg. kernel.org svært liten. All kildekode verifiseres vha. SHA-1 enveis sjekksummer. Disse sjekksummene ligger lagret på flere servere og det skal dermed være enkelt å oppdage om kildekoden har blitt forandret. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://kernel.org/ |
Ny phishing kampanje: "ACH Payment Canceled"
| Det har det siste tiden internasjonalt blitt observert mange phishingforsøk av typen "ACH Payment Canceled". Vi ser også mye av dette hos våre norske kunder. E-postene inneholder et vedlegg som gir seg ut for å være en PDF-fil, men som egentlig er en .exe-fil. Denne typen e-poster bør slettes uten å åpne dem først. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://isc.sans.edu/diary/Phishing+e-mail+to+custom+e-mail+addresses/11494 |
FireEye Advanced Threat Report 1H2011
| FireEye har sluppet en rapport for første halvår 2011. De oppsummerer med at 99% av større bedrifter (Enterprises) har infeksjoner av nettet og at 80% av dem får over 100 nye infiserte maskiner per uke. Det er verdt å merke seg at FireEye selger løsninger for å få ned antall infeksjoner. | ||||
| Referanser | ||||
|---|---|---|---|---|
| http://blog.fireeye.com/research/2011/08/fireeye-advanced-threat-report-1h2011.html |
Opera 11.51 ute
| Retter flere feil og mindre sikkerhetshull. | ||||
| Referanser | ||||
|---|---|---|---|---|
Apache HTTP server tetter DOS-svakhet
| Apache Software Foundation har sluppet versjon 2.2.20 av Apache HTTP Server. Denne versjonen tetter den omlag fem år gamle svakheten som kan utnyttes til å forårsake tjenestenekt mot serveren fra eksternt hold. Oppgradering anbefales. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Oppgrader fra http://httpd.apache.org/download.cgi | ||||
| Referanser | ||||
| https://www.apache.org/dist/httpd/Announcement2.2.html | ||||
Subscribe to:
Posts (Atom)
