Det siste døgnet er det sluppet flere oppdateringer for kritiske sårbarheter. Adobe har sluppet oppdateringer til Adobe Acrobat og Reader. Microsoft har gitt ut oppdateringer for stort sett alle Windows produkter til både servere og klienter. Krebs har skrevet et blogginnlegg om hvordan kraftselskaper har tapt hundretalls millioner dollar på grunn av hacking av smarte strømmålere. SANS har skrevet en interessant og nedslående artikkel om effektiviteten til antivirus programvare. Samba-versjoner fra 3.0 er sårbare for angrep uten autentisering.
FBI: Smart Meter Hacks Likely to Spread
| Krebs on Security har en bloggpost om hacking av "smarte" strømmålere. Flere av disse kan modifiseres til å vise mindre strømforbruk enn det som er påløpt ved å sende kommandoer til strømmåleren. Et kraftselskap i USA skal ha tapt rundt 400 millioner dollar på bare ett år på grunn av denne typen aktivitet. |
| Referanser |
| http://krebsonsecurity.com/2012/04/fbi-smart-meter-hacks-likely-to-spread/ |
Is Anti-Virus Really Dead? A Real-World Simulation Created for Forensic Data Yields Surprising Results
| SANS har publisert en blogg-post om effektiviteten av antivirus. I forbindelse med forensics-arbeid, utførte de angrep med metasploit og lignende verktøy mot PCer. Det viste seg at antivirus-verktøyet som var installert ikke oppdaget angrepene eller malwaren som ble lastet opp på maskinene. |
| Referanser |
| http://computer-forensics.sans.org/blog/2012/04/09/is-anti-virus-really-dead-a-real-world-simulation-created-for-forensic-data-yields-surprising-results |
Samba sårbarhet
| Samba 3.5.14 er sluppet. Denne oppdateringen fikser en alvorlig sårbarhet som kan gi root tilgang uten autentisering. En angriper kan sende et spesielt utformet RPC-kall som får serveren til å eksekvere ondsinnet kode. Det eksisterer allerede POC så sårbarheten kan enkelt utnyttes av angripere. En utfordring sikkerhetsmessig vil være at Samba finnes i svært mange "embedded devices" som f.eks NAS-løsninger. Disse vil man ofte ikke kunne oppgradere Samba på. Dersom man ikke har anledning til å oppdatere så bør man søke å minimere risikoen med alternativer som å spesifisere tillatte host'er i SMB.CONF-filen. |
| Anbefaling |
| Oppdater og gjør sekundære/alternative tiltak der oppdatering ikke er mulig. |
| Referanser |
https://www.samba.org/samba/history/samba-3.5.14.html
http://blog.spiderlabs.com/2012/04/rce-root-in-all-current-samba-versions.html |
Adobe slipper oppdateringer til Adobe Acrobat og Reader
| Adobe har funnet kritiske sårbarheter i Adobe Reader og Acrobat. En angriper kan utnytte den mest alvorlige svakheten til å få kontroll over systemet som angripes. Det anbefales å installere oppdateringene så fort som mulig. Adobe Acrobat X og Reader X vil ha versjonsnummer 10.1.3 etter oppdateringen og Adobe Acrobat og Reader vil ha versjonsnummer 9.5.1 etter oppdateringen. |
| Anbefaling |
| Oppdater Adobe Acrobat og Reader. |
| Referanser |
| http://www.adobe.com/support/security/bulletins/apsb12-08.html |
Vulnerability in Windows Common Controls Could Allow Remote Code Execution (2664258) (MS12-027)
| Oppdateringen fikser en svakhet i Windows common controls som kan føre til ekstern kodeeksekvering dersom en bruker besøker en spesialdesignet nettside. Microsoft melder at de har observert tilfeller der denne svakheten blir aktivt utnyttet og anbefaler derfor å oppdatere så fort som mulig. En vanlig angrepsvektor vil være e-post eller en annen melding med en link til nettsiden. |
| Anbefaling |
| Oppdater produktene |
| Referanser |
| http://technet.microsoft.com/en-us/security/bulletin/ms12-027 |
Vulnerability in .NET Framework Could Allow Remote Code Execution (2671605) (MS12-025)
Oppdateringen fikser en svakhet i Microsoft .NET Framework som kan føre til ekstern kodeeksekvering dersom en bruker besøker en spesialdesignet nettside med en nettleser som kan kjøre XAML-applikasjoner. En angriper kan også utnytte svakheten til å kjøre ekstern kode på en server som kjører IIS (Internet Information Server) webserver ved å laste opp en spesialdesignet ASP.NET-side til serveren.
Svakheten kan i tillegg bli brukt til å omgå CAS (Code Access Security) sikkerhetsrestriksjoner. |
| Anbefaling |
| Oppdater Microsoft .NET Framework |
| Referanser |
| http://technet.microsoft.com/en-us/security/bulletin/ms12-025 |
Vulnerability in Windows Could Allow Remote Code Execution (2653956) (MS12-024)
| Oppdateringen retter en svakhet i Windows Authenticode Verification funksjonen som benyttes i PE-filer (Portable Executable). Svakheten gjør det mulig for en angriper å legge til ondsinnet programkode i en fil uten å gjøre signaturen ugyldig. Eller en ny spesialtilpasset PE-fil kan utformes. En vanlig angrepsvektor vil kunne være å sende en spesialtilpasset fil per epost eller lure en bruker til å besøke en spesielt utformet webside. Et vellykket angrep vil gjøre det mulig å ta fullstendig kontroll over klienten/serveren. |
| Anbefaling |
| Oppdater alle versjoner av Microsoft Windows snarest. |
| Referanser |
| http://technet.microsoft.com/en-us/security/bulletin/ms12-024 |
Cumulative Security Update for Internet Explorer (2675157) (MS12-023)
| Oppdateringen fikser fem svakheter i Internet Explorer som kan føre til ekstern kodeeksekvering dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som en lokal bruker. |
| Anbefaling |
| Oppdater Internet Explorer |
| Referanser |
| http://technet.microsoft.com/en-us/security/bulletin/ms12-023 |
Vulnerabilities in Forefront Unified Access Gateway (UAG) Could Allow Information Disclosure (2663860) (MS12-026)
| Oppdateringen dekker to svakheter i Microsoft Forefront Unified Access Gateway (UAG). En angriper kan utnytte den mest alvorlige svakheten til å tilegne seg informasjon om et system ved å sende en spesialdesignet forespørsel til UAG-serveren. |
| Anbefaling |
| Oppdater produktet |
| Referanser |
| http://technet.microsoft.com/en-us/security/bulletin/ms12-026 |
Vulnerability in Microsoft Office Could Allow Remote Code Execution (2639185) (MS12-028)
| Oppdateringen dekker en svakhet i Microsoft Office og Microsoft Works som kan føre til ekstern kodeeksekvering dersom en bruker åpner en spesialdesignet "Works"-fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren. |
| Anbefaling |
| Oppdater produktene |
| Referanser |
| http://technet.microsoft.com/en-us/security/bulletin/ms12-028 |