2012.12.31 - Nyhetsbrev

I løpet av siste helga i dette året har Nordea sine nettsider blitt utsatt for DDoS-angrep og en ny svakhet i eldre versjoner av Internet Explorer blitt oppdaga. McAfee spør at angrep fra Anonymous vil minke i omfang. Det har dessuten blitt oppdaga en sårbarhet med webkamerabruk i Facebook.

Vi på Telenor Sikkerhetssenter ønsker alle våre nyhetsbrevabonnennter et godt nytt år!

DDoS-angrep mot Nordea.no

Nordeas nettsteder for alle de nordiske landene ble på fredag utsatt for et DDoS-angrep som førte til at de åpne nettsidene var utilgjengelige for en periode, mens nettbanken derimot fungerte som normalt. Kommunikasjonsdirektør Rune Kibsgaard Sjøhelle i Nordea sier til NA24 at de ennå ikke vet hvem som sto bak angrepet.
Referanser
http://www.na24.no/article3538543.ece

Ny 0-day-exploit oppdaga i Internet Explorer 6-8

I eldre utgaver av Internet Explorer (versjon 6 til 8) skal det være oppdaga en ny exploit. Sikkerhetsleverandøren FireEye melder at nettstedet til den amerikanske organisasjonen Council on Foreign Relations ble kompromittert og rigga til slik at besøkende lasta ned malware. Dette skjedde 21. desember, og infeksjonen ble oppdaga fem dager senere. Internet Explorer 9 og 10 skal ikke ha denne svakheten.
Referanser
http://krebsonsecurity.com/2012/12/attackers-target-internet-explorer-zero-day-flaw/ http://news.softpedia.com/news/Council-on-Foreign-Relations-Site-Hosted-Malicious-Content-Since-December-21-317851.shtml?utm_source=dlvr.it&utm_medium=twitter

McAfee: Angrep fra Anonymous vil trolig minke i omfang

McAfee kom fredag med en detaljert rapport om trusler i 2013. Der hevder de at angrepene til Anonymous vil minke i omfang. Årsaken skal være tap av sympatisører på grunn av ukoordinerte og uklare operasjoner. Potensielle offer har dessuten begynt å forstå angrepene bedre, slik at de har blitt mindre vellykka. Små ekstremistgrupper vil derimot øke innsatsen med å forsøke å hacke IT-systemer i demokratiske samfunn.
Referanser
http://arstechnica.com/security/2012/12/mcafee-labs-predicts-the-decline-of-anonymous/

Facebook lapper webkamerasårbarhet

To indiske datasikkerhetsforskere har oppdaga inn en svakhet knytta til bruk av webkamera i Facebook. Den har ikke blitt utnytta og blir sett på som teoretisk, siden det skal mye til for å lure potensielle offer. Vedkommende må bli lurt til å besøke en ondsinna nettside for deretter å aktivere webkamera og publisere opptak etter ei tid.
Referanser
http://www.bloomberg.com/news/2012-12-28/facebook-patches-webcam-vulnerability-after-receiving-hacker-tip.html

Ny svakhet oppdaget i Internet Explorer 6, 7 og 8

Det har blitt avdekket en ukjent alvorligsvakhet i Internet Explorer. Den rammer kun versjon 6, 7 og 8. Brukere av versjon 9 og 10 er ikke berørt. Det anbefales at brukere som har mulighet til oppgradere til versjon 9, gjør dette. Microsoft har enda ikke publisert en feilretting, men anbefaler i stedet at brukeren benytter Enhanced Mitigation Experience Toolkit.
Anbefaling
Oppgrader til nyere versjon, hvis mulig. Ellers, følg anvisninger fra produsent.
Referanser
http://technet.microsoft.com/en-us/security/advisory/2794220

2012.12.28 - Nyhetsbrev

NetBSD har kommet ut i versjon 6.0.1, og McAfee har titt i sin spåkule.

McAfee spår om trusler i 2013

McAfee spår ut fra utviklinga i 2012 at det i 2013 vil komme stadig flere angrep mot mobile systemer. Mer spesifikt vil det blir mer og mer vanlig med ransomware, program som krypterer data og krever løsepenger og dekryptering. Ellers vil det bli vanlig med malware som laster ned applikasjoner i smug fra useriøse nettsider og krever penger for dem. Som sikkerhetsforsetter for 2013 foreslår McAfee at man installerer sikkerhetsprogramvare på alle enheter (også mobile), bruker sterke passord, sørger for at alle programmer er oppdaterte, og at man kontrollerer pengeoverføringene i banken.
Referanser
http://blogs.mcafee.com/consumer/2013-consumer-threat-predictions?utm_source=twitterfeed&utm_medium=twitter

Sikkerhetsfikser i NetBSD 6.0.1

NetBSD har blitt oppdatert til versjon 6.0.1. Fire sikkerhetsproblem har blitt retta på. Fire av dem er relatert til tjenestenektangrep (DoS). Disse angrepa utnytter minnelekkasje og hash-kollisjon i et XML-parserprogram. Kræsjproblem har også blitt fiksa.
Referanser
http://www.h-online.com/security/news/item/NetBSD-6-0-1-delivers-security-and-stability-fixes-1774562.html

2012.12.27 - Nyhetsbrev

En rolig periode. Minner om oppdatering til VMWare som ble sluppet i starten av julehøytiden.

VMWare retter svakheter i vCenter Server og ESXi

VMWare har sluppet oppdateringer til vCenter Server Appliance 5.x og ESXi 5.x. I vCenter Server Appliance rettes en feil vedrørende parsing av XML-filer som kan føre til uautorisert tilgang til informasjon på serveren. I ESXi resstes flere svakheter i implementeringen av glibc. Svakhetene eksisterer også i versjon 4.0 og 4.1 av ESXi, men VMWare melder at det ikke en planlagt noen oppdatering for disse versjonene.
Anbefaling
Installer oppdatering fra produsent om mulig
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0018.html

2012.12.21 - Nyhetsbrev

Microsoft slipper revidert versjon av én av sine desember-patcher.

Microsoft har sluppet oppdatert versjon av patch MS12-078

Det er funnet en feil i MS12-089 patchen som kom ut 11. desember i år. Denne er sluppet i oppdatert versjon for å fikse problemet
Anbefaling
Oppdater
Referanser
http://support.microsoft.com/kb/2753842 http://technet.microsoft.com/en-us/security/bulletin/ms12-078

2012.12.20 - Nyhetsbrev

Gammel svakhet i Adobe Shockwave er fortsatt aktuell: vedlegg til filmer kan bli installert uten brukerinteraksjon. Opera fikser svakhet som muliggjør kjøring av eksternkode. Amerikanske banker ser ut til å klare seg greit gjennom varslet DDos-angrep.

Amerikanske banker klarer seg gjennom DDos angrep

Fem amerikanske banker ser ut til å klare seg greit gjennom det varslede DDos angrepet som vi omtalte i nyhetsbrev på mandag.
Referanser
http://www.eweek.com/security/banks-back-under-attack-by-claimed-hacktivists/

Opera-oppdatering fikser alvorlig sårbarhet

Opera er ute i versjon 12.12 som tetter flere sårbarheter hvorav én alvorlig sårbarhet som gjør det mulig å få kjørt vilkårlig kode fra eksternt hold. For fullstendig liste over rettede sårbarheter, se referanse.
Anbefaling
Oppdater til nyeste versjon
Referanser
http://www.opera.com/docs/changelogs/unified/1212/

Svakheter i Adobe Shockwave

En trippel svakhet i Shockwave fra 2010 gir mulighet for kjøring av kode. Det er en svakhet i Xtras/Extensions som i endel tilfeller kan lastes uten bruker-interaksjon. Dersom Xtras/Extensions finnes i filmfilen, vil disse bli installert automatisk. En talsmann for Adobe sier at de ikke kjenner til utnyttelse av denne feilen og Adobe vil ikke fikse dette i neste Shockwave-utgivelse i Februar 2013.
Anbefaling
Ingen fiks eksisterer. Firefox brukere kan bruke NoScript og dermed "Whiteliste" sider som bruker Shockwave. IE brukere, kan midlertidig disable Shockwave ActiveX control.
Referanser
http://threatpost.com/en_us/blogs/us-cert-warns-adobe-shockwave-xtras-vulnerabilities-121912

2012.12.19 - Nyhetsbrev

Oracle sin siste oppdatering til Java har flere interessante nye funksjoner. Regjeringen er ute med ny strategi mot økende utfordringer innen IKT sikkerhet. Eset har gjort en analyse av Apache-modulen Chapro.

Analyse av Apache-modulen Chapro

Eset har en bloggpost med analyse av Apache-modulen Chapro. Denne modulen blir lagt inn på kompromitterte Linux-maskiner av kriminelle. Den serverer så en skjult iframe til besøkende brukere som igjen sender dem videre til et exploit-kit. Modulen bruker forskjellige teknikker for å hindre oppdagelse og analyse av den.
Referanser
http://blog.eset.com/2012/12/18/malicious-apache-module-used-for-content-injection-linuxchapro-a

Oracle oppdaterer sikkerhetsfunksjoner i Java Development Kit

Oracle gav ut en oppdatering til Java i forrige uke som inneholder flere interessante nye sikkerhetsfunksjoner. Nå gir de brukeren mulighet til å skru av Java plugin i nettleseren enkelt ved fjerne merkingen i en sjekkboks under opsjonene. Java vil nå til enhver tid sjekke at den kjører på siste versjon og vise en advarsel til brukeren hvis ikke.
Referanser
http://nakedsecurity.sophos.com/2012/12/19/java-7-update-10-introduces-important-new-security-controls/

Regjeringen med ny strategi mot IKT sikkerhetsutfordringer

Regjeringen skal nå samle ansvaret for IKT sikkerhet i Justis- og beredskapsdepartementet. De skal også få på plass en ny strategi med handlingsplan for dagens voksende sikkerhetsutfordringer innen IKT.
Referanser
http://www.regjeringen.no/nb/dep/jd/aktuelt/nyheter/2012/strategi-mot-voksende-sikkerhetsutfordri.html

2012.12.18 - Nyhetsbrev

Oracle begynner snarlig med auto-oppdatering av brukere fra Java 6 til Java 7. Norsis har publisert resultatene fra en passordundersøkelse de har gjort i norske bedrifter.

Java 6 auto-oppdateres snart til Java 7

I løpet av desember vil Oracle begynne med auto-oppdatering av enkelte Windows-brukere fra Java 6 til Java 7. Alle brukere vil bli oppdatert i løpet av februar 2013. Support og patcher for Java 6 vil også opphøre i februar.
Referanser
http://www.oracle.com/technetwork/java/javase/documentation/autoupdate-1667051.html

Norsis har gjort passordundersøkelse i norske bedrifter

Norsis har publisert resultatene fra en passordundersøkelse de har gjort i norske bedrifter. Der kommer det blant annet som vanlig fram at mange gjenbruker samme passord på flere tjenester og at en vanlig person må forholde seg til 25 forskjellige passord. Følg lenken for flere resultater.
Referanser
https://www.norsis.no/nyheter/2012-12-8-NorSIS-passordundersoekelse.html

2012.12.17 - Nyhetsbrev

Alvorlig sikkerhetshull i Exynos-baserte enheter fra Samsung. DDoS-angrepene mot amerikanske banker har startet opp igjen. The Register har detaljer fra etterforskning mot Anonymous-medlemer i UK.

Alvorlig sikkerhetshull i Exynos-baserte enheter fra Samsung

Exynos er en SOC (System on a Chip) fra Samsung som brukes i mobiltelefoner som Galaxy SII, SIII og diverse nettbrett. I Android-enheter med denne SOCen finnes det en fil kalt "/dev/exynos-mem" som gir direkte tilgang til minnet i enheten. Her kan enhver prosess både lese og skrive til minnet uten noen spesielle rettigheter. Dette er både en alvorlig og flau svakhet. Svakheten kan f.eks. utnyttes ved å laste opp en app til Google Play og lure brukere til å laste ned denne. Uten spesielle tilganger kan da appen få full tilgang til telefonen. Samsung har fått beskjed om problemet, men har ikke kommet med noen uttalelse enda.
Referanser
http://forum.xda-developers.com/showthread.php?p=35469999 http://www.theregister.co.uk/2012/12/17/samsung_exynos_flaw/

Nye DDOS angrep mot Amerikanske banker

Tidligere i år ble flere amerikanske banker utsatt for DDoS-angrep fra hacktivist-gruppen Izz ad-Din al-Qassam. Angrepene ble annonsert på forhånd via en post på Pastebin. Angrepene går under navnet "Operation Ababil" og gruppen sier de vil fortsette angrepene inntil filmen "Innocence of Muslims" fjernes fra nettet. Gruppen har nå lagt ut en post om nye angrep og banken PNC Financial Services har bekreftet at de er under angrep. Vi har også med en post fra Arbor Networks der de går igjennom hvordan de forrige angrepene ble utført og råd om hvordan en kan minimere virkningen av slike angrep.
Referanser
http://pastebin.com/E4f7fmB5 www.technologybanker.com/security-risk-management/ddos-attacks-strike-again-on-us-banks http://www.breitbart.com/Big-Peace/2012/12/13/Islamic-Hackers-Vow-Continued-Assault-on-US-Banks-Until-Innocence-of-Muslims-Removed http://ddos.arbornetworks.com/2012/12/lessons-learned-from-the-u-s-financial-services-ddos-attacks/

Detaljer fra etterforksning mot Anonymous-medlemer i UK

The Register har en bra oppsummering der de går igjennom hvordan etterforskningen mot flere medlemer av Anonymous ble utført. Etterforskningen gjaldt "Operation Payback" der blant annet PayPal og Mastercard ble angrepet.
Referanser
http://www.theregister.co.uk/2012/12/14/uk_anon_investigation/

2012.12.14 - Nyhetsbrev

Det har vært et rolig døgn på sikkerhetsfronten.

Det er ingen nye saker siden sist.

2012.12.13 - Nyhetsbrev

Nettleseren Google Chrome er ute i ny versjon.

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen fikser en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.dk/2012/12/stable-channel-update.html

2012.12.12 - Nyhetsbrev

Microsoft er ute med deres månedlige sikkerhetsoppdatering. Denne gangen er det snakk om 7 oppdateringer, som tetter i alt 10 svakheter, hvorav flere anses som kritiske. Spesielt bør man legge merke til MS-077 (Internet Explorer) og MS-080 (Exchange Server).

Adobe er ute med en oppdatering til Flash Player og Adobe AIR.

Gmail utilgjengelig i 18 minutter sist mandag

Gmail var nede i 18 minutter på mandag. Google har nå kommet med en offisiell forklaring på problemene. En oppdatering til Googles lastballanseringstjeneste inneholdt en feil som gjorde at Gmail-systemet trodde at andre tjenere var nede.
Referanser
http://arstechnica.com/information-technology/2012/12/why-gmail-went-down-google-misconfigured-chromes-sync-server/

Microsoft advarer mot rootkitet Necurs

Necurs Rootkit har eksistert i to år, men har iflg. Microsoft spredd seg raskt i det siste; Forskere hos Microsoft har funnet 83 427 infiserte maskiner i november. Rootkit'et spres via drive-by download, og inneholder avansert funksjonalitet for å skjule seg på et infisert system, samt motsette seg fjerning.
Referanser
http://www.darkreading.com/risk-management/167901115/security/attacks-breaches/240144203/necurs-rootkit-spreading-quickly-microsoft-warns.html

Advarer mot angrep basert på WordPress-utnyttelse

Sikkerhetseksperter advarer mot angrep retta mot publiseringsplattformene WordPress og Joomla. Det har blitt rapportert om flere slike utnyttingsforsøk. De infiserte sidene omdirigerer til annen side som installerer falsk antivirus og forsøker å lure offeret til å betale en "registeringsavgift". De siste dagene har vi også sett dette i Norge ved at flere sider enn vanlig har blitt infisert.
Referanser
http://www.v3.co.uk/v3-uk/news/2230978/researchers-warn-of-malware-attack-from-wordpress-exploit

Cumulative Security Update for Internet Explorer (2761465) (MS12-077)

Oppdateringen fikser 3 svakheter i Internet Explorer. De kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Internet Explorer
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-077

Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2783534) (MS12-078)

Oppdateringen dekker to svakheteter i Microsoft Windows der den mest alvorlige svakheten kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner et spesialdesignet dokument eller besøker en ondsinnet nettside som bruker "TrueType font"-filer.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-078

Vulnerability in Microsoft Word Could Allow Remote Code Execution (2780642) (MS12-079)

Oppdateringen fikser en svakhet i Microsoft Office. Svakheten kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker åpner en spesialdesignet "RTF"-fil med Microsoft Office. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-079

Vulnerabilities in Microsoft Exchange Server Could Allow Remote Code Execution (2784126) (MS12-080)

Oppdateringen fikser flere svakheter i Microsoft Exchange Server. Den mest alvorlige svakheten ligger i Microsoft Exchange Server WebReady Document Viewing og kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker velger å forhåndsvise et spesialdesignet dokument med Outlook Web App.
Anbefaling
Oppdater Microsoft Exchange Server
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-080

Vulnerability in Windows File Handling Component Could Allow Remote Code Execution (2758857) (MS12-081)

Oppdateringen fikser en svakhet i Microsoft Windows. Svakheten kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner en mappe som inneholder en fil eller en mappe med et spesialdesignet navn. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-081

Adobe Flash Player and AIR CVE-2012-5676 Remote Buffer Overflow Vulnerability

Adobe har gitt ut en oppdatering til Adobe Flash Player og Adobe AIR. Oppdateringen fikser tre alvorlige svakheter som kan utnyttes til å få eksekvert ondsinnet kode fra eksternt hold. Koden vil blir kjørt med samme rettigheter som den påloggede brukeren.
Anbefaling
Apply updates
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-27.html http://www.securityfocus.com/bid/56892/info

Vulnerability in DirectPlay Could Allow Remote Code Execution (2770660) (MS12-082)

Oppdateringen fikser en svakhet i Microsoft Windows. Svakheten kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner et spesialdesignet Office-dokument. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Microsoft Windows
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-082

Vulnerability in IP-HTTPS Component Could Allow Security Feature Bypass (2765809) (MS12-083)

Oppdateringen fikser en svakhet i Microsoft Windows. Svakheten kan gi en angriper muligheten til å omgå sikkerheten til en Windows Server ved å bruke et tilbakekalt sertifikat på en IP-HTTPS server, som ofte er brukt i Microsoft DirectAccess distribusjoner. For å utnytte svakheten må angriperen bruke et sertifikat fra domene for IP-HTTPS server autentisering.
Anbefaling
Oppdater Windows Server
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-083

2012.12.11 - Nyhetsbrev

Team GhostShell hevder å ha dumpet data fra NASA, ESA, Pentagon osv. Innebygget anti-virus i Android v. 4.2 får stryk. Russisk hacker arrestert for DDoS-angrep.

Team GhostShell hevder å ha dumpet data fra NASA, ESA, Pentagon osv.

Team GhostShell har i en post på pastebin annonsert at de skal ha dumpet informasjon fra 30 kjente firmaer/institusjoner, blant annet NASA, ESA Crestwood Technology Group, Bigelow Aerospace og General Dynamics Defense Systems. Informasjonen skal inneholde 1,6 millioner poster, blant annet navn, epost, telefonnumre, passord og annen info. Angrepene skal ha skjedd via SQL-injection.
Referanser
http://pastebin.com/agUFkEEa http://www.zdnet.com/team-ghostshell-takes-on-nasa-esa-pentagon-7000008558/ http://news.softpedia.com/news/GhostShell-Hackers-Leak-1-6-Million-Accounts-from-Over-30-High-Profile-Sites-313426.shtml

Innebygget anti-virus i Android 4.2 får stryk

NC State University har testet AV-funksjonaliteten som er innebygget i siste versjon av Android, v4.2. Dette er funksjonalitet som skal sjekke tredjepartsapplikasjoner før de blir installert, og er ikke relevant dersom brukeren installerer ting fra Google Play Store Store. Forskerne har prøvd å installere 1260 typer malware og bare 15 prosent av disse ble stoppet. Det virker også som om systemet bruker enkle sjekksummer for å detektere trusler. Det vil derfor være svært enkelt å unngå. Det er med andre ord best å holde seg til applikasjoner fra Googles egen applikasjonsbutikk og ikke laste ned og installere programvare selv fra mer eller mindre kjente nettsteder.
Referanser
http://www.cs.ncsu.edu/faculty/jiang/appverify/ http://arstechnica.com/security/2012/12/androids-built-in-malware-scanner-gets-a-failing-grade/

Russisk hacker arrestert for DDoS-angrep

En russisk hacker er arrestert etter å ha utført DDoS-angrep mot banker og andre firmaer. Angrepene ble bestilt og betalt av konkurrenter. Hackeren tok $100 per døgn for å ta ned et firma. Politiet opplyser at han ble tatt mens han var i ferd med å starte et angrep og at han nå samarbeider.
Referanser
http://www.themoscowtimes.com/news/article/police-hacker-detained-after-charging-100-to-shutter-sites/472839.html

2012.12.10 - Nyhetsbrev

Det har kommet en ny versjon av Metasploit Pro. Forskere avdekker svakheter i GPS og angrep som kan utføres mot flere av de store produsentene. Et stort GPU-basert cluster knekker 8-tegns passord på under 6 timer.

Metasploit Pro-oppdatering publisert

Metasploit Pro 4.5.0 har blitt publisert. Den nye versjonen skal ha ny støtte for social engineering og en oppdatering av webapplikasjonsskanneren.
Referanser
https://community.rapid7.com/docs/DOC-2108 https://community.rapid7.com/community/metasploit/blog/2012/12/07/go-phishing-how-to-manage-phishing-exposure-with-metasploit

Nytt GPU-cluster knekker alle vanlige Windows-passord på 8 timer

En ekspert innen passordknekking har utviklet et GPY-cluster som kan utføre 350 milliarder forsøk per sekund. Dette gjør det mulig å knekke et passord på 8 tegn med en hvilken som helst kombinasjon av tegn på under 6 timer.
Referanser
http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

Forskere avdekker svakheter i GPS.

Forskere har avdekket svakheter i GPS og demonstrert tre ulike typer angrep som kan utføres til en lav kostnad. For et år siden påstod også Iran å ha manipulert GPS-mottageren til en amerikansk drone slik at de kunne få den til å lande kontrollert og overta den.
Referanser
http://www.scmagazine.com.au/News/325731,researchers-find-crippling-flaws-in-global-gps.aspx http://www.csmonitor.com/World/Middle-East/2011/1215/Exclusive-Iran-hijacked-US-drone-says-Iranian-engineer-Video

2012.12.07 - Nyhetsbrev

Det har vært datainnbrudd hos den sveitsiske etterretningen. Microsoft har publisert forhåndsvarsler for desember oppdateringene. Esage Lab har publisert en detaljert analyse av TDSS botnettet. Et nytt botnett med TOR kommunikasjon er oppdaget.

Datainnbrudd hos den sveitsiske etterretningen

Den sveitsiske statlige sikkerhetstjenesten NDB har gått ut med en melding om at de har blitt utsatt for et alvorlig datainnbrudd. De stjålne dataene skal i tillegg til å inneholde sensitiv informasjon fra NDB, også inneholde informasjon fra britisk og amerikansk etterretning. Det er uvisst om informasjon fra norsk etterretning skal være på avveie. Innbruddet skal ha blitt foretatt av en tidligere ansatt som fortsatt hadde administratortilgang til et stort antall av NDBs servere. Ifølge sveitsiske myndigheter er allerede den misstenkte arrestert, og viktige bevis skal være beslaglagt. De sier også at den mistenke enda ikke hadde rukket å videreselge informasjonen. Ifølge sveitsiske kilder skal innbruddet først ha blitt oppdaget da den sveitsiske banken UBS oppdaget at den mistenkte utførte mistenkelige banktransaksjoner.
Referanser
http://www.reuters.com/article/2012/12/04/us-usa-switzerland-datatheft-idUSBRE8B30ID20121204 http://www.theregister.co.uk/2012/12/04/swiss_intelligence_data_loss/

Microsoft publiserer forhåndsvarsel av oppdateringer for desember

Microsoft melder at de kommer til å slippe 7 oppdateringer tirsdag 11. desember. Oppdateringene som slippes vil fikse svakheter i Windows, Windows Server, Windows RT, Office, Exchange Server, SharePoint Server og Office Web Apps, hvor de mest alvorlige kan føre til ekstern kodeeksekvering. 5 av oppdateringene blir rangert som kritiske, mens en rangeres som viktig.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-dec

Detaljert analyse av TDSS botnettet

Esage Lab har publisert en detaljert analyse av TDSS botnettet på nobunkum.ru. Siden er for øyeblikket nede men kan ses via google webcache lenken.
Referanser
http://webcache.googleusercontent.com/search?q=cache:BzLH17hFF54J:nobunkum.ru/analytics/en-tdss-botnet+&cd=1&hl=no&ct=clnk&gl=no http://www.nobunkum.ru/analytics/en-tdss-botnet

Et nytt botnett med TOR kommunikasjon er oppdaget

Skynet er et nytt botnett basert på Zeus. Trojaneren kan brukes til både DDoS og bitcoin mining i tillegg til vanlige Zeus egenskaper. Den styres via IRC. All kommunikasjon med C&C går via TOR. Dette gjør det veldig vankelig å analysere hvor C&C serverene finnes, og dermed også å finne bakmennene.
Referanser
https://community.rapid7.com/community/infosec/blog/2012/12/06/skynet-a-tor-powered-botnet-straight-from-reddit

2012.12.06 - Nyhetsbrev

Ars Technica har en god artikkel om FTC og hvordan de lurte Windows support-svindlere. I tillegg har en pakistansk hackergruppe satt flere kinesiske regjeringsnettsteder ut av spill.

FTC lurer Windows-svindlere

Ars Technica har en veldig god og morsom historie om hvordan Windows telefonsupport-svindlere lar seg avsløre, denne gang av FTC (Federal Trade Commission) i USA.
Referanser
http://arstechnica.com/tech-policy/2012/12/how-windows-tech-support-scammers-walked-right-into-a-trap-set-by-the-feds/

Pakistansk hackergruppe har satt flere kinesiske regjeringsnettsteder ut av spill

Ved hjelp av kode-injeksjon har ei hackergruppe som kaller seg "Pakistan cyber army" klart å sette 400 subdomener som tilhører den kinesiske regjeringa ut av drift.
Referanser
http://www.ehackingnews.com/2012/12/china-government-sites-defaced.html

2012.12.05 - Nyhetsbrev

Sophos er ute med sin årsrapport samt en interessant artikkel om Citadel trojaneren. Av siste døgns svakheter har vi valgt å ta med en kritisk svakhet i Tectia SSH som kan gi angriper root tilgang og en svakhet i MySQL server som gjør det enklere å knekke passord ved bruk av bruteforce angrep. DNS tjeneren BIND er også ute i ny versjon.

Sophos ute med årsrapport

Sikkerhetsselskapet Sophos Security er ute med sin årsrapport. Den inneholder siste års trender på sikkerhetsfronten samt spådommer for hva man kan forvente i 2013. I rapporten tar de blant annet opp hvordan exploitkittet Blackhole har blitt brukt til å spre malware på nettet det siste året. Hele 30 prosent av alle angrep registrert av Sophos har blitt utført ved hjelp av Blackhole, og gjør det derfor til den mest brukte angrepsmetoden på nettet det siste året. Java trekkes frem som en av verstingene blant sårbare tredjepartsapplikasjoner som har blitt angrepet. Til neste år mener de at vi kommer til å se mer til SQL-injection angrep mot sårbare webservere samt en økning i ransomware. Økningen av brukere på Mac OSX plattformen gjør også denne til et mer attraktivt mål i fremtiden. Se referanse for rapporten i sin helhet.
Referanser
http://www.sophos.com/en-us/security-news-trends/reports/security-threat-report.aspx http://nakedsecurity.sophos.com/2012/12/04/sophos-security-threat-report/

Sophos med interessant artikkel om Citadel-trojaneren

Citadel regnes som et av resultatene etter at kildekoden til Zeus ble sluppet i mai i fjor, og har bygget videre på denne med flere nye funksjoner. Trojaneren skal ha blitt oppdatert i oktober i år der en av nyhetene er fullt redesign av den interne krypteringen. Som et ekstra ledd for å beskytte Citadels konfigurasjonsfiler, tvinges nå alle bots til å sende ut en spesielt utformet HTTP-forespørsel før de får mulighet til å hente denne ut. Se referanse for grundigere gjennomgang av de nye funksjonene.
Referanser
http://nakedsecurity.sophos.com/2012/12/05/the-citadel-crimeware-kit-under-the-microscope/

Kritisk svakhet i Tectia SSH er lagt inn i metasploit rammeverket

Tectia SSH server inneholder en svakhet som gir en angriper mulighet til å få root tilgang til en sårbar SSH server fra utsiden. Det faktum at denne nå har blitt lagt inn i metasploit rammeverket vil gjøre utnyttelse enklere. En mulig workaround er å skru av passordautentiseringsmekanismen og bruke for eksempel nøkkelautentisering i stedet.
Anbefaling
Begrens bruken av Tectia SSH server til det foreligger en patch. Man kan også sikre serveren sin ved å skru av passordautentiseringsmekanismen.
Referanser
https://community.rapid7.com/community/metasploit/blog/2012/12/04/what-would-trinity-do-with-kingcopes-ssh-0day

Svakhet i MySQL gjør bruteforce-angrep enklere

Et bruteforce-angrep er en angrepsmetode der angriper bygger opp forskjellige passord bygget opp av bokstaver, tall spesialtegn og så videre. Flere applikasjoner, inkludert MySQL, gjør denne angrepsmetoden vanskeligere ved å legge inn en forsinkelse før den avviser et feil passord. Svakheten omgår denne sikkerhetsmekanismen og gjør det mulig for en angriper å teste 5000 passord i sekundet. Et passord med fire tegn ble knekt etter 20 sekunder i en test utført ved bruk av svakheten.
Anbefaling
Begrens tilgangen til serveren.
Referanser
http://lists.grok.org.uk/pipermail/full-disclosure/2012-December/089076.html

BIND ute i versjon 9.9.2

DNS tjeneren BIND er ute i versjon. Denne retter en rekke bugs. Det anbefales derfor å oppdatere til siste versjon.
Anbefaling
Installer siste versjon.
Referanser
https://isc.sans.edu/diary.html?storyid=14641

2012.12.04 - Nyhetsbrev

Nationwide Insurance og Macquarie University hacket. Orm spredde seg gjennom bloggnettstedet Tumblr.

Nationwide Insurance og Macquarie University hacket

Hackere har brutt seg inn hos Nationwide Insurance i USA og Macquarie University i Australia. Informasjon om rundt 1 millioner brukere er hentet ut fra hver av organisasjonene. Se lenker for detaljer.
Referanser
http://www.zdnet.com/au/breach-at-macquarie-uni-hackers-claim-1-million-plain-text-passwords-exposed-7000008199/ http://thehackernews.com/2012/12/sensitive-information-of-1-million.html

Orm spredde seg gjennom bloggnettstedet Tumblr

En bloggpost med ufint innhold har spredd seg til tusenvis av blogger på nettstedet Tumblr. Hackere postet først posten. Dersom andre påloggede brukere av nettstedet så på denne posten, ble den automatisk postet på brukerens egen blogg. Dette spredte seg så til tusenvis av blogger. Tumblr opplyser om at de nå har stoppet spredningen av posten. Mye tyder på at det er en XSS (Cross Site Scripting)-svakhet hos Tumblr som har ført til problemet.
Referanser
http://arstechnica.com/security/2012/12/how-a-computer-worm-slithered-across-a-huge-number-of-tumblr-accounts/

2012.12.03 - Nyhetsbrev

Det er publisert en ny teknikk for å lure passordet fra brukere. Kriminelle gjør exploit-kits og infrastrukturen rundt sikrere. Det er oppdaget flere sårbarheter i MySQL.

Ny teknikk for å lure fra deg passord

Ars Technica melder om en ny teknikk for å lure fra deg passord. Angriperen oppretter en web-side hvor det listes opp en rekke passord og annonsere denne. I siden bruker angriperen javascript for å overskrive snarveien CTRL+F (søk). Den besøkende til siden vil typisk trykke CTRL+F for å søke etter sitt eget passord i listen. Dersom han nå gjør det, vil passordet gå rett til angriperen. Angriperen må også lage en søke-boks som klarer å lure brukeren til å tro at det er nettleserens egen.
Referanser
http://arstechnica.com/security/2012/12/how-script-kiddies-can-hijack-your-browser-to-steal-your-password/

Kriminelle gjør exploit-kits og infrastrukturen rundt sikrere

Trend Mikro har en blogg-post om hvordan exploit-kits og hele infrastrukturen rundt dem stadig blir sikrere. Tidligere var ofte serverene som ble brukt i forbindelse med botnett åpne. Nå er de som oftest god sikret og kjøres ikke lengre på hackede servere. I tillegg har det også blitt vanskeligere å få tak i kildekoden til verktøyene som brukes, siden ting i større grad kjøpes som en tjeneste. Dette gjør det vanskeligere å for sikkerhetsmiljøet å finne ut av hva som foregår.
Referanser
http://blog.trendmicro.com/trendlabs-security-intelligence/news-from-the-underground-toolkitexploit-kit-developments/

0-day sårbarheter i MySQL

Et sett med 0-day sårbarheter er oppdaget i MySQL. Sårbarhetene gjør det mulig å kraskje MySQL og å skaffe seg høyere rettigheter på MySQL databasene. Exploit kode i form av proof of consept er offentliggjort.
Anbefaling
Det finne s for øyeblikket ingen oppdatering som fikser dette. Man kan bytte til MariaDB som er et opensource alternativ kompatibel med MySQL. Ellers handler det om å sikere MySQL best mulig. La den ikke være tilgjengelig fra annet en akkurat de serverene som trenger den.
Referanser
http://www.zdnet.com/vulnerabilities-threaten-to-crash-mysql-databases-7000008194/

2012.11.30 - Nyhetsbrev

Google ute med oppdatering til nettleseren Chrome som retter kritiske svakheter. Sophos melder om at økt spredning av trojaneren VBNA-X. Dette kan være knyttet til metodene den bruker til å spre seg på, som utelukkende er ved bruk av social engineering. Symantec er ute med ny rapport om trojaneren Crisis. Dette er en avansert multiplattform trojaner med funksjonalitet som blant annet gir den mulighet til å spre seg til VMware gjesteoperativsystemer.

Google oppdaterer Chrome

Nettleseren Google Chrome er ute i ny versjon. Oppdateringen fikser en rekke svakheter og det anbefales å oppdatere så fort som mulig. For fullstendig liste over rettede sårbarheter, se referanse.
Referanser
http://googlechromereleases.blogspot.no/2012/11/stable-channel-update_29.html

Symantec ute med rapport om trojaneren Crisis

Crisis skal fungere både på Windows, Windows phone og Mac. Den inneholder avanserte avlyttingsfunksjoner som inkluderer logging av tastetrykk, utklippstavle, avlytting av nettleser og uthenting av kontaktlister. Trojaneren kan også ta bilder av skjermen til offeret, samt ta i bruk webkamera og mikrofon. Den kan også bruke WIFI informasjon i forsøk på å avdekke offerets lokasjon. Det symantec betegner som unikt med akkurat crisis i forhold til dette er at alle disse avlyttingsfunksjonene fungerer uavhengig av om den kjører på Windows eller Mac. Hvis klienten bruker VMware på Windows har Crisis også muligheten til å kopiere seg ut på gjesteoperativsystemene. Man ser ofte at denne typen trojanere har spesifikk funksjonalitet for å unngå å bli kjørt i nettopp et VMware miljø. Crisis snur altså denne trenden ved å aktivt forsøke å spre seg over i virtuelle miljøer. Se referanse for å lese hele rapporten fra Symantec.
Referanser
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/crisis_the_advanced_malware.pdf

Sophos melder om økt spredning av trojaneren VBNA-X

Flere antivirusleverandører inkludert McAfee og Symantec melder om det samme. Det er en stund siden denne trojaneren først ble oppdaget, og det er først nå i sin siste versjon at den skal ha begynt å spre seg mer aggressivt. Trojaneren sprer seg via flyttbare medier og over delte nettverksmapper i Windows. Den oppretter eksekverbare filer der den bruker ikoner til mapper, bilder og videoer for å lure brukeren til å trykke på seg. Hvis brukeren ikke har skrudd på at filetternavn skal vises i explorer, noe som er standard på Windows i skrivende stund, så kan det tenkes at man lett kan la seg lure.
Referanser
http://nakedsecurity.sophos.com/2012/11/30/w32vbna-x-spreads-quickly-through-networks-and-removable-media/

2012.11.29 - Nyhetsbrev

Google Chrome oppdatering for Android. Shylock, en finans-malware unnviker seg analyse.
En hackergruppe har stjålet e-post fra ansatte ved et Israelsk atomkraftverk, og truer med offentliggjøring av disse hvis ikke Israel innrømmer at de har atomvåpen.
16 medlemmer av en rumensk hacker bande er arrestert i Australia for kortsvindel.
Universitetet i Oregon har oppdaget et nytt type hack hvor man bruker en sky-tjeneste til beregning i forbindelse med passordknekking.

Chrome får Android- og iOS-oppdatering

Google har sluppet oppdatering for nettleseren Android i mobiloperativsystema Android og iOS. Begge oppdateringene skal ha forbedring av stabilitet og sikkerhet.
Referanser
http://googlechromereleases.blogspot.no/2012/11/chrome-for-android-update_28.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+GoogleChromeReleases+%28Google+Chrome+Releases%29 http://googlechromereleases.blogspot.no/2012/11/chrome-for-ios-update.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+GoogleChromeReleases+%28Google+Chrome+Releases%29

Finans-malware unnviker analyse

Finans-malwaren Shylock oppdager om den blir forsøkt kjørt via fjernstyrt skrivebord, så den unnviker analyse. Dette blir gjort for å forlenge tida det tar får malwaren blir oppdaga.
Referanser
http://www.darkreading.com/advanced-threats/167901091/security/antivirus/240142738/financial-malware-platform-detects-remote-desktop-environments-to-evade-researchers.html

Wireshark har blitt oppdatert

I oppdaterte Wireshark 1.8.4 har det kommet noen sikkerhetsfikser.
Referanser
http://www.wireshark.org/docs/relnotes/wireshark-1.8.4.html https://isc.sans.edu/diary.html?storyid=14587&rss

Personlige data stjålet fra atomanlegg i Israel

En trolig iransk hackergruppe som kaller seg Parestoo (persisk for svale), offentliggjore på tirsdag 150 e-postadresser som skal være tilknytta ansatte ved et atomanlegg i Israel. Gruppa oppfordrer Israel til å innrømme at de har atomvåpen, noe landet har vært tvetydig om. Ellers vil hackerne offentliggjøre sensitive data som de ansatte som de også skal ha i besittelse.
Referanser
http://www.theregister.co.uk/2012/11/28/anti_israel_hackers_leak_addresses/

Rumensk hackerbande pågrepet for kredittkorttyveri i Australia

En rumensk bande har stålet kredittkortdata fra 30 000 australske forbrukere og tatt ut 30 millioner dollar fra disse. 16 av medlemmene i gjengen er nå arrestert.
Referanser
http://arstechnica.com/security/2012/11/small-business-point-of-sale-systems-hacked-subway-style-in-australia/

Googles DNS servere i Romania utsatt for DNS-poisoning

Brukere av Googles DNS servere i Romania ble i går henvist til feil nettside for blant annet domener tilhørende Microsoft og Google. Årsaken til dette var at en hacker hadde utført et DNS-poisoning angrep mot Google. Det er ikke kjent om dette gikk utover brukere i andre land.
Referanser
http://www.theregister.co.uk/2012/11/28/google_romania_dns_hack/

Ny hack utnytter sky-baserte nettlesere

En ny type hack førere til at man kan brukere sky-baserte nettleserne til å utføre beregninger til passordknekking. Tjenestenektangrep skal også være mulig. Dette er oppdaga ved forskning ved Universitetet i Oregon. Les mer i referanse.
Referanser
http://www.darkreading.com/cloud-security/167901092/security/news/240142718/new-hack-abuses-cloud-based-browsers.html

2012.11.28 - Nyhetsbrev

Java 0-day exploit-kode selges for fem-sifret dollarbeløp. Dark Reading har en artikkel om utvikling innen DDoS-angrep. Chrome har kommet i ny versjon. Hardkodet passord funnet i Samsung-skrivere. Ondsinnet kode har blitt lagt inn lagt inn i verktøyet Piwik.

Java 0-day exploit-kode selges for fem-sifret dollarbeløp

I kriminelle miljøer blir en ny Java 7-exploit angivelig solgt for et femsifret beløp i dollar. Exploiten fungerer trolig ikke på eldre Java-versjoner. Brian Krebs anbefaler i bloggen sin at en bruker to ulike nettlesere, én med Java deaktivert. Browseren der Java er aktivert brukes så kun der Java er nødvendig, som f.eks. ved bruk av BankID.
Referanser
http://krebsonsecurity.com/2012/11/java-zero-day-exploit-on-sale-for-five-digits/

Må tilpasse seg utviklingen i DDoS-angrep

DDoS-angrep blir stadig kraftigere og det utvikles mer avanserte varianter hvor flere angrepsvektorer benyttes samtidig. Det siste året har antallet angrep doblet seg og de største angrepene er nå gjennomsnittlig på 5 Gbit/s.
Referanser
http://www.darkreading.com/security-services/167801101/security/perimeter-security/240142616/evolving-ddos-attacks-force-defenders-to-adapt.html

Chrome-oppdatering

Chrome har kommet med en oppdatering som fikser syv sårbarheter, hvorav flere er rangert som alvorlige.
Referanser
http://googlechromereleases.blogspot.no/search/label/Stable%20updates

Hardkodet passord funnet i Samsung-skrivere

Det har blitt avslørt at Samsung-skrivere som kom til butikkene før forrige månedsskifte har hardkodet administratorkonto og passord. Angripere kan få full lese/skrive-tilgang til skriveren via protokollen SNMP. Det anbefales å begrense nettverkstilgangen til slike skrivere slik at de i alle fall ikke er tilgjengelig fra Internett.
Referanser
http://nakedsecurity.sophos.com/2012/11/27/samsung-printer-password

Ondsinna kode lagt inn i Piwik

Hackere har lagt inn ondsinna kode i analyseverktøyet Piwik som har åpen kildekode. Folk som har lasta ned programvaren i løpet av tida 15:45 UTC til 23:59 UTC på mandag bør slette den.
Referanser
http://arstechnica.com/security/2012/11/malicious-code-added-to-open-source-piwik-following-website-compromise/

2012.11.27 - Nyhetsbrev

I dag har vi informasjon om malwaren Narilam samt en gjennomgang av exploit-kittet Propack.

Informasjon om malwaren Narilam

Kaspersky har en oppsummering rundt malwaren Narilam som Symantec meldte om for noen dager siden. Malwaren er over to år gammel og er nå så godt som utryddet. Den var designet for å slette finansiell informasjon fra databaser i programvare levert fra TarrahSystem i Iran. Nesten alle infiserte maskiner har vært i Iran og Afghanistan.
Referanser
http://www.securelist.com/en/blog/208193954/Narilam_A_New_Destructive_Malware_Used_In_the_Middle_East

Gjennomgang av exploit-kittet Propack

Bloggen "Malware don't need Coffee" har en gjennomgang av siste versjon av Propack exploit-kittet og infeksjonsvektorer det benytter seg av. En kan også se priser og informasjon om produktet.
Referanser
http://malware.dontneedcoffee.com/2012/11/meet-propack-exploit-pack.html

2012.11.26 - Nyhetsbrev

Svindelkonkurranse lokker med Ipad og Iphone. Flere svenske sykehus hacket av Anonymous. Malware viser video fra webkameraet ditt og snakker til deg. Google, Microsoft, Ebay osv. tatt ned i Pakistan.

Svindelkonkurranse lokker med Ipad og Iphone

Det pågår en ny runde med svindel som benytter seg av Apple-produkter som lokkemat. Man mottar først en invitasjon via Facebook til å delta i en konkurranse og deretter blir man forsøkt svindlet ved hjelp av en falsk login-side til Facebook. Etter å ha fått tak i brukernavn og passord til offeret sprer svindelen seg videre ved å invitere offerets kontakter. Denne svindelen retter seg spesielt mot nordmenn. Motivasjonen til bakmennene er som vanlig å tjene penger på å lure ofrene til å abonnere på dyre innholdstjenester via SMS. Vi meldte om denne svindelen via vår Facebook-side i går kveld.
Referanser
https://www.facebook.com/TelenorSOC

Flere svenske sykehus hacket

Expressen melder at hackere fra Anonymous har brutt seg inn i datasystemene til flere svenske sykehus. Her har de fått tak i opplysninger om hundretusenvis av pasienter. Det er også mulighet for at opplysninger kan være endret. Angrepet er gjort for å støtte Julian Assange.
Referanser
http://www.idg.no/computerworld/helse/article261041.ece http://www.expressen.se/nyheter/sjukhusen-hackades-av-assangeanhangare/

Malware viser video fra webkameraet ditt og snakker til deg

Ransomware-familien Reveton har nå kommet i en ny versjon. Denne typen malware prøver å få offeret til å tro at politiet har funnet piratkopiert programvare på PCen. Det må deretter betales en bot for å låse opp PCen og unngå straffeforfølgelse. Den nye versjonen viser live-video fra web-kamera til brukeren og leser opp en beskjed tilpasset brukerens språk. Det ser ikke ut til at lydbeskjeden er oversatt til norsk enda, men malwaren har vært aktiv i Norge i tidligere utgaver.
Referanser
http://malware.dontneedcoffee.com/2012/11/reveton-speaking.html

Google, Microsoft, Ebay osv. tatt ned i Pakistan

Hackere har brutt seg inn hos registreringstjenesten PKNIC i Pakistan. Der har de pekt 285 .pk web-adresser, mange av dem kjente, til en ny web-tjener. Det er ukjent om det finnes noe motiv bak ugjerningen.
Referanser
http://www.zdnet.com/google-microsoft-and-ebay-fall-victim-to-pakistani-hack-7000007887/

2012.11.23 - Nyhetsbrev

En greker skal ha stålet personopplysninger om 9 millioner innbyggere. En exploit for å kapre Yahoo-kontoer selges for $700 i undergrunnsforumer.

Stjal personopplysninger fra 9 millioner grekere

Gresk politi pågrep tirsdag denne uken en 35 år gammel programmerer som er mistenkt for å ha stjålet personlige data fra 9 millioner grekere. Det er uvisst hvordan mannen har fått tak i dataene.
Referanser
http://www.digi.no/906613/stjal-personopplysninger-fra-9-millioner

Exploit for å kapre Yahoo-kontoer selges for $700

En exploit for å kapre Yahoo-kontoer selges for $700 i undergrunnsforumer. Svakheten er enda ikke fikset av Yahoo. Den kan utnyttes ved å lure en person til å trykke på en spesiell lenke mens han er logget inn hos Yahoo.
Referanser
http://krebsonsecurity.com/2012/11/yahoo-email-stealing-exploit-fetches-700/

2012.11.22 - Nyhetsbrev

I forbindelse med forrige presidentvalg i Frankrike beskyldes USA for cyberangrep mot samarbeidspartnere til tidligere Franske president Nicholas Sarkozy.

USA beskyldt for cyberangrep mot Frankrike

Cyberangrep skal ha skjedd mot samarbeidspartnere til tidligere fransk president Nicholas Sarkozy rett før presidentvalget i mai. Sarkozys strategiplaner skal ha blitt stjålet. USA nekter for at de står bak angrepet. Dette er første gang USA har blitt beskyldt for å utføre slike angrep mot en av sine allierte.
Referanser
http://news.cnet.com/8301-1009_3-57553153-83/u.s-accused-of-cyberattack-on-french-government/?part=rss&tag=feed&subj=News-Security&Privacy http://threatpost.com/en_us/blogs/france-accuses-us-using-flame-malware-hack-presidents-network-112112

2012.11.21 - Nyhetsbrev

Facebook begynner å innføre HTTPS som standard ved all kommunikasjon.
Nytt Linux-rootkit oppdaget.
Mozilla Firefox er lansert i ny og sikrere utgave.
Opera er ute i en ny versjon som fikser en alvorlig sårbarhet.

Facebook innfører HTTPS som standard

Facebook har begynt å innføre bruk av HTTPS som standard ved all tilkobling til nettsidene sine. I første omgang er dette innført for brukere i Nord-Amerika, men resten av verden vil snart følge etter. Fra før blir HTTPS bare brukt ifbm. innlogging, og kun ved videre kommunikasjon dersom brukeren bevisst har valgt å slå det på.
Referanser
http://threatpost.com/en_us/blogs/facebook-enabling-https-default-north-american-users-111912

Nytt Linux-rootkit oppdaget

Det har blitt oppdaget et nytt rootkit for Linux. Rootkitet er laget spesifikt for 64-bit Linux-systemer, og er trolig ment for å redirigere besøkende til exploit-sites via iframe-injisering. Det litt spesielle er iflg. Kaspersky Labs at denne injiseringen av ondsinnede iframes gjøres direkte "on-the-fly" på de utgående HTTP-pakkene. Vanligvis er det selve filene på web-serveren som endres, så denne funksjonaliteten gjør det vanskeligere å rydde opp på web-serveren.
Referanser
https://threatpost.com/en_us/blogs/new-linux-rootkit-emerges-112012

Mozilla Firefox 17 lansert

Firefox 17 er lansert. Den nye versjonen skal være sikrere, og har bl.a. en ny standardfunksjon som kalles "Click-to-play plugins". Dette innebærer at dersom man benytter gamle og utdaterte versjoner av plugins, vil ikke Firefox lenger vise innhold automatisk vha. disse. Man må istedenfor klikke manuelt på innholdet for å få kjørt/vist dette. Samtidig vil man få opp en link med tilbud om å oppdatere den gjeldende plugin.
Referanser
http://arstechnica.com/information-technology/2012/11/firefox-17-is-more-social-and-secure-but-doesnt-care-for-leopards/

Opera-oppdatering fikser alvorlig sårbarhet

Opera er ute i en ny versjon som bl.a. tetter en alvorlig sårbarhet som gjør det mulig å få kjørt vilkårlig kode fra eksternt hold. Typisk angrepvektor er via besøk til en ondsinnet nettside.
Anbefaling
Oppdater til Opera 12.11
Referanser
http://www.h-online.com/security/news/item/Opera-12-11-fixes-high-severity-vulnerability-1753773.html http://www.opera.com/support/kb/view/1036/

2012.11.20 - Nyhetsbrev

Adobe har kommet med en sikkerhetsoppdatering for Adobe ColdFusion.

Adobe oppdaterer ColdFusion

Adobe har kommet med en sikkerhetsoppdatering for Adobe ColdFusion. Oppdateringen fikser en svakhet som en angriper kan utnytte til å utføre et tjenestenektangrep. Se referanse for informasjon om hvordan man oppdaterer produktet.
Anbefaling
Oppdater ColdFusion
Referanser
http://www.adobe.com/support/security/bulletins/apsb12-25.html http://helpx.adobe.com/coldfusion/kb/coldfusion-security-hotfix-apsb12-25.html

2012.11.19 - Nyhetsbrev

VMware er ute med oppdateringer. To servere knyttet til FreeBSD sitt pakkesystem har vært kompromittert siden september i år.

Servere hos freebsd.org kompromittert

Freebsd.org meldte lørdag at to av serverne deres har blitt kompromittert. Dette skal de ha vært fra 19. september til 11. november i år. De mistenker at dette kan ha skjedd som følge av at noen skal ha fått tak i en SSH nøkkel fra en av utviklerne. Disse serverne er en del av et større cluster som har som oppgave å distribuere såkalte tredjepartspakker. Kort fortalt er FreeBSD sitt pakkesystem delt inn i to: En "base" som inneholder de grunnleggende pakkene som danner et standard operativsystem. Det vil si pakker som kjernen, system biblioteker og kompilatoren som brukes osv. Pakker som gir funksjonalitet utover dette kommer fra tredjepartspakkesystemet. Det er denne delen som har blitt kompromittert. Freebsd.org melder at de ikke har fått noen indikasjoner på at noen av disse pakkene skal ha blitt endret som følge av datainnbruddet, men påpeker at de likevel ikke kan være sikre. De anbefaler derfor blant annet reinstallasjon av maskiner som kan ha hentet pakker herfra under perioden serverne var kompromittert. Se vedlagt referanse for å lese hele saken samt få en oversikt over andre anbefalte tiltak.
Referanser
http://www.freebsd.org/news/2012-compromise.html

VMWare retter svakheter i ESX/ESXi 4.1

VMWare har rettet en svakhet i vSphere APIen i ESX og ESXi 4.1. En vellykket utnyttelse av svakheten kan føre til et tjenestenektangrep. Svakheten ligger i to BIND-biblioteker som APIen benytter.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0016.html

2012.11.16 - Nyhetsbrev

Anonymous angriper Israelske websider. Wired har en artikkel om passord og problemer rundt disse.

Anonymous angriper Israelske websider

Anonymous har angrepet flere israelske websteder i forbindelse med at konflikten med palestinerne har eskalert de siste dagene. Noen sider har fått byttet ut innhold, mens andre har blitt utsatt for DDoS-angep.
Referanser
http://bits.blogs.nytimes.com/2012/11/15/anonymous-attacks-israeli-web-sites/

Passord og sikkerhet

Wired har en lengre artikkel om passord. Forfatteren mener at passord ikke lengre er egnet til å beskytte sikkerheten vår på Internett. Det er også alt for lett å lure kundeservice hos forskjellige firmaer til å resette passordet ved hjelp av sosial manipulering.
Referanser
http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/

2012.11.15 - Nyhetsbrev

Informasjon om 150 000 brukerkontoer hos Adobe er på avveie.
Skypesvakhet som har blitt missbrukt i det stille over en viss tid har nå blitt fikset av Microsoft som eier Skype.
Alvorlig svakhet i Oracle Client Analyzer er nå dessverre tilgjengelig via Metasploit.
Svakhet i Novell NetIQ gir angriper mulighet til å få admintilgang.

150 000 brukerkontoer hos Adobe hacka

Informasjon om 150 000 brukerkontoer har blitt hentet ut fra Adobes forumtjeneste connectuseers.com. Hackeren hevdet at han brukte SQL-injection og at siden databasen var kryptert med MD5, var det veldig lett å få tak i dataene. Adobe bekrefter lekkasjen, og sier at de vil resette passord til de påvirke kontoene og kontakte kundene de tilhører. Hackeren påstår at han kommer til å gjøre tilsvarende med Yahoo for å teste sikkerheten der.
Referanser
http://www.darkreading.com/database-security/167901020/security/attacks-breaches/240134996/adobe-hacker-says-he-used-sql-injection-to-grab-database-of-150-000-user-accounts.html

Metasploit oppdatert med exploitkode mot Oracle Client Analyzer

Metasploit rammeverket har blitt oppdatert med vellykket kode for missbruk av Oracles Client Analyzer. Svakhetene har vært kjent en stund men når er exploitkode tilgjengelig for "alle".
Anbefaling
Patch Oracle og begrens unødvendig tilgang til Oracle Servere.
Referanser
http://packetstormsecurity.org/files/118119 /client_system_analyzer_upload.rb.txt

Novell NetIQ Privileged User Manager 2.3.1 Code Execution

Svakhet oppdaget i auth.dll og idapagnt.dll. Disse svakhetene åpner for at eksterne kan logge seg på systemene med admin tilgang.
Anbefaling
Installer patch når den foreligger.
Referanser
http://packetstormsecurity.org/files/118117/9sg_novell_netiq_i.tgz

Security hole allows anyone to hijack your skype account using only your email address

Det skal ha blitt oppdaget en svakhet i Skype som gjør det mulig for en ondsinnet person å kapre/ta over kontrollen på en annens Skype-konto ved bare å kjenne til email-addressen som er tilknyttet kontoen. Skype fjernet midlertidig den involverte funksjonaliteten "passord reset". Tjenesten er nå oppe igjen og svakheten fikset.
Anbefaling
Oppdater.
Referanser
http://thenextweb.com/microsoft/2012/11/14/security-hole-allows-anyone-to-hijack-your-skype-account-using-only-your-email-address/ https://isc.sans.edu/diary.html?storyid=14512&rss

2012.11.14 - Nyhetsbrev

Microsoft har gitt ut sine månedlige oppdateringer. Denne gangen ble det seks stykker der fire av disse har blitt rangert som kritiske. Ellers har det tyske føderale byrået for informasjonsteknologi publisert en interessant artikkel der de har testet sitt eget anbefalte oppsett av Windows 7. Det viser seg også at OSSE skal ha blitt utsatt for et datainnbrudd for andre gang på kort tid. Det er også oppdaget en svakhet i mange implementasjoner av IPv6 som gjør dem sårbare for DoS-angrep på lokalnettet.

OSSE utsatt for datainnbrudd for andre gang

OSSE, Organisasjonen for Sikkerhet og Samarbeid i Europa, har blitt utsatt for datainnbrudd for andre gang på kort tid. Det mistenkes at Anonymous står bak denne gangen også. Den stjålne informasjon omhandler en arbeidsgruppe i OSSE som skulle danne tillitsbyggende tiltak for å redusere risikoen for nettopp cyber-angrep.
Referanser
http://jeffreycarr.blogspot.de/2012/11/osces-cyber-security-confidence.html

BSI har testet egne konfigurasjonsanbefalinger for Windows

Det tyske føderale byrået for sikkerhet i informasjonsteknologi (BSI) har testet ut sine egne anbefalinger for sikker konfigurering av Windows 7. Testen har blitt utført ved bruk av gratis programvare på to maskiner med et BSI anbefalt oppsett og et mer tilfeldig oppsett. På maskinen med det tilfeldige oppsettet finner man Internet Explorer 9, Adobe Reader 9.4 og ett år gamle versjoner av LibreOffice, Java Runtime og Adobe Flash Player. I tillegg er brukerkontoen av typen administrator. På den andre med BSI sitt anbefalte oppsett er Google Chrome 21 og Adobe Reader X installert. Java er ikke installert. Resten av programvaren er oppdatert, og brukerkontoen er av typen standard. Begge systemene har ellers et fullt patchet operativsystem samt Microsoft Security Essentials (MSE) installert. Nettleserne til begge PC-ene ble satt til å gjøre oppslag mot 100 URL-er som pekte mot exploiter, i de fleste tilfeller Blackhole. Forskjellen var tydelig mellom systemene: Systemet som fulgte BSI-anbefalingene, ble aldri utsatt for en vellykket infeksjon. Det var bare fire nedlastinger av exe-filer, men ingen kjøring av disse. På systemet med utdatert oppsett var det 51 mislykkede angrep. 36 ganger var det både vellykket exploit og infeksjon. I ti tilfeller ble infeksjon blokkert av MSE. Ellers var det tre nedlastinger uten kjøring. Noe påfallende testgruppen i BSI fant ut, var at oppslag mot exploit-URL-adresser i Chrome førte til omdirigering til google.com. Dette mente de kunne tyde på at angriper ikke ser poenget i å forsøke seg på exploit i Chrome, fordi det er lite sannsynlig at det blir vellykket. Se referanse for hele artikkelen samt for å få en oversikt over BSI sine anbefalinger til de forskjellige operativsystemene.
Referanser
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/OffenerBereich/Analysen/analysen_node.html https://www.allianz-fuer-cybersicherheit.de/ACS/DE/OffenerBereich/Empfehlungen/empfehlungen_node.html

Vulnerabilities in Windows Shell Could Allow Remote Code Execution (2727528) (MS12-072)

Oppdateringen fikser to svakheter i Microsoft Windows. Svakhetene kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner en spesialdesignet mappe i Windows Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater produktene
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms12-072

Vulnerabilities in Windows Kernel-Mode Drivers Could Allow Remote Code Execution (2761226) (MS12-075)

Oppdateringen dekker tre svakheteter i Microsoft Windows der den mest alvorlige svakheten kan gi en angriper muligheten til å eksekvere kode på et utsatt system dersom en bruker åpner et spesialdesignet dokument eller besøker en ondsinnet nettside som bruker "TrueType font"-filer
Anbefaling
Oppdater Microsoft Windows.
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms12-075

Vulnerabilities in .NET Framework Could Allow Remote Code Execution (2745030) (MS12-074)

Oppdateringen fikser fem svakheter i Microsoft .NET Framework. En angriper kan utnytte den mest alvorlige sårbarheten til å eksekvere kode på et utsatt system ved å først lure en bruker til å bruke en ondsinnet autokonfigureringsfil og så injisere kode inn i den kjørende applikasjonen.
Anbefaling
Oppdater produktene.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-074

Cumulative Security Update for Internet Explorer (2761451) (MS12-071)

Oppdateringen fikser tre svakheter i Internet Explorer. De kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som klarer å utnytte en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Internet Explorer 9
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-071

Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (2720184) (MS12-076)

Oppdateringen fikser fire svakheter i Microsoft Office. Svakhetene kan gi en angriper mulighet til å eksekvere kode på et utsatt system dersom en bruker åpner en spesialdesignet Excel-fil. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren. Det kan være verdt å merke seg at Excel 2008 og 2011 for Mac OS også er sårbar og at Microsoft har gitt ut oppdateringer her også.
Anbefaling
Oppdater produktene.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-076

Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Information Disclosure (2733829) (MS12-073)

Oppdateringen dekker to svakheter i Microsoft Internet Information Services (IIS). En angriper kan utnytte den mest alvorlige svakheten til å tilegne seg informasjon ved å sende en spesialdesignet FTP-kommando til en server.
Anbefaling
Oppdater produktene.
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms12-073

Lokalt DoS-angrep gjennom IPv6 Router Advertisement

Marc Heuse har oppdaget at flere operativsystemer er sårbare for et DoS-angrep via IPv6. Angrepet utføres lokalt på nettverket ved å sende store mengder RA (Router Advertisement)-pakker som gjør at maskinen til slutt henger. Ved hjelp av angrepet kan én maskin på et lokalnett få alle andre maskiner som støtter IPv6 til å henge.
Anbefaling
Se artikkel for anbefalinger.
Referanser
http://www.hotforsecurity.com/blog/denial-of-service-attack-through-ipv6-router-advertisement-vulnerability-4362.html http://conference.hitb.org/hitbsecconf2012kul/materials/D1T2%20-%20Marc%20Heuse%20-%20IPv6%20Insecurity%20Revolutions.pdf

2012.11.13 - Nyhetsbrev

Det har kommet en metasploit modul til en kritisk sårbarhet i Java.

Metasploit modul til Java Applet JAX-WS svakhet ute

I forrige måned gav Oracle ut en større oppdateringspakke. Denne rettet blant annet en kritisk svakhet i Java som ga mulighet for ekstern eksekvering av kode. Nå har det blitt kjent at det har kommet ut en metasploit modul til denne svakheten, noe som gjør den offentlig tilgjengelig for aktiv utnyttelse. Det anbefales derfor å oppdatere til siste versjon som i skrivende stund er Java versjon 7 update 9.
Anbefaling
Installer oppdateringer fra Oracle som kom ut i oktober i år.
Referanser
http://packetstormsecurity.org/files/118040/Java-Applet-JAX-WS-Remote-Code-Execution.html

2012.11.12 - Nyhetsbrev

Cisco melder om en svakhet i Ironport. Vmware oppdaterer Workstation, Player og OVF Tool. Krebs on Security skriver om spionasje ved hjelp av malware i midtøsten.

Malware Spy Network Targeted Israelis, Palestinians

Krebs on Security har skrevet en bloggpost om spionasje i midtøsten med input fra Norman i Norge.
Referanser
http://krebsonsecurity.com/2012/11/malware-spy-network-targeted-israelis-palestinians/

VMWare retter flere svakheter i Workstation, Player og OVF Tool

VMWare har publisert oppdateringer til Workstation, Player og OVF Tool som retter flere svakheter, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. Svakhetene finnes kun i Windows-versjonen av produktene. For mer informasjon, se referansen.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://www.vmware.com/security/advisories/VMSA-2012-0015.html

Cisco retter svakhet i IronPort

Cisco retter en svakhet i implementasjonen av antivirusmotoren Sophos som er en del av IronPort Web Security Appliances og Email Security Appliances. Et vellykket angrep kan føre til at antivirusmotoren krasjer, som igjen kan føre til ekstern kodeeksekvering, tjenestenekt og rettighetseskalering. For mer informasjon, se referansen.
Anbefaling
Installer oppdatering fra produsent.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121108-sophos

2012.11.09 - Nyhetsbrev

Apple fikser alvorlige svakheter i Quicktime.
Symantec publiserer bloggpost om Ransomware og de økonomiske aspektene rundt dette.
Microsoft publiserer forhåndsvarsel om oppdateringer 13.oktober.
Adobe jobber med å få bekreftet gårsdagens meldte 0-day exploit mot Adobe Reader, som forøvrig trolig er på vei inn i et utbredt exploit-kit (Blackhole).

Adobe Working to Confirm New Reader Zero-Day Sandbox-Bypass Exploit

Adobe bekrefter at de nå er i dialog med Group-IB for å få bekreftet gårsdagens meldte 0-day svakhet i Adobe Reader. Iflg. Group-IB skal gårsdagens omtalte exploit allerede være tilgjengelig for salg i undergrunnsmarkedet, men foreløpig skal utbredelsen være svært begrenset. Iflg. Group-IB skal også utnyttelse av sårbarheten være innlemmet i det utbredte exploit-kit\'et \"Blackhole\", dog foreløpig trolig ikke i den kommersielle versjonen. Dette må man anta kan endre seg innen relativt kort tid.
Referanser
http://threatpost.com/en_us/blogs/adobe-dark-new-reader-zero-day-sandbox-bypass-exploit-110812

Microsoft publiserer forhåndsvarsel av oppdateringer for oktober

Microsoft melder at de kommer til å slippe 6 oppdateringer tirsdag 13. november. Oppdateringene som slippes vil fikse svakheter i Windows, Windows Server, Windows RT, Office og Office for Mac, hvor de mest alvorlige kan føre til ekstern kodeeksekvering og rettighetseskalering. 4 av oppdateringene blir rangert som kritiske, mens en rangeres som viktig og en rangeres som moderat.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms12-nov

Ransomware: How to Earn $33,000 Daily

Symantec har publisert en interessant bloggpost der de ser på fenomenet ransomware og de økonomiske mulighetene som ligger i dette utpressingskonseptet.
Referanser
http://www.symantec.com/connect/blogs/ransomware-how-earn-33000-daily

Apple Fixes Critical Flaws in QuickTime 7.7.3

Det har blitt oppdaget 9 alvorlige svakheter i Apple Quicktime, der alle svakhetene kan utnyttes til å få kjørt vilkårlig kode fra eksternt hold.
Anbefaling
Update to version 7.7.3.
Referanser
http://secunia.com/advisories/51226/ http://threatpost.com/en_us/blogs/apple-fixes-critical-flaws-quicktime-773-110812

2012.11.08 - Nyhetsbrev

Det ryktes om en 0-day exploit til Adobe Reader. Adobe synkroniserer patching av Flash med Microsofts patche-dager. Cisco retter svakhet i TACACS+.

0-day-exploit trenger gjennom sikkerhetsmekanisme i Adobe Reader

I Adobe Reader 10 og 11 skal forskere i det russiske firmaet Group-IB ha funnet en sårbarhet i en sikkerhetsmekanisme (kalt sandbox) som skal minimalisere skader av buffer-overflow-angrep. Adobe skal ennå ikke ha blitt informert om detaljene i exploiten av Group-IB. Exploit for svakheten er foreløpig ikke tilgjengelig.
Referanser
http://krebsonsecurity.com/2012/11/experts-warn-of-zero-day-exploit-for-adobe-reader/ http://arstechnica.com/security/2012/11/zero-day-attack-reportedly-pierces-key-adobe-reader-defense/ http://group-ib.com/index.php/7-novosti/672-group-ib-us-zero-day-vulnerability-found-in-adobe-x

Adobe og Microsoft går sammen om "Patch Tuesday"

Adobe har nå begynt å gi ut patcher til Flash på samme tid Microsoft kommer med oppdateringer. Grunnen er at Flash er integrert i Internet Explorer 10 for Windows 8.
Referanser
http://www.zdnet.com/adobe-microsoft-sync-up-patch-schedule-in-overdue-move-7000007062/

Cisco retter svakhet i Secure Access Control System TACACS+

Cisco har rettet en svakhet i Secure Access Control System TACACS+ som kan gi en angriper mulighet til å bli autentisert, dersom angriperen kun kjenner et brukernavn. Svakheten ligger i implementasjonen av LDAP og et angrep utføres ved at en angriper sender en spesielt utformet tekststreng når det spørres om passord. Se referanse for mer informasjon.
Anbefaling
Installér oppdatering fra produsent
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20121107-acs