2013.04.30 - Nyhetsbrev

Avansert bakdør rammer tusenvis av Apache-installasjoner. The Guardians Twitterkontoer hacket. McAfee har oppdaget svakhet i Adobe Reader.

Avansert bakdør rammer tusenvis av Apache-installasjoner

En bakdør kalt Linux/Cdorked.A har dukket opp på tusenvis av Apache-servere. Bakdøren sørger for å sende besøkende til websiden til exploit-kittet Blackhole, som så forsøker å kompromittere maskinene. Bakdøren er vanskelig å oppdage i filsystemet og kan fjernstyres ved hjelp av krypterte kommandoer via HTTP som ikke blir logget av web-serveren. Det er sannsynlig at angriperne får tilgang til web-serverne gjennom brute-force gjetting av admin-passord via SSH, men det kan også være andre vektorer. Eset har sluppet et verktøy som kan brukes for å sjekke servere for infeksjon.
Referanser
http://www.welivesecurity.com/2013/04/26/linuxcdorked-new-apache-backdoor-in-the-wild-serves-blackhole/ http://arstechnica.com/security/2013/04/admin-beware-attack-hitting-apache-websites-is-invisible-to-the-naked-eye/

The Guardians Twitterkontoer hacket

Den britiske avisa The Guardian sine twitter-kontoer ble nettopp kapret av hacktivistgruppa Syrian Electronic Army. Det er snakk om 11 brukerkontoer. Grupperingen bak angrepet tok også kontroll over Associated Press sin Twitter-konto for noen dager siden. Angrepene gjennomføres ved hjelp av målrettede phishing-eposter som lurer brukerne bak kontoene til å skrive inn brukernavn og passord på falske Twitter-sider.
Referanser
http://www.darkreading.com/attacks-breaches/syrian-electronic-army-strikes-again-hac/240153854

McAfee oppdager svakhet i Adobe Reader

Sikkerhetsfirmaet McAfee har funnet en svakhet i Adobe Reader som lar folk spore bruken av PDF-dokumenter. Feilen tillater ikke kjøring av kode. Det er bare mulig å se hvor (i filsystemet) og når dokumentet har blitt åpnet tidligere. Normalt vil Adobe Reader gi en advarsel til brukeren dersom dokumentet åpner eksterne lenker, men McAfee har funnet en måte å skru av denne advarselen på.
Referanser
http://blogs.mcafee.com/mcafee-labs/tracking-pdf-usage-poses-a-security-problem http://www.theinquirer.net/inquirer/news/2264878/mcafee-discovers-adobe-reader-security-flaw

2013.04.29 - Nyhetsbrev

Spansk politi har arrestert en 35-åring mistenkt for å stå bak DDoS-angrepet mot Spamhaus. Brukerinformasjon til 50 millioner brukere av LivingSocial er på avveie.

LivingSocial hacket

Brukerinformasjonen til 50 millioner brukere av LivingSocial har blitt stjålet. Administrerende direktør Tim O'Shaughnessy forteller at kredittkort informasjonen ikke er blitt stjålet og at alle brukere nå må forandre passordene sine. Hvis det er brukere som har samme passord på andre nettsider anbefales det å endre dem også.
Referanser
http://www.usatoday.com/story/news/nation/2013/04/26/liviing-social-hacked-passwords-amazon/2116485/ http://arstechnica.com/security/2013/04/why-livingsocials-50-million-password-breach-is-graver-than-you-may-think/

Nederlender arrestert og mistenkt for å stå bak stort DDoS-angrep mot Spamhaus

BBC News melder at spansk politi har arrestert en nederlender som er mistenkt for å stå bak et meget stort tjenestenekt-angrep mot anti-spam selskapet Spamhaus i mars i år. Angrepet ble omtalt i dette nyhetsbrevet den 21.3, og var på inntil 300 Gbit/s. Den mistenkte er Sven Kamphuis, eier og leder av det nederlandske web-hosting selskapet Cyberbunker. Årsaken for angrepet antas å være at Spamhaus blokkerte noen nettsteder som ble hostet av Cyberbunker.
Referanser
http://www.bbc.co.uk/news/technology-22314938 http://www.spamhaus.org/news/article/698/arrest-in-response-to-march-ddos-attacks-on-spamhaus

2013.04.26 - Nyhetsbrev

Cisco melder om feil i Cisco NX-baserte produkter. Svært mange terminalservere er eksponert på internett uten beskyttelse. Android-telefoner med Viber kan låses opp uten passord og det er oppdaget en ny måte å omgå sikkerhetsadvarsel i Java.

Kritisk feil funnet i Cisco NX-baserte produkter

Cisco har gitt ut en advisory med informasjon om svakheter i Cisco NX-baserte produkter. Svakhetene kan benyttes til å kjøre ondsinnet kode og utføre DOS mot produktene. Oppdatering foreligger hos Cisco.
Referanser
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20130424-nxosmulti

Titalls tusen sårbare terminalservere tilgjengelig

HD Moore har funnet 100.000 terminalservere som er eksponerte mot Internett. 13.000 av disse har administratortilgang uten passord.
Referanser
http://www.h-online.com/security/news/item/Serial-threat-on-the-internet-1849412.html

Android-telefoner med Viber kan låses opp uten passord

Meldings- og VOIP-applikasjonen Viber for Android tillater pop-up selv når skjermen er låst. Dersom noen har fysisk tilgang til en låst telefon med Viber kan den dermed låses opp ved hjelp av en svakhet i pop-up-funksjonaliteten.
Referanser
http://www.h-online.com/security/news/item/Viber-app-enables-lock-screen-bypass-1849828.html

Ny mulighet for å omgå sikkerhetsadvarsel i Java.

Det er oppdaget en ny svakhet som gjør det mulig å unngå Java\'s sikkerhetsadvarsel.
Referanser
http://immunityproducts.blogspot.no/2013/04/yet-another-java-security-warning-bypass.html

2013.04.25 - Nyhetsbrev

BankID 2.0 presentert. DoS-angrep på 4Gb/s fra én server.

BankID 2.0 presentert

BankID prosjektet presenterte i går planene for den nye løsningen uten bruk av Java. Den nye løsningen skal benytte HTML5 og CSS3. Når dette skal bli implementert er fortsatt usikkert da dette er avhengig av bankenes betalingsvilje for den nye løsningen.
Referanser
http://www.digi.no/915590/slik-blir-nye-bankid

DoS-angrep på 4Gb/s fra én server

Firmaet Incapsula har et blogg-innlegg der de omtaler et DoS-angrep på 4Gbit/s. De mistenker at angrepet er generert av én server eller en gruppe servere på samme lokasjon med rask forbindelse til Internett.
Referanser
http://www.incapsula.com/the-incapsula-blog/item/714-ddos-attack-4gbps-single-cannon

2013.04.24 - Nyhetsbrev

Twitterkontoen til The Associated Press hacket. Microsoft har gitt ut problematisk sikkerhetsoppdatering på nytt. Java-sårbarhet som ble fikset i forrige oppdatering blir nå aktivt utnyttet.

Twitterkontoen til The Associated Press hacket

Twitterkontoen til The Associated Press ble hacket tirsdag kveld. Kontoen la ut en melding om eksplosjoner i det hvite hus og at presidenten ble skadet. Nyhetsbyrået meldte på egne nettsider at de var blitt hacket, men ikke før industriindeksen Dow Jones falt med 130 poeng. Aksjekursene stabiliserte seg raskt igjen etter at det ble klart at meldingen var falsk. Twitter har opplyst at de jobber med å implementere to-faktor-autentisering, slik f.eks. Facebook har muligheten for.
Referanser
http://www.dagbladet.no/2013/04/23/nyheter/utenriks/politikk/usa/barack_obama/26822002/ http://arstechnica.com/security/2013/04/hacked-ap-twitter-feed-rocks-market-after-sending-false-news-flash/

Microsoft har gitt ut oppdatering på nytt

Det ble rapportert inn en del problemer med en av oppdateringene (KB2823324) fra Microsoft denne måneden. Microsoft trakk etter kort tid oppdateringen tilbake og rådet brukere til å avinstallere den. Problemene skal nå ha blitt rettet i en ny utgivelse med navn KB2840149. Problemene utnytter problemer knyttet til lokal rettighetseskalering.
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-036

Java-sårbarhet blir utnyttet

Siste versjon av Java ble gitt ut 16. april. Allerede nå blir svakheter som ble rettet i denne oppdateringen utnyttet. Det har også blitt utgitt en modul til rammeverket Metasploit.
Referanser
http://www.f-secure.com/weblog/archives/00002544.html

2013.04.23 - Nyhetsbrev

Forklaring rundt Chrome- og Java-svakheter funnet ved Pwn2Own

Det har nå blitt offentliggjort forklaring på hvordan svakheter ble funnet og utnyttet i Chrome og Java under arrangementet Pwn2Own. For detaljer, les referanse.
Referanser
http://threatpost.com/chrome-and-java-pwn2own-vulnerabilities-explained/

Ny Verizon-rapport om cyberangrep

Den siste utgaven av Verizon sin årlige rapport opplyser at ulike typer cyberangrep må håndteres på forskjellige måter. Halvparten av alle målrettede angrep i fjor var mot bedrifter med færre enn 2500 ansatte. Antall målrettede angrep totalt økte med 42 % i 2012. Tre firedeler av alle angrep var finansrelaterte. En femdel var cyberspionasje. For flere detaljer, les referanse.
Referanser
http://securityblog.verizonbusiness.com/2013/04/23/at-long-last-the-2013-dbir-is-out/ http://www.darkreading.com/attacks-breaches/no-one-size-fits-all-in-data-breaches-ne/240153379

Virus Total støtter nå PCAP-filer

Virus Total er en populær tjeneste for å undersøke malware-filer med flere forskjellige anti-virus-produkter samtidig. Tjenesten har nå også fått støtte for PCAP-filer, altså opptak av nettverkstrafikk. Trafikken vil bli analysert av IDS-systemer og eventuelle alarmer vil bli vist. Interessante filer blir også automatisk hentet ut av pakkestrømmen.
Referanser
http://blog.virustotal.com/2013/04/virustotal-pcap-analyzer.html

2013.04.22 - Nyhetsbrev

Security Explorations rapporterer om ny sårbarhet i Java. En person er arrestert for hacking av sin tidligere arbeidsgiver Hostgator. Lastline har skrevet en omfattende analyse av Nuclear pack exploit kit. Microsoft har hatt sertifikatproblemer på bing.com, og lanserer snart to-faktor autentisering.

Lastline har skrevet en analyse om Nuclear pack

Lastline har skrevet en analyse om Nuclear pack exploit kit, og om hvordan malwaren forsøker å identifisere brukerinteraksjon for å unngå sandkassedeteksjon.
Referanser
http://www.lastline.com/analysis-of-an-evasive-backdoor

To-trinns autentisering for Microsoft-kontoer

I løpet av noen få dager vil Microsoft innføre to-trinns autentisering for innlogging til sine brukerkontoer. Første trinn er et vanlig passord, mens andre trinnet er en engangskode som blir sendt på SMS, e-post eller generert av en applikasjon.
Referanser
http://www.h-online.com/security/news/item/Microsoft-announces-two-factor-authentication-1845139.html

Tidligere ansatt hos Hostgator er arrestert for hacking av sin tidligere arbeidsgiver.

En tidligere ansatt hos hostingselskapet Hostgator er arrestert etter at han angivelig hacket sin tidligere arbeidsgiver og hadde installert en trojaner på 2723 av selskapets servere.
Referanser
http://nakedsecurity.sophos.com/2013/04/21/hostgator-hacked-suspect-rooted-with-own-rootkit/

Sertifikatproblem for Bing.com

Nettsiden for Microsofts søkemotor, Bing.com, hadde fredag omkring klokka 18 norsk tid problem med sikkerhetssertfikat for tilkobling med SSL. Det kom derfor opp advarsel i nettlesere om at siden ikke var til å stole på. Microsoft opplyser at feilen ligger hos Akamai.
Referanser
http://news.cnet.com/8301-1009_3-57580459-83/security-certificate-problem-trips-up-bing-web-site

Ny sårbarhet i Java

Security Explorations som i den siste tiden har funnet flere svakheter i Java, melder om at de har rapportert en ny sårbarhet til Oracle. Svakheten innebærer at ondsinnede Java applikasjoner kan forbigå sandkassen som er innebygget i Java. Dette gjelder også siste versjon av Java som ble sluppet i forrige uke. Både servere og klienter er sårbare.
Anbefaling
Forvent oppdatering fra Orcale.
Referanser
http://seclists.org/fulldisclosure/2013/Apr/194

2013.04.19 - Nyhetsbrev

Hackere utnytter som vanlig aktuelle nyheter for å spre spam og malware.

Hackere utnytter Waco-eksplosjon i malware-spam

Hackere utnytter nysgjerrigheten til folk rundt brannen og eksplosjonen i en gjødselfabrikk i Waco, Texas, USA. Ofre blir lurte til å trykke på en link som skal føre til en video av katastrofen, men blir sendt til et exploit-kit. Husk å være kritisk til å trykke på lenker i e-poster, spesielt dersom de er sensasjonspregede.
Referanser
http://nakedsecurity.sophos.com/2013/04/18/waco-explosion-malware

2013.04.18 - Nyhetsbrev

Oracle har sluppet en stor oppdatering. Microsoft har kommet med sin Security Intelligence Report (SIRv14). Sikkerhetsselskapet Malwarebytes har sendt ut en sikkerhetsoppdatering som feilaktig blokkerer lovlige windows dll og exe filer.

Oracle multiple updates.

Oracle har kommet med en stor oppdatering som påvirker mange systemer, og det anbefales på det sterkeste av dem å oppdatere systemene. Det er hele 128 forskjellige sårbarheter som dekkes med denne oppdateringen.
Referanser
http://www.theregister.co.uk/2013/04/16/oracle_critical_patch_april/

Sikkerhetsfirmaet Malwarebytes disablet tusenvis av maskiner.

Sikkerhets selskapet Malwarebytes sendte ut en oppdatering til sitt produkt med feilaktige instrukser som feilaktig disablet lovlige windows dll og exefiler. Oppdateringen ble trukket tilbake etter 8 minutter, men mange maskiner hadde allerede lastet ned oppdateringen.
Referanser
http://www.theinquirer.net/inquirer/news/2262248/flawed-malwarebytes-security-update-wipes-out-thousands-of-computers

Microsoft Security Intelligence Report 14

Microsoft har kommet ut med sin Security Intelligence Report (SIRv14). Denne rapporten innehold omfattende data om trusselbilde i siste del av 2012.
Referanser
http://blogs.technet.com/b/security/archive/2013/04/17/volume-14-of-the-microsoft-security-intelligence-report-released-hundreds-of-pages-of-new-security-intelligence-now-available.aspx

2013.04.17 - Nyhetsbrev

Hostingleverandøren Linode hacket via nylig patchet svakhet i Adobe ColdFusion. Oracle har sluppet ny Java med utvidede sikkerhetsadvarsler.

Linode hacket via nylig patchet svakhet i Adobe ColdFusion

Hostingleverandøren Linode melder på sin blogg at de skal ha blitt utsatt for et data-angrep. Angriperne skal ha benyttet seg av to svakheter i Adobe ColdFusion som ble patchet i forrige uke. Mye kan tyde på at de har vært kompromittert i flere uker før dette ble oppdaget. Linode sier at angrepet mest sannsynlig var rettet spesifikt mot en av deres kunder, men de har likevel resatt passordet til samtlige brukere som et ekstra sikkerhetstiltak.
Referanser
http://blog.linode.com/2013/04/12/security-notice-linode-manager-password-reset/ http://blog.linode.com/2013/04/16/security-incident-update/ http://arstechnica.com/security/2013/04/coldfusion-hack-used-to-steal-hosting-providers-customer-data/

Ny Java med utvidede sikkerhetsadvarsler

Oracle har nå sluppet ny versjon av Java som utbedrer 42 svakheter. Det nye versjonsnummeret er versjon 7 update 21. Oracle har også endret på måten brukeren advares mot potensielt farlig Java-kode. Dersom koden ikke er signert med et gyldig sertifikat, vil det nå komme kraftigere advarsler og brukeren må godkjenne kjøring av koden.
Referanser
http://java.com/en/download/index.jsp https://isc.sans.edu/diary/Java+7+Update+21+is+available+-+Watch+for+Behaviour+Changes+/15620

2013.04.16 - Nyhetsbrev

Oracle vil i løpet av dagen slippe en ny versjon av Java. DDoS-angrepet mot danske NemID forrige uke kostet $10. DNB ble rammet av et kortvarig DDoS-angrep i går

Ny versjon av Java blir sluppet i løpet av dagen

Oracle vil i løpet av dagen slippe en ny versjon av Java. Patchen vil fikse 42 svakheter i Java, hvorav 39 kan utnyttes til å ta kontroll over en maskin uten å autentisere seg. Det er ikke kjent at noen av disse svakhetene blir utnyttet aktivt for øyeblikket. Det nye versjonsnummeret vil bli Java versjon 7 update 19.
Referanser
http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html http://java.com/en/download/index.jsp

DDoS-angrepet mot danske NemID kostet $10

Den danske nettavisen Version 2 har intervjuet det de mener er personene bak et DDoS-angrep mot NemID, som tilsvarer norske BankID. Angrepet kostet angivelig $10 å gjennomføre og ble utført for å vise hvor lett DDoS-angrep kan ta ned viktige nettsider.
Referanser
http://www.version2.dk/artikel/gerningsmaend-bag-nemid-angreb-taler-ud-saa-lidt-skal-der-til-51501 http://www.digi.no/915064/angrepet-kostet-10-dollar

DNB rammet av DDoS-angrep i går

DNB ble i går utsatt for et DDoS-angrep. Det er ukjent hvem som står bak. Nettsidene til DNB var på grunn av dette utilgjengelige i rundt 30 minutter.
Referanser
http://e24.no/boers-og-finans/dnb-dette-skjer-ikke-ofte/20358069

2013.04.15 - Nyhetsbrev

Masseangrep mot Wordpress for å bygge opp kraftig botnet.

Masseangrep mot Wordpress og Joomla

Nettsteder basert på Wordpress og Joomla blir for tiden systematisk scannet og utsatt for brute force-angrep. Angrepet utføres av et botnett bygget opp av infiserte PC-er. Hensikten ser ut til å være å bygge et serverbasert botnett, med kraftigere infrastruktur og bedre ytelse. Alle som benytter Joomla og/eller Wordpress bør verifisere at de benytter kraftige, ikke-gjettbare passord.
Referanser
http://blog.cloudflare.com/patching-the-internet-fixing-the-wordpress-br http://krebsonsecurity.com/2013/04/brute-force-attacks-build-wordpress-botnet/ http://www.digi.no/915007/wordpress-under-masseangrep

2013.04.12 - Nyhetsbrev

Digi melder at nettbank-svindel har økt kraftig i Norge. Microsoft har skapt hodebry for enkelte etter siste runde med oppdateringer. Firefox vil i neste versjon komme med nye Do Not Track muligheter.

Kraftig øke i nettbank-svindel

Tap som banker har hatt på grunn av nettbanksvindel økte fra 664.000 kroner i 2011 til litt over 5 millioner i 2012. Tapet kunne ha vært enda større hvis bankene ikke hadde samarbeidet så godt. Sikkerhetsutfordringene flytter seg fra PC-en til mobile enheter ifølge Finanstilsynet, men bankene har ikke fått merke så mye til det ennå.
Referanser
http://www.digi.no/914881/kraftig-vekst-i-nettbank-svindel

Deaktivering av reklame-cookies mulig i Firefox 21

I Aurora- og Beta-versonene av den åpne kildekoden til Firefox 21, kommer det frem at det blir mulig å blokkere tracking cookies fra tredjepartssider, så de ikke sporer aktiviteten til brukeren. Dette vil ikke bli standard-innstilling, men det vil nå være enkelt å endre ved hjelp av GUI.
Referanser
http://www.h-online.com/security/news/item/Firefox-development-versions-show-privacy-plans-moving-forward-1840101.html

Oppdatering av Chrome

Nettleseren Google Chrome har blitt oppdatert til versjon 26.0.1410.57. En svakhet for kjøring av vilkårlig kode er fikset.
Referanser
http://www.us-cert.gov/ncas/current-activity/2013/04/11/Google-Releases-Google-Chrome-260141057

Problemer med oppdateringene fra Microsoft

Microsoft har trukket tilbake en av oppdateringene som kom denne uken, pga problemer enkelte har rapportert inn. Samtidig meldes det på nettet at en annen av oppdateringene gjør at maskinen ikke vil boote etter installering. Sistnevnte er spesielt utbredt i Brasil(!), og Microsoft har ikke kommet med noe informasjon ennå.
Referanser
http://blogs.technet.com/b/msrc/archive/2013/04/11/kb2839011-released-to-address-security-bulletin-update-issue.aspx https://isc.sans.edu/diary/KB2823324+causing+boot+issues+in+Brazil+and+some+other+locales/15593

2013.04.11 - Nyhetsbrev

U.S. Air Force har i kampen om finansiering utpekt seks nye cyber-våpen og planlegger opp-bemanning.

U.S. Air Force utpeker seks cyber-verktøy som våpen

U.S. Air Force har utpekt seks cyber-verktøy som våpen for å styrke satsingen på dette domenet i kampen om finansielle midler. Det jobbes også med å integrere disse kapabilitetene med andre våpen. Videre er det planer for å ruste opp med 1200 nye ansatte.
Referanser
http://www.reuters.com/article/2013/04/09/net-us-cyber-airforce-weapons-idUSBRE93801B20130409

2013.04.10 - Nyhetsbrev

Microsoft gir ut en rekke sikkerhetsoppdateringer relatert til blant annet Internet Explorer, Remote Desktop, Sharepoint og Active Directory. Adobe retter svakheter i Adobe Flash Player, Shockwave Player og ColdFusion. I rettsaken mot Lulzsec innrømmer Ryan Ackroyd at han var en del av hackergruppen.

Ryan Ackroyd erkjenner seg skyldig i hackerangrep

Den britiske hackeren Ryan Ackroyd har innrømmet at han er en del av hackergruppen Lulzsec som står bak tjenestenektangrep mot en rekke organisasjoner. 3 andre medlemmer har også erkjent skyld i en rekke angrep som inkluderer å hacke seg inn på maskiner tilhørende det amerikanske luftforsvaret og CIA. Lulzsec oppstod i mai 2011 og bestod av utbrytere fra Anonymous. Gruppen benyttet seg hovedsakelig av tjenestenektangrep for å gjøre nettsider utilgjengelige.
Referanser
http://www.bbc.co.uk/news/technology-22079709

Cumulative Security Update for Internet Explorer (2817183) (MS13-028)

Oppdateringen fikser 2 svakheter i Internet Explorer. Svakhetene kan gi en angriper mulighet til å eksekvere kode på et sårbart system, dersom en bruker besøker en spesialdesignet nettside med Internet Explorer. En angriper som vellykket utnytter en av disse svakhetene kan oppnå de samme brukerrettighetene som den lokale brukeren. Det anbefales å installere denne patchen så fort som mulig.
Anbefaling
Oppdater Internet Explorer
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms13-028

Vulnerability in Remote Desktop Client Could Allow Remote Code Execution (2828223) (MS13-029)

Oppdateringen fikser en svakhet i Remote Desktop Client som kan gi en angriper mulighet til å eksekvere kode på et utsatt system. Svakheten kan utnyttes dersom en bruker besøker en spesialdesignet nettside. En angriper som vellykket utnytter svakheten kan oppnå de samme brukerrettighetene som den lokale brukeren.
Anbefaling
Oppdater Remote Desktop Connection Client
Referanser
https://technet.microsoft.com/en-us/security/bulletin/ms13-029

Sikkerhetsoppdatering for Adobe Flash Player, Shockwave Player og ColdFusion

Oppdateringen fikser flere svakheter der de mest alvorlige kan gi en angriper muligheten til å ta kontroll over en utsatt maskin. For fullstendig liste over rettede sårbarheter, se referanse.
Anbefaling
Oppdater produktene
Referanser
http://blogs.adobe.com/psirt/2013/04/adobe-security-bulletins-posted-5.html

Oppsumering av ikke-kritiske sårbarheter i Windows månedlige sikkerhetsoppdatering

Det er 7 oppdateringer fra Microsoft denne måneden som er klassifisert som viktige. Svakhetene i Kernel-Mode Driver, HTML Sanitization Component, Antimalware Client, CSRSS og Windows Kernel kan alle føre til lokal rettighetseskalering. I alle disse tilfellene må en angriper ha gyldig påloggingsinformasjon for å kunne utnytte svakhetene. Svakheten i Active Directory kan utnyttes ved å sende en spesialdesignet forespørsel til en LDAP-tjeneste. Dette vil kunne føre til en tjenestenekt-tilstand. Svakheten i SharePoint vil kunne gi en angriper muligheten til å tilegne seg informasjon fra en SharePoint Server. For mer utfyllende informasjon, se referanse.
Anbefaling
Oppdater produktene
Referanser
http://technet.microsoft.com/en-us/security/bulletin/ms13-apr

2013.04.09 - Nyhetsbrev

Første uavhengige test av anti-virus på Windows 8. Skaperen av Phoenix exploit-kit angivelig arrestert.

Første uavhengige test av anti-virus på Windows 8

Det uavhengige, tyske sikkerhetsfirmaet AV-Test har testet 25 ulike antivirusløsninger på Windows 8 og kommet frem til at Windows Defender klarte å oppdage 82% av alle februarprøvene for 0-day malware. Industrigjennomsnittet er 95%, i følge AV-Test. (Vår erfaring på TSOC er at dette tallet er langt lavere). Det gikk bedre med vidt spredt skadevare. Da scoret Windows Defender 95%, mens industrigjennomsnitt var 98%. Microsoft forsvarer seg med at kundenes deres ikke besøker alle sidene som skadevareprøvene stammer fra.

Det var to sikkerhetsløsninger som gjorde det dårligere enn Windows Defender, nemlig Comodo og AhnLab, som ikke er så kjente.
På toppen av testresultatene stod AVG og Avast.

http://www.av-test.org/en/tests/home-user/windows-8/janfeb-2013/
http://www.theregister.co.uk/2013/04/09/av_test_first_windows_8_results/
http://reviews.cnet.com/8301-3667_7-57578546/windows-8s-rising-security-tide-raises-all-antivirus-boats/

Skaperen av Phoenix exploit-kit arrestert

Forfattaren av Phoenix Exploit Kit, en hacker med kallenavnet "AlexUdakov", skal ifølge Brian Krebs nylig ha blitt arrestert i Russland for å spre skadelig programvare og å eie ulovlige skytevåpen. I Krebs' artikkel kommer det fram at "AlexUdakov" ikke bekymrry seg mye for å skjule sine spor. Phoenix ble solgt på det svarte markedet for en grunnpris på 2200 dollar.

http://krebsonsecurity.com/2013/04/phoenix-exploit-kit-author-arrested-in-russia/

2013.04.08 - Nyhetsbrev

Antatt leder av Carberp trojaneren tatt. Data på avveie fra hardware-firmaet AMI. En månedlig oppsummering av nyhetsbildet for mars ligger ute på TSOC sin blogg.    

Oppsummering nyhetsbildet mars 2013

Vi har skrevet en oppsummering av nyhetsbildet for mars og lagt det ut på bloggen vår. Se referanse for å lese innlegget i sin helhet.

http://telenorsoc.blogspot.no/2013/04/oppsummering-nyhetsbildet-mars-2013.html

Antatt leder av Carberp gjengen arrestert

Det meldes om at den antatte lederen bak Carberp trojaneren er tatt. Carberp trojaneren er i hovedsak blitt brukt mot Russiske og Ukrainske banker.

http://arstechnica.com/tech-policy/2013/04/alleged-botnet-mastermind-and-his-coders-busted-by-russian-ukranian-security/

AMI Firmware kildekode og privat nøkkel lekket

Kildekode og default test-privatnøkkel til AMI Firmware skal ha blitt funnet på en Taiwansk FTP server. Det er usikkert om denne eller noen andre leverandører kan ha brukt denne nøkkelen til signering. I tillegg til AMI kildekoden, skal også mye annen intern informasjon ha vært tilgjengelig på FTP serveren.

http://adamcaudill.com/2013/04/04/security-done-wrong-leaky-ftp-server/
http://threatpost.com/en_us/blogs/ami-firmware-source-code-private-key-leaked-040513

2013.04.03 - Nyhetsbrev

Mozilla ute med ny versjon av Firefox og Thunderbird.

Mozilla Firefox 20 og Thunderbird 17.0.5 ute

Nettleseren Firefox 20 er lansert. Den nye versjonen fikser 11 svakheter der 3 regnes som kritiske. Mozilla har samtidig gitt ut en oppdatering for epostleseren Thunderbird der de også retter en rekke svakheter. For fullstendig liste og forklaring av rettede sårbarheter, se referanse.
Referanser
https://www.mozilla.org/security/known-vulnerabilities/firefox.html http://www.mozilla.org/security/known-vulnerabilities/thunderbird.html#thunderbird17.0.5

2013.04.02 - Nyhetsbrev

Kaspersky har oppdaget Android malware brukt i målrettet angrep. Zeus er fremdeles mest brukt til botnet ifølge McAfee. IBM rapporterer at APT angrep som oftes ikke bruker spesielt avanserte angrepsmetoder. En av seks Amazon S3 buckets lekker sensitive data. Cisco fikser alvorlige svakheter i IOS.

Avanserte teknikker ikke nødvendigvis brukt i vedvarende cyberangrep

I en nylig publisert studie fra IBM kommer det fram at tungt finansierte cyberkriminelle ikke nødvendigvis benytter seg av avanserte angrepsformer som blant anna utnytter ferske svakheter (zero-day exploits). De velger heller å gå systematisk til verks med grunnleggende teknikker for å få tilgang til datasystemer. De velger oftest å angripe på lettest mulig måte.
Referanser
http://blogs.iss.net/archive/2012-XFTR-EOY.html http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/240151964/advanced-persistent-threats-not-so-advanced-methods-after-all.html

Zeus fremdeles det desidert største botnettet

Ifølge McAfee står banktrojaneren Zeus og varianter av den for 57,9 % av alle botnett-infeksjoner. Det nest største botnettet stod ikke for mer enn 9 %. McAfee anslår også at 37 % av skadevareprøvene de har analysert, har tilknytning til forskjellige botnet.
Referanser
http://blogs.mcafee.com/network-security/tackling-the-botnet-threat http://www.v3.co.uk/v3-uk/news/2258398/zeus-still-king-of-the-botnets-say-researchers

Sky-tjenester ikke mindre sikre enn enterprise-tjenester

Enterprise-datasentre ble tatt av angrep ti ganger oftere og støtte på skadevare- og botnet-angrep tre ganger oftere enn sky-verttjenester. I begge tilfeller er angrep mot nettapplikasjoner dominerende. 52 % av skytjenestene og 39 % av enterprise-datasentrene opplevde dette. Datasentrene lider mer av målretta angrep enn skytjenester (50 % mot 5 %). Skytjenester får for det meste gjennomgå generiske, opportunistiske angrep og færre ulike typer angrep.
Referanser
http://www.alertlogic.com/resources/cloud-security-report/ http://www.darkreading.com/database-security/167901020/security/application-security/240151867/web-application-attacks-dominate.html

En av seks Amazon S3-kontoer lekker bedriftshemmeligheter

I gjennomsnitt eksponerer en av seks S3 buckets på skylagringstjenesten Amazon S3 bedriftsinformasjon som skulle holdes hemmelig. Dette kommer av de såkalte "lagringsbøttene" er blitt konfigurert med feil rettigheter, som gjør all informasjon lagret i "bucketen" åpent tilgjengelig.
Referanser
http://nakedsecurity.sophos.com/2013/03/29/amazon-s3-cloud-storage-data-leak/

Egyptiske marinestyrker har arrestert tre personer for å sabotere undersjøisk kabel

Egyptiske marinestyrker har arrestert tre personer siktet for å prøve å kutte en undersjøisk kabel tilhørende Telecom Egypt. Det er under en uke siden en annen kabel skal ha blitt skadet av et skip, noe som skal ha ført til store problemer for Internett i landet.
Referanser
http://www.washingtonpost.com/world/middle_east/egypt-naval-forces-capture-3-scuba-divers-trying-to-sabotage-undersea-internet-cable/2013/03/27/dd2975ec-9725-11e2-a976-7eb906f9ed9b_story.html

Målrettet angrep som benytter seg av Android-skadevare oppdaget

Kaspersky skal ha oppdaget Android malware brukt i et målrettet angrep mot en tibetansk aktivist. Malwaren kom som vedlegg til en epost som tilsynelatende kom fra formannen i World Uyghur Congress. Malwaren skal blant annet kunne sende ut kontakter, ringe historikk, sms meldinger og geolocation data.
Referanser
http://www.securelist.com/en/blog/208194186/Android_Trojan_Found_in_Targeted_Attack http://arstechnica.com/security/2013/03/first-targeted-attack-to-use-android-malware-discovered/

Cisco oppdaterer svakheter i IOS

Cisco har sluppet en større oppdatering til IOS som retter en rekke svakheter, hvor de mest alvorlige kan gi uautorisert tilgang til nettverk og enheter. For mer informasjon om hvilke IOS-ehenter som er rammet av de forskjellige svakhetene, se referansen.
Anbefaling
Installer oppdateringen
Referanser
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_mar13.html