2014.02.14 - Nyhetsbrev

FireEye har funnet en ny 0-dagssårbarhet i Internet Explorer, og har også skrevet en bloggpost om malwarekampanjen SnowMan. Websense har oppdaget at svakheten ble utnyttet så tidlig som 24. januar. Forskere har funnet en orm som har infisert rundt 1000 Linksys-rutere. Bruce Schneier blogger om hvordan NSA kan finne ut hvor folk befinner seg basert på internettaktiviteten deres. Cloudflare gir mer detaljer om det store NTP-tjenestenektangrepet. Forbes har blitt hacket av Syrian Electronic Army.

Forbes hacket av Syrian Electronic Army

Hackere fra Syrian Electronic Army (SEA) har hacket seg inn hos publikasjonen Forbes. Her har de fått kontroll over publiseringssystemet og lagt inn en falsk nyhetssak. De har også tatt kontroll over tre Twitter-kontoer tilhørende ansatte.
Referanser
http://news.softpedia.com/news/Forbes-Hacked-by-Syrian-Electronic-Army-426797.shtml

Cloudflare går i detaljer om NTP tjenestenektangrep

På mandag ble det utført et tjenestenektangrep mot en av kundene til CloudFlare. Dette angrepet hadde en størrelse på 400Gbps på det verste og ble utført ved bruk av 4529 NTP (Network Time Protocol) servere. CloudFlare går nå inn i detaljene rundet dette angrepet og om hvordan slike NTP tjenestenektangrep fungerer på deres blogg. De lister også opp hvilke nettverk som stod for angrepstrafikken.
Referanser
http://blog.cloudflare.com/technical-details-behind-a-400gbps-ntp-amplification-ddos-attack http://threatpost.com/400-gbps-ntp-amplification-attack-alarmingly-simple/104256

Orm infiserer Linksys-rutere

Forskere har nå funnet en orm som har infisert rundt 1000 Linksys-rutere av typen E100, E1200 og E2400. Ormen infiserer ruteren ved at den misbruker svakheter funnet i ruterens firmware. Når ruteren er blitt infisert søker den etter andre lignende rutere for å infisere disse. I tilegg til dette kan ormen også endre på DNS-innstillingene til ruteren og endre dette til Google sine DNS-server (IP 8.8.8.8 og 8.8.4.4). Noen ISPer har opplevd problemer på grunn av store mengder scanne-trafikk fra infiserte rutere. Ruteren kan bli kvitt infeksjonen ved at den blir restartet.
Referanser
http://arstechnica.com/security/2014/02/bizarre-attack-infects-linksys-routers-with-self-replicating-malware/

Hvordan NSA kan finne ut hvor folk er

Bruce Schneier går inn på hvordan NSA kan finne ut hvor personer befinner seg basert på data fra mobiltelefoner og internettbruk. Dette gjøres på to forskjellige måter. Den ene er ved å bruke basestasjoner i mobilnett. Den andre metoden går ut på å avlytte trafikk fra mobilen. Mange applikasjoner på mobilen lekker ut GPS-informasjon som NSA kan plukke opp for å spore brukeren. Les mer i referansen under om mer detaljer rundt dette.
Referanser
https://www.schneier.com/blog/archives/2014/02/finding_peoples.html

Ny zero-day i Internet Explorer 9 og 10 utnyttes aktivt

FireEye har i en bloggpost gitt en analyse av en malwarekampanje som de har døpt Operation SnowMan. En angriper har spredd malware ved å kompromittere et nettsted for amerikanske soldater som har tjenestegjort utenfor USA. (vtw[.]org) Malwaren utnytter en til nå ukjent svakhet i Internet Explorer 9 og 10 sammen med Adobe Flash. (CVE-2014-0322) I følge FireEye så kjører ikke malwaren dersom den oppdager at EMET (Enhanced Mitigation Experience Toolkit) eller Internet Explorer 11 er installert. Vi vil igjen oppfordre brukere av Windows til å installere EMET dersom mulig for å unngå at svakheter som dette blir utnyttet.
Referanser
http://www.fireeye.com/blog/uncategorized/2014/02/operation-snowman-deputydog-actor-compromises-us-veterans-of-foreign-wars-website.html

Ny Internet Explorer 9/10 0-day i bruk allerede 24. januar

Websense har sett nærmere på den nyoppdagede 0-day svakheten i Internet Explorer 9/10. Det viser seg at svakheten var brukt allerede 24 januar i et angrep mot fransk forsvarsindustri.
Referanser
community.websense.com/blogs/securitylabs/archive/2014/02/14/msie-0-day-exploit-cve-2014-0322-possibly-targeting-french-aerospace-organization.aspx