2018.05.31 - Nyhetsbrev

Artikkel om nye detaljer rundt Zero-Day svakheten funnet i JScript-komponenten til Windows.

Nye detaljer rundt Zero-Day svakheten funnet i JScript-komponenten til Windows

Sikkerhetsekspert hos Telspace Systems oppdaget i januar en Zero-Day svakhet i Javascript-komponenten til Windows operativsystemet via Trend Micro Zero-Day Initiative (ZDI). Svakheten kan bli utnyttet til å gi angriper tilgang til å eksekvere kode på maskinen. ZDI rapporterte svakheten til Microsoft, men det har ikke kommet ut patch enda. ZDI har nå publisert flere detaljer rundt svakheten.
Referanser
https://securityaffairs.co/wordpress/73076/ha[...] https://www.zerodayinitiative.com/advisories/[...]

2018.05.30 - Nyhetsbrev

Sikkerhetsoppdatering for Google Chrome. US-Cert med varsel om Hidden Cobra, Nord Korea. 5 års fengsel for hacking av 500 millioner Yahoo kontoer.

Sikkerhetsoppdatering for Google Chrome

Ny oppdatering for Chrome fikser en rekke svakheter.
Referanser
https://chromereleases.googleblog.com/search/[...]

US-CERT med varsel om Hidden Cobra, Nord Korea.

US-CERT poster TA18-149A etter samarbeid mellom Department of Homeland Security og FBI. Denne posten omhandler aktivitet ifra Nord Koreas myndigheter, omtalt av amerikanske myndigheter som Hidden Cobra. Varslet omhandler hvordan Hidden Cobra har brukt både Joanap og Brambul malware til angrep mot amerikanere siden minst 2009. Det nevnes minst 87 kompromitterte nettverks-noder i 17 land brukt av Joanap malwaren.
Referanser
https://www.us-cert.gov/ncas/alerts/TA18-149A

5 år i fengsel for hacking av 500 millioner Yahoo kontoer

Canadieren som sa seg skyldig i angrepet mot Yahoo som medførte over 500 millioner kontoer ble kompromittert, ble dømt til 5 år i fengsel. I tillegg ble Karim Baratov dømt til en bot på $250 000. Amerikansk statsadvokat, Alex Tse, kommenterte etter dommen at "Straffen reflekterer alvorligheten i utleie av hacking virksomhet".
Referanser
https://arstechnica.com/tech-policy/2018/05/y[...]

2018.05.28 - Nyhetsbrev

Tyske forskere utviklet metode for å omgå AMD sin sikkerhetsmekanisme, Secure Encrypted Virtualization

Tyske forskere utviklet metode for å omgå AMD sin sikkerhetsmekanisme, Secure Encrypted Virtualization

Tyske forskere har utviklet en metode for å omgå sikkerhetsmekanismen, Secure Encrypted Virtualization, som er implementert av AMD Epyc server mikrochipper for å automatisk kryptere og dekryptere virtuelle maskiner i minne. Angrepet, som har fått navnet SEVered, kan tillate eksfiltrering av data i plaintext fra et kryptert VM.
Referanser
http://securityaffairs.co/wordpress/72929/hac[...]

2018.05.24 - Nyhetsbrev

Over 500,000 enheter infisert av ny malware kalt "VPNFilter". FBI overtok kontrollserverne til malwaren på onsdag ved hjelp av en rettsbegjæring.

Over 500,000 enheter infisert av ny malware kalt "VPNFilter"

Talos har forsket på ny malware kalt "VPNFilter". Det er fortsatt mye som er uvisst, men forskerne har valgt å publisere sine funn tidlig. Forskerne antar at minst 500,000 enheter er infisert. Dette gjelder nettverksenheter (typisk hjemmeroutere) fra Linksys, MikroTik, NETGear og TP-Link. Skadevaren skal være i stand til både uthenting av informasjon og destruktive handlinger. Det er først og fremst routere i Ukraina som er rammet, men totalt er det infiserte routere i 54 land. Den russiske grupperingen Fancy Bear er mistenkt å stå bak operasjonen. FBI har i en aksjon på onsdag fått kontroll over malwarens C2-domene. Ved restart av en infisert router vil denne til slutt kontakte C2 addressen toknowall[.]com. Dette dreper effektivt malwarens mulighet til å reaktivere etter en restart av berørt utstyr. FBI samler nå informasjon om hvilke enheter som er kompromittert.
Referanser
https://blog.talosintelligence.com/2018/05/VP[...] https://www.thedailybeast.com/exclusive-fbi-s[...]

2018.05.23 - Nyhetsbrev

Microsoft kommer med blokkering av Flash, Shockwave og Silverlight-innhold i Office 365.

Microsoft melder at de vil blokkere Flash, Shockwave og Silverlight-innhold i Office 365

Microsoft melder at de snart vil blokkere Flash, Shockwave og Silverlight innhold fra å kunne kjøre i office-dokumenter i Office 365. Blokkeringen kommer som tiltak for å beskytte mot kjøring av ondsinnet kode, og vil være absolutt. Den kan mao. ikke overstyres ved å aktivt tillate innholdet osv., slik man kan nå. Blokkeringen er tenkt implementert fom. januar 2019. Iflg. Microsoft blir Office 2016, Office 2013, og Office 2010 ikke berørt av blokkeringen.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

2018.05.22 - Nyhetsbrev

Sikkerhetsoppdatering til Thunderbird. To nye varianter av Meltdown og Spectre. Overvåkings-programvare på Android-telefoner rettet mot Midtøsten. Android-malware rammer avhoppere fra Nord-Korea.

Sikkerhetsoppdatering til Thunderbird

Mozilla Foundation har utgitt sikkerhetsoppateringer til Thunderbird. Oppdateringen fikser 13 svakheter, hvorav 2 er betegnet kritiske. Oppdateringen finnes i versjon 52.8 av Thunderbird.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

To nye varianter av Meltdown og Spectre

Intel og US-CERT har kommet med informasjon rundt to nye måter å utnytte svakhetene Spectre og Meltdown. Disse blir kalt Variant 3a og Variant 4 og er såkalte Side-Channel Vulnerabilities. Leverandører jobber nå med å få fikset de siste problemene. Dette vil kreve oppdateringer av BIOS/firmware. Det meldes om et ytelsestap på 2-8% på generelle benchmark-tester. Disse variantene skal være vanskeligere å utnytte enn de tidligere.
Referanser
https://www.us-cert.gov/ncas/alerts/TA18-141A https://www.intel.com/content/www/us/en/secur[...] https://www.theverge.com/2018/5/21/17377994/g[...] https://blogs.technet.microsoft.com/srd/2018/[...]

Overvåkings-programvare på Android-telefoner rettet mot Midtøsten

Forskere har funnet en overvåkings-programvare på Android-telefoner som antageligvis blir brukt av det Pakistanske militæret til å samle inn data fra offiserer og andre høytstående personer i Midtøsten. Verktøyet har fått navnet Stealth Mango og det anslåes å ha samlet inn 30 GB med data, deriblant lydopptak, tekstmeldinger, bilder og posisjonsdata. Rundt 100 personer er rammet og malwaren var aldri å finne i Googles offisielle app-butikk.
Referanser
https://threatpost.com/phishing-campaign-targ[...]

Android-malware rammer avhoppere fra Nord-Korea

McAfee har skrevet en artikkel der de beskriver noe av hva deres forskere har funnet av apper på Google Play som inneholder skadevare og hvordan de hører sammen i et større sett av operasjoner. Det forklares at de som står bak har mange likheter med gruppen Sun Team, at innsamlet informasjon blir sendt til en Dropbox-konto og at utviklerene bak skadevarene antageligvis kan koreansk. Sikkerhetsselskapet konkluderer med at avhoppere fra Nord Korea antakeligvis er målet for appene. Malwaren ble spredd via Google Play og appene var markert som "unreleased".
Referanser
https://securingtomorrow.mcafee.com/mcafee-la[...]

2018.05.18 - Nyhetsbrev

Cisco slipper sikkerhetsoppdateringer.

Cisco slipper sikkerhetsoppdateringer

Cisco har sluppet sikkerhetsoppdateringer som fikser 18 svakheter i flere av deres produkter. Fire av svakhetene er kategorisert som kritiske.
Anbefaling
Oppdater berørte systemer så raskt som mulig.
Referanser
https://tools.cisco.com/security/center/publi[...]

2018.05.16 - Nyhetsbrev

Styresmaktene i Nederland faser ut produkter fra Kaspersky Labs. Fortsatt sikkerhetsproblemer relatert til skyløsninger. Svakhet i DHCP-klient rettet i Red Hat Enterprise 6 og 7.

Styresmaktene i Nederland faser ut bruk av produkter fra Kaspersky Labs

Nederlandske myndigheter forteller at de vil fase ut bruken av Kaspersky Labs produkter. Myndighetene opplyser at dette er en preventiv handling. Kort tid etter uttalelsen slapp Kaspersky Labs planer om å flytte deler av selskapets infrastruktur til Sveits. Operasjonen er en del av selskapets "Global Transparency Initiative".
Referanser
http://securityaffairs.co/wordpress/72551/cyb[...]

Fortsatt sikkerhetsproblemer relatert til skyløsninger

I en rapport utgitt av RedLock finnes det eksempler fra flere store selskaper, deriblant Tesla, Uber og Intel. I de ulike kategoriene er flest berørt av "risikabel konfigurasjon" etterfulgt av manglende patching.
Referanser
https://www.darkreading.com/cloud/25--of-busi[...]

Svakhet i DHCP-klient rettet i Red Hat Enterprise 6 og 7.

Red Hat har sluppet en sikkerhetoppdatering til DHCP-klient pakkene for Red Hat Enterprise Linux 6 og 7. Oppdateringen tetter et sikkerhetshull der en angriper kunne ta kontroll over en datamaskin ved hjelp av forfalskede DHCP svar. Angriper kunne oppnå fulle priviliger på berørte systemer.
Anbefaling
Oppdater berørte systemer.
Referanser
https://bugzilla.redhat.com/show_bug.cgi?id=1[...]

2018.05.15 - Nyhetsbrev

Adobe gir ut sikkerhetsoppdateringer for Photoshop, Acrobat og Acrobat Reader.

Adobe gir ut sikkerhetsoppdateringer

Adobe har gitt ut nye sikkerhetsoppdateringer for flere kritiske sårbarheter knyttet til Adobe Photoshop, Adobe Acrobat og Adobe Acrobat Reader for Windows og MacOS. Disse sårbarhetene vil kunne utnyttes selv om man installerte sikkerhetsoppdateringene som ble sluppet forrige uke.
Referanser
https://www.us-cert.gov/ncas/current-activity[...] https://helpx.adobe.com/security/products/acr[...] https://helpx.adobe.com/security/products/pho[...] https://www.theregister.co.uk/2018/05/14/adob[...]

2018.05.14 - Nyhetsbrev

Forskere ved norske universiteter utsatt for målrettet angrep fra Iran. Ondsinnede nettleserutvidelser til Chrome har infisert over 100.000 maskiner. Alvorlig feil funnet i meldingsapplikasjonen Signal. EFAIL: Svakheter i PGP og S/MIME kan eksponere krypterte e-poster.

Forskere ved norske universiteter utsatt for målrettet angrep fra Iran

FBI har etterforsket et målrettet angrep mot universiteter rundt om i verden, inkludert Universitetet i Oslo og Universitetet i Bergen. De norske universitetene har i egen undersøkelse funnet 43 norske forskere som har blitt utsatt for dette angrepet. Angrepet det dreier seg om er av typen "phishing-attack", der angriperen har sendt en e-post hvor han utgir seg for å være en forskerkollega. Mailen inneholder linker til falske innloggingssider som ser helt legitime ut. Når mottakeren logger inn, lagres innloggingsinfoen som igjen brukes til å stjele vitenskapelige artikler.
Referanser
https://www.nrk.no/norge/pst_-_-iran-bak-hack[...]

Ondsinnede nettleserutvidelser til Chrome har infisert over 100.000 maskiner

Mer enn 100 000 datamaskiner har siden mars blitt infisert av ondsinnede nettleserutvidelser i Chrome. Disse har blant annet har stjålet påloggingsinformasjon, utvunnet kryptovaluta, samt drevet andre former for nettsvindel. Så langt er totalt syv nettleserutvidelser blitt fjernet fra Googles offisielle Chrome Web Store. Angrepskjeden starter ved at brukeren trykker inn på en link sendt via Facebook. Dette vil ta brukeren til en falsk YouTube-nettside, der en må installere en nettleserutvidelse for å spille av en video. Radware, som først oppdaget skadevaren, hevder at det kun er brukere som benytter seg av nettleseren Chrome som er utsatt.
Referanser
https://threatpost.com/new-facebook-spread-ma[...] https://arstechnica.com/information-technolog[...]

Alvorlig feil funnet i meldingsapplikasjonen Signal

Sikkerhetsforskere har oppdaget en alvorlig svakhet i den populære ende-til-ende krypteringsapplikasjonen Signal for Windows og Linux. Svakheten kan gjøre det mulig for en angriper å utføre ondsinnet kode på mottakerens system ved kun å sende en melding. En fikset utgave er sluppet og det anbefales å oppgradere!
Anbefaling
Installer oppdatering!
Referanser
https://thehackernews.com/2018/05/signal-mess[...]

EFAIL: Svakheter i PGP og S/MIME kan eksponere krypterte e-poster

De to mest brukte metodene for kryptering av e-poster, PGP og S/MIME, inneholder svakheter som kan eksponere innholdet i krypterte e-poster. Svakhetene ligger i måten e-postklienter viser og dekrypterer meldingene på, ikke i selve protokollene. Süddeutsche Zeitung har en eksklusiv artikkel om svakhetene. Det finnes foreløpig ingen kjent fiks og brukere anbefales å deaktivere automatisk dekryptering av e-post, alternativt skru av integrasjon av PGP/GPG eller S/MIME på klienter ved utveksling av sensitiv informasjon. Det kan også hjelpe å skru av HTML-rendring av eposter i epostklienter brukt med kryptering.
Anbefaling
Vent på mer informasjon.
Referanser
https://efail.de/ http://www.sueddeutsche.de/digital/exklusiv-v[...] https://arstechnica.com/information-technolog[...] https://www.eff.org/deeplinks/2018/05/attenti[...] https://lists.gnupg.org/pipermail/gnupg-users[...]

2018.05.11 - Nyhetsbrev

Mozilla ute med oppdatering til Firefox og Firefox ESR. Google ute med oppdatering til Chrome.

Mozilla ute med oppdateringer til Firefox

Mozilla har gitt ut Firefox 60 og Firefox ESR 52.8 som skal fikse flere svakheter i nettleserne. Noen av svakhetene skulle gjøre det mulig for en angriper å ta over systemet.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Google ute med oppdatering til Chrome

Google har gitt ut oppdatering til Chrome for Windows, Mac og Linux. Oppdateringen skal fikse 4 svakheter, hvor en svakhet er klassifisert som kritisk og tre er klassifisert som viktige.
Referanser
https://chromereleases.googleblog.com/search/[...]

2018.05.09 - Nyhetsbrev

Månedlig sikkerhetsoppdatering fra Microsoft, Adobe og Android. Russisk hackergruppe forkledd som IS i flere "falsk flagg" angrep.

Microsoft slipper sikkerhetsoppdateringer for mai

Microsoft er ute med sin månedlige sikkerhetsoppdatering for mai. Denne gangen patcher de 68 svakheter, hvorav 21 er å anse som kritiske. To av svakheten, CVE-2018-8174 og CVE-2018-8120, skal iflg. Kaspersky Lab allerede være observert aktivt utnyttet. Svakhetene som patches befinner seg i Internet Explorer, Edge, Office, Exchange Server, .NET Framework, Hyper-V, Windows, ChakraCore og Azure IoT SDK.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...] https://isc.sans.edu/diary/rss/23637 https://www.symantec.com/blogs/threat-intelli[...] https://arstechnica.com/information-technolog[...]

Sikkerhetsoppdateringer fra Adobe

Adobe gir ut sikkerhetsoppdateringer som tetter flere svakheter i Creative Cloud Desktop Application, Flash Player og Connect. Svakhetene i Flash Player kan bl.a. utnyttes til å få kjørt vilkårlig kode fra eksternt hold.
Referanser
https://blogs.adobe.com/psirt/?p=1557 https://helpx.adobe.com/security/products/cre[...] https://helpx.adobe.com/security/products/fla[...] https://helpx.adobe.com/security/products/con[...]

Månedlig sikkerhetsoppdatering for Android

Månedlig sikkerhetsoppdatering til Android, der en rekke tildels alvorlige svakheter blir rettet.
Referanser
https://source.android.com/security/bulletin/[...]

Russisk hackergruppe forkledd som IS i flere "falsk flagg" angrep.

Artikkel fra "The Associated Press" som hevder at en russiske hackergruppe i 2015 sto bak en "falsk flagg" kampanje der utvalgte amerikanske milltær-fruer mottok drapstrusler fra den fiktive IS gruppen "CyberCaliphate". Den samme grupperingen skal også ha stått bak sabotasje-angrepet mot Franske TV5 Monde 9. april 2015. Også i dette angrepet skal gruppen ha lagt igjen falske spor som pekte mot IS.
Referanser
https://apnews.com/4d174e45ef5843a0ba82e804f0[...]

2018.05.07 - Nyhetsbrev

Russland blokkerer 50 VPNer, web-proxyer og anonymiseringsverktøy. Kinesiske etterretningsoffiserer står bak langvarig og avansert hacking.

Russland blokkerer 50 VPNer, web-proxyer og anonymiseringsverktøy

Russland har satt i gang flere tiltak mot meldingstjenesten Telegram. Torsdag 3. mai blokkerte Russlands media- og kommunikasjonsregulerende myndighet Roskomnadzor over 50 VPNer, web-proxyer og anonymiseringsverktøy. Det russiske nyhetsbyrå TASS har bekreftet tiltaket og rapporterer at dette rammer de tjenestene som har gitt adgang til Telegram-tjenesten. Telegram ble blokkert i april, etter at de nektet å gi fra seg krypteringsnøkler slik at meldinger i tjenesten kunne dekrypteres av russiske myndigheter.
Referanser
http://www.hackread.com/russia-blocks-50-vpn-[...]

Kinesiske etterretningsoffiserer står bak langvarig og avansert hacking

I over ett tiår har det vært utført avanserte angrep mot programvare- og spillindustrien i USA, Europa, Russland og andre land. Forskere fra forskjellige sikkerhetsorganisasjoner har i lang tid gitt sine egne navn på angrepene og gruppene som utfører disse, blant annet Winnti og Wicked Panda, og ikke satt dette i sammenheng. I en nylig utgitt rapport fra 401TRG har mener forskere at det er kinesiske myndigheter som står bak flesteparten av disse angrepene.
Referanser
https://arstechnica.com/information-technolog[...]

2018.05.04 - Nyhetsbrev

GLitch: en ny type Rowhammer-angrep. Nye Spectre-relaterte svakheter rammer Intel-prosessorer. Twitter anbefaler sine brukere å bytte passord. Kaspersky Lab har sluppet en rapport om ZooPark.

GLitch: en ny type Rowhammer-angrep

Forskere demonstrerer "GLitch", ny type "Rowhammer"-angrep, som benytter JavaScript og WebGL (GPU) til å utnytte fysiske svakheter i minnebrikker på enheter med CPU, GPU og minne på samme brikke. Angrepet utgjør trolig ingen umiddelbar fare, men viser en videre utvikling av en tidligere stort sett teoretisk svakhet.
Referanser
https://arstechnica.com/information-technolog[...]

Flere Spectre-relaterte svakheter rammer Intel-prosessorer

Det er igjen rapportert om nye svakheter som rammer Intel-prosessorer. De 8 nye svakhetene, som har fått navn Spectre Next Generation eller Spectre NG, har enda ikke blitt offentliggjort. En av svakhetene skal angivelig gjøre det mulig å kunne bryte seg ut av en virtuell maskin og angripe vertssystemet. Intel har klassifisert risikoen for fire av svakhtene som medium og 4 som høy.
Referanser
https://www.ghacks.net/2018/05/03/spectre-nex[...]

Twitter anbefaler sine brukere å bytte passord

Twitter anbefaler sine brukere å bytte passord etter at de fant ut at passord fra enkelte brukere har blitt lagret i klartekst i loggfiler.
Referanser
https://blog.twitter.com/official/en_us/topic[...]

Kaspersky Lab har sluppet en rapport om ZooPark

Kaspersky Lab har sluppet en rapport om ZooPark, en cyberspionasjeoperasjon som har hatt fokus på Midtøsten siden, minst, juni 2015 og rammer Android-enheter.
Referanser
https://media.kasperskycontenthub.com/wp-cont[...]

2018.05.03 - Nyhetsbrev

Sikkerhetsoppdateringer fra Cisco. Versjoner av LoJack-programvare kobles til Fancy Bear. Microsoft haste-patcher svakhet.

Sikkerhetsoppdateringer fra Cisco

Cisco har utgitt en rekke oppdateringer for sine produkter. Fire av svakhetene er kategorisert som kritisk.
Referanser
https://tools.cisco.com/security/center/publi[...] https://www.us-cert.gov/ncas/current-activity[...]

Versjoner av LoJack-programvare kobles til Fancy Bear

LoJack er et program brukt av IT-administratorer for å lokalisere og stenge ned bærbare datamaskiner som har blitt stjålet. Men nå har Arbor Networks oppdaget flere LoJack-agenter som har blitt modifisert til å kontakte Fancy Bear, en trusselaktør koblet til russiske GRU.
Referanser
https://asert.arbornetworks.com/lojack-become[...] http://www.theregister.co.uk/2018/05/02/lojac[...]

Microsoft haste-patcher svakhet

Microsoft har utgitt en fiks for en svakhet i "Windows Host Compute Service Shim" - en tjeneste for å kjøre Windows Server-containere i et virtuelt miljø. Ved å utnytte svakheten kan en angriper oppnå ekstern kodeeksekvering på et sårbart system.
Anbefaling
Patch umiddelbart
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...] https://www.securityweek.com/microsoft-patche[...]

2018.05.02 - Nyhetsbrev

Ny øvingsarena for informasjonsikkerhet. Gitub varsler at enkelte passord ble lagret som klartekst ved en feil. Svakhet i GPON-routere. Oppsummering av SamSam Ransomware.

Github lagret flere brukeres passord i klartekst i interne logger

Github har sendt ut en mail der de advarer en rekke brukere om at deres passord har vært lagret i klartekst. Feilen ble oppdaget under en logg-gjennomgang Github har utført.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Oppsumering fra Malwarebytes rundt SamSam ransomware

SamSam ransomware er mye brukt i målrettede angrep, og har vært kjent siden 2016. I de dokumenterte angrepene har forskjellige teknikker blitt brukt for å infisere målet. Ransomwaren har gitt berørte brukere muligheten til å låse opp krypterte filer mot en betaling i Bitcoin. Flere store aktører har blitt rammet, blant annet et sykehus i Indiana, som i en periode ble tvunget til å bruke penn og papir. Sykehuset endte opp med å betale bakmennene for å dekryptere filene på bakgrunn av pasientenes sikkerhet.
Referanser
https://blog.malwarebytes.com/cybercrime/2018[...]

Ny øvingsarena for informasjonsikkerhet

NTNU på Gjøvik har sammen med forsvarsdepartementet i Estland og teknologiuniversitetet i Tallin fått 32 millioner av EØS for å utvikle en test- og øvingsarena for informasjonsikkerhet.
Referanser
https://www.digi.no/artikler/ntnu-far-32-mill[...]

Svakheter i GPON-rutere

Selskapet vpnMentor har utført en rekke sikkerhetstester mot ulike GPON-hjemmerutere og funnet en måte å unngå autentisering. Dette muliggjør en rekke ulike typer angrep.
Anbefaling
Vent på oppdatering
Referanser
https://threatpost.com/millions-of-home-fiber[...]