Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 31 October 2018

2018.10.31 - Nyhetsbrev

Emotet har fått mulighet for å eksfiltrere eposter. Politiforum skriver om oppstykket ansvar og mange aktører i cyberspace. Apple gir ut sikkerhetsoppdateringer for en rekke produkter.

Emotet har fått mulighet for å eksfiltrere eposter

Malware-familien Emotet har nå fått funksjonalitet for å eksfiltrere eposter fra infiserte maskiner. Dette vil gjøre systemet bedre egnet for cyberspionasje. I det siste har emotet blitt mest brukt til å levere ransomware.
Referanser
https://blog.kryptoslogic.com/malware/2018/10[...]

Politiforum skriver om oppstykket ansvar og mange aktører i cyberspace

Lista over aktører som skal gripe inn mot cyberkriminalitet begynner å bli lang, og siste skudd på stammen er et nytt nasjonalt cybersikkerhetssenter i Nasjonal sikkerhetsmyndighet. Det kan være vanskelig å forstå hvem som skal gjøre hva og hvor man skal henvende seg. Politiforum har en gjennomgang av hvordan situasjonen er i dag og framtidige planer.
Referanser
https://www.politiforum.no/artikler/en-oppskr[...]

Apple gir ut sikkerhetsoppdateringer

Apple har gitt ut sikkerhetsoppdateringer som retter opp i sårbarheter i flere produkter, deriblant Safari, iCloud for Windows, iTunes, watchOS, iOS, tvOS og macOS. Det anbefales at berørte systemer oppdateres snarest.
Anbefaling
Installer oppdateringer
Referanser
https://www.us-cert.gov/ncas/current-activity[...]
https://support.apple.com/en-us/HT209196
https://support.apple.com/en-us/HT209198
https://support.apple.com/en-us/HT209197
https://support.apple.com/en-us/HT209195
https://support.apple.com/en-us/HT209192
https://support.apple.com/en-us/HT209194
https://support.apple.com/en-us/HT209193

Monday, 29 October 2018

2018.10.29 - Nyhetsbrev

Kinesisk overvåking av amerikansk og kanadisk Internett-trafikk. Svakhet funnet i Systemd. Windows Defender Antivirus kan nå kjøres i sandbox-miljø for økt sikkerhet.

Windows Defender Antivirus kan nå kjøres i sandbox-miljø

Windows Defender Antivirus er den første antivirus-løsningen som har mulighet til å kjøres i et sandbox-miljø. Endringen gjør det vanskeligere å utnytte eventuelle svakheter i Windows defender ved at den kjører i et lukket miljø. Endringen er foreløpig i en testfase, men Windows 10-brukere kan prøve den ut ved å aktivere den manuelt.
Referanser
https://cloudblogs.microsoft.com/microsoftsec[...]
https://www.zdnet.com/article/windows-defende[...]

Kinesisk overvåking av amerikansk og kanadisk Internett-trafikk

Forskere har funnet ut at China Telecom har brukt BGP-spoofing til å route Internett-trafikk fra Canada og USA gjennom Kina. Ukryptert trafikk antas å ha blitt analysert og lest. Forskningen er publisert i en paper i Military Cyber Affairs og er et samarbeid mellom US Naval War College og Tel Aviv University.
Referanser
https://boingboing.net/2018/10/26/bgp-pop-mit[...]

Svakhet funnet i Systemd

En svakhet er funnet i Linux sitt prosesshåndteringverktøy Systemd. Svakheten lar en angriper kjøre vilkårlig kode på systemet ved å utnytte en spesielt utformet DHCPv6-pakke. En sikkerhetsoppdatering for svakheten er sluppet, og ventes snarlig til de ulike utgavene av Linux.
Anbefaling
Oppdater berørte systemer
Referanser
https://nvd.nist.gov/vuln/detail/CVE-2018-15688

Friday, 26 October 2018

2018.10.26 - Nyhetsbrev

Nylig oppdaget svakhet i X.org

Nylig oppdaget svakhet i X.org

The Register skriver om en nylig oppdaget svakhet i X.org, et mye brukt vindu systemet for Linux og BSD. Svakheten kan gjør det mulig for en bruker å få administrator rettigheter.
Referanser
https://www.theregister.co.uk/2018/10/25/x_or[...]

Thursday, 25 October 2018

2018.10.25 - Nyhetsbrev

Windows 0-dagssvakhet publisert på Twitter. Apple iOS oppdatering blokkerer GrabKeys. Svakhet i Cisco Webex produkter.

Windows 0-dagssvakhet publisert på Twitter

En sikkerhetsforsker har nylig publisert en 0-dagssvakhet til Windows på Twitter. Svakheten kan brukes på alle nyere Windows-versjoner, som Windows 10, -Server 2016 og -Server 2019 og vil kunne gi en bruker flere tilganger og rettigheter enn han skal. Microsoft undersøker saken.
Referanser
https://www.zdnet.com/article/microsoft-windo[...]

Apple iOS oppdatering blokkerer GrabKeys

Apple har i siste oppdatering av iOS blokkert muligheten for å utnytte passordbrekkingsverktøyet GrabKeys. Dette verktøyet ble brukte av amerikanske myndigheter for å få tilgang til iPhone-er i etteforskninger. Verktøyet kan ikke lengre brukes for å knekke passord, men kan forsatt brukes for å få tilgang til ukryptert metadata, slik som filstørrelser.
Referanser
https://www.theverge.com/2018/10/24/18019660/[...]

Svakhet i Cisco Webex produkter

Det har blitt funnet en svakhet i Cisco WebEx Meetings Desktop applikasjonen og Cisco Webex Productivity Tools for Windows. Svakheten gjelder versjoner tidligere enn 33.6.0 for Cisco Webex Meetings Desktop og versjoner fom. 32.6.0 til 33.0.5 for Cisco Webex Productivity Tools.

Utnyttelse av svakheten gjøres ved å sende spesial-lagde parameterer til oppdateringsdelen av applikasjonen. Dette gjør at en angriper kan eksekvere vilkårlig kode som systembruker på maskinen. Cisco har gitt ut oppdatering som retter svakheten.
Anbefaling
Cisco har gitt ut oppdatering som retter svakheten.
Referanser
https://tools.cisco.com/security/center/conte[...]

Wednesday, 24 October 2018

2018.10.24 - Nyhetsbrev

Magecart bruker PHP-svakheter til å stjele kredittkortinfo. FireEye med oppfølging av TRITON. Mozilla gir ut sikkerhetsoppdateringer.

Magecart bruker PHP-svakheter til å stjele kredittkortinfo

Grupperingen Magecart er kjent for å injisere kode i nettsider for betaling med kredittkort. Det viser seg nå at gruppen bruker svakheter i PHPs unserialize()-funksjon til å injisere koden. Mange nettbutikk-systemer er sårbare.
Referanser
https://gwillem.gitlab.io/2018/10/23/magecart[...]
https://www.infosecurity-magazine.com/news/ma[...]

Mozilla gir ut sikkerhetsoppdateringer

Mozilla har gitt ut sikkerhetsoppdateringer som fikser flere svakheter i Firefox og Firefox ESR. Flere av sårbarhetene er kategorisert som kritiske.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

FireEye med oppfølging av TRITON

FireEye har publisert mer opplysninger rundt TRITON, en rekke angrep mot kritisk infrastruktur. Flere indikatorer peker nå til et russisk statseid institutt.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Monday, 22 October 2018

2018.10.22 - Nyhetsbrev

Neste hovedversjon av Windows 10 vil ha bedre ytelse. Kritisk svakhet ved autentisering i Cisco-produkter. NATOs cyber-kommando skal være fullt operativ i 2023.

Neste hovedversjon av Windows 10 vil ha bedre ytelse

Dagens patcher i Windows 10 for Spectre-svakheten fører til et ytelsestap på 5-30 prosent, avhengig av oppgave. Google har nå laget nye patcher som neten ikke har noe ytelsestap. Disse patchene vil bli inkludert i neste hovedversjon av Windows med kodenavnet 19H1.
Referanser
https://www.zdnet.com/article/windows-10-will[...]

NATOs cyber-kommando skal være fullt operativ i 2023

Etter planene så skal NATOs cyber-kommando være fullt operative med mulighet for selv å utøfre cyber-angrep i 2023. Foreløpig er det satt opp et operasjonssenter i Belgia. Flere av medlemslandene har bidratt med personell og ressurser.
Referanser
https://www.reuters.com/article/us-nato-cyber[...]

Kritisk svakhet ved autentisering i Cisco produkter

En svakhet i libssh gjør det mulig for en angriper å forbigå autentisering hos de rammede produktene. Cisco er foreløpig usikker på hvilke produkter som er rammet og jobber nå med en gjennomgang. Foreløpig har de publisert en liste over produkter som kan være rammet.

Ved velykket utnyttelse av svakheten vil angriper kunne oppnå uautorisert tilgang til systemet. Ikke alle produkter som benytter seg av libssh trenger å være sårbare, grunnet i forskjellige måter å bruke biblioteket på.
Anbefaling
Vent på patch.
Referanser
https://tools.cisco.com/security/center/conte[...]

Friday, 19 October 2018

2018.10.19 - Nyhetsbrev

Drupal gir ut sikkerhetsoppdateringer.

Drupal gir ut sikkerhetsoppdateringer

Drupal har gitt ut sikkerhetsoppdateringer som fikser flere svakheter i Drupal 7.x- og 8.x-versjoner. Det anbefales å oppdatere berørte systemer snarest.
Referanser
https://www.drupal.org/sa-core-2018-006

Thursday, 18 October 2018

2018.10.18 - Nyhetsbrev

Cisco med sikkerhetsoppdateringer. GreyEnergy angriper kritisk infrastruktur i Ukraina og Polen. Islandsk phishingangrep med bruk at det mange trodde var politiets domene. Google Chrome versjon 70 retter svakheter.

Cisco med sikkerhetsoppdatering

Cisco har sluppet oppdateringer for en rekke produkter. Totalt er det 15 oppdateringer, hvor 7 er klassifisert med høy viktighet.
Referanser
https://tools.cisco.com/security/center/publi[...]

GreyEnergy angriper kritisk infrastruktur i Ukraina og Polen

ESET skriver om trusselaktøren GreyEnergy. De mener at dette er en etterfølger av grupperingen BlackEnergy, med oppdaterte verktøy og metodikk. BlackEnergy stod bak det første strømbruddet forårsaket av et cyberangrep. BlackEnergy bruker modulbasert malware for å unngå å bli oppdaget, ved bare å bruke de modulene som er nødvendige i hvert angrep.
Referanser
https://www.hackread.com/greyenergy-malware-h[...]
https://www.welivesecurity.com/2018/10/17/gre[...]

Islandsk phishingangrep med bruk at det mange trodde var politiets domene

Det islandske politiet kalles Lögreglan. Ved hjelp av domenet logregian.is ble mange på Island lurt av en phishingkampanje. Mange besøkte det de trodde var politiets nettside og ble lurt til å laste ned skadevare, kamuflert som dokumenter. Det kan virke som om angriperne hadde tilgang til en liste over alle innbyggere i Island med tilhørende personnumre.
Referanser
https://www.digi.no/artikler/politiet-misbruk[...]

Google Chrome versjon 70 retter svakheter

Google har sluppet versjon 70 av Chrome for desktop i stabil versjon. Svakhetene skal blant annet kunne brukes til å kjøre tilfeldig kode via en sårbar nettleser. Chrome versjon 70 støtter også den endelige utgaven av TLS v1.3.
Anbefaling
Installer siste versjon
Referanser
https://www.cert.dk/da/news/2018-10-18/chrome
https://chromereleases.googleblog.com/2018/10[...]

Wednesday, 17 October 2018

2018.10.17 - Nyhetsbrev

Oracle tetter 301 sikkerhetshull i kvartalsvis sikkerhetsoppdatering. Vmware fikser alvorlig svakhet i hasteoppdatering. Gammel svakhet i SSH-bibliotek kan gi root-tilgang uten autentisering, men OpenSSH skal ikke være sårbar.

Oracle tetter 301 sikkerhetshull i kvartalsvis sikkerhetsoppdatering.

Oracle gir ut sin kvartalsvise sikkerhetsoppdatering. Denne gangen tettes hele 301 sikkerhetshull i en lang rekke produkter.
Referanser
https://www.oracle.com/technetwork/security-a[...]

Vmware fikser alvorlig svakhet i hasteoppdatering.

Vmware gir ut en hasteoppdatering som fjerner en alvorlig svakhet i Vmware ESXi, Fusion og Workstation. Svakheten skal gjøre det mulig for et vmware guest OS å få kjøre kode på host OS'et.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Gammel svakhet i ssh-bibliotek gir root-tilgang uten autentisering.

En fire år gammel svakhet i ssh biblioteket libssh kan utnyttes til å logge inn på en sårbar ssh-server uten autentisering. Det er imidlertid uvisst hvor mange ssh-implementasjoner som faktisk benytter det sårbart libssh-bibliotek, og dermed er påvirket av denne svakheten. Den populære SSH-klienten OpenSSH skal ikke være sårbar.
Referanser
https://arstechnica.com/information-technolog[...]

Tuesday, 16 October 2018

2018.10.16 - Nyhetsbrev

Falske oppdateringer installerer kryptominere. Slutten på sikkerhetsoppdateringer for PHP versjon 5.

Falske oppdateringer installerer kryptominere

Sikkerhetsforskere har oppdaget en ny type Flash-oppdateringer som, i tillegg til å installere kryptominere på maskinen, også faktisk oppdaterer Flash til siste versjon, noe som gjør det mye vanskeligere å oppdage.
Referanser
https://www.digi.no/artikler/falske-oppdateri[...]

Slutten på sikkerhetsoppdateringer for PHP versjon 5

Digi skriver om slutten på sikkerhetsoppdateringer for PHP versjon 5 og vilke problemer dette bringer med seg siden store deler av Internett fremdeles bruker denne versjonen.
Referanser
https://www.digi.no/artikler/store-deler-av-i[...]

Monday, 15 October 2018

2018.10.15 - Nyhetsbrev

Nederlandsk minister mener landet er i cyberkrig med Russland. 14 millioner brukere fikk persondata lekket som følge av Facebook hackingen.

Nederlandsk minister mener landet er i cyberkrig med Russland

Nederlands forsvarsminister mener Nederland og Russland er i cyberkrig. Myndighetene skal nylig å ha stanset et dataangrep mot organisasjonen OPCW i Haag.
Referanser
https://www.aftenposten.no/verden/i/BJ93L7/Ne[...]

14 millioner brukere fikk persondata lekket som følge av Facebook hackingen

Som følge av en sikkerhetsfeil i Facebook har 30 millioner brukere fått kontoene sine eksponert. Dette skrev vi om i begynnelsen av måneden. Nå viser det seg at for 14 millioner av disse brukerne er saken mer alvorlig enn først antatt. For disse brukerne er både navn og kontaktinformasjon, samt flere andre personlige detaljer frastjålet.
Referanser
https://www.digi.no/artikler/facebook-hacking[...]

Friday, 12 October 2018

2018.10.12 - Nyhetsbrev

Eksperter mener fysisk modifisering av hovedkort er usannsynlig. Fritt tilgjengelige verktøy observert i cyber-hendelser verden over.

Eksperter mener fysisk modifisering av hovedkort er usannsynlig

Ars Technica skriver om vanskelighetsgraden av et angrep av typen som det Bloomberg nylig har rapportert og sammenligner det med sannsynligheten for å se en enhjørning hoppe over en regnbue. Det finnes betraktelig enklere alternativer enn å manipulere hardware direkte, som for eksempel å manipulere BIOS på hovedkortet.
Referanser
https://arstechnica.com/information-technolog[...]

Fritt tilgjengelige verktøy observert i cyber-hendelser verden over

Nettverkssikkerhetsmyndighetene i Australia, Canada, New Zealand, Storbritannia og USA har sluppet en rapport over offentlig tilgjengelige verktøy som ofte observeres i sikkerhetshendelser verden over.

Verktøyene en skal se opp for er: JBiFrost for fjernkontroll (RAT), bakdøren China Chopper, passordstjeleren Mimikatz, PowerShell Empire for sideveis forflyttning i nettverket og verktøyet HUC Packet Transmitter for kommunikasjon mot kommando og kontroll-server.
Referanser
https://www.us-cert.gov/ncas/alerts/AA18-284A

Thursday, 11 October 2018

2018.10.11 - Nyhetsbrev

Juniper med sikkerhetsoppdateringer for en rekke produkter. Nettstedet STH har snakket med kilden bak Bloombergs siste Supermicro-sak.

Nettstedet STH har snakket med kilden bak Bloombergs siste Supermicro-sak

Nettstedet STH har et intervju med Yossi Appleboum om hvordan Bloomberg bruker hans forskning i saken om Supermicro-hardware publisert i går.

Appleboum poengterer i intervjuet at saken han omtalte gjelder hele industrien og mange produsenter, ikke spesielt Supermicro. Dette gjelder saken om manipulerte Ethernet-kontakter, ikke hovedkort med ekstra mikrobrikker.
Referanser
https://www.servethehome.com/yossi-appleboum-[...]

Juniper med sikkerhetsoppdateringer for en rekke produkter

Juniper har gitt ut 22 artikler om diverse feil og oppdateringer for sine produkter. Dette er en omfattende liste og det anbefales å ta en ekstra gjennomgang dersom en har Juniper-produkter.
Anbefaling
Installer patcher.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

Wednesday, 10 October 2018

2018.10.10 - Nyhetsbrev

Bloomberg med ny sak om hardware-hacking. Adobe patcher og Microsoft patcher svakheter. Én av Microsoft-svakhetene blir allerede utnyttet i målrettede angrep.

Bloomberg med ny sak om hardware-hacking

Bloomberg har publisert en ny historie om kinesisk manipulasjon av hardware. Det er et stort amerikansk telekom-selskap som har blitt rammet av manipulert hardware, som også denne kommer fra SuperMicro. Det er ethernet-kontakter i servere som har blitt manipulert. De fire største teleoperatørene i USA har tilbakevist påstandene.

Vi tar med en link til en oppsummering av saken så langt fra Motherboard. Sikkerhetseksperten Robert M. Lee har også gått igjennom tidligere saker fra de samme journalistene i en Twitter-tråd.
Referanser
https://www.bloomberg.com/news/articles/2018-[...]
https://motherboard.vice.com/en_us/article/qv[...]
https://twitter.com/RobertMLee/status/1049617[...]

Adobe patcher svakheter

Adobe har publisert sikkerhetsoppdateringer til en rekke av deres produkter, deriblant Experience Manager, Framemaker og Technical Communications Suite. Adobe anbefaler at brukere oppdaterer deres installasjoner fortløpende.
Referanser
https://blogs.adobe.com/psirt/?p=1633

Microsoft ute med månedlige sikkerhetsoppdateringer

Microsoft har gitt ut sine månedlige sikkerhetsoppdateringer som denne gang består av totalt 52 bulletiner, hvor 12 er vurdert som kritiske. De 12 kritiske sårbarhetene påvirker blant annet Microsoft Edge, Internet
Explorer og Windows Hyper-V. Svakheten med nummeret CVE-2018-8453 blir allerede utnyttet i målrettede angrep til å oppnå utvidede rettigheter på systemer.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://threatpost.com/microsoft-patches-zero[...]

Tuesday, 9 October 2018

2018.10.09 - Nyhetsbrev

Google avslørte ikke sikkerhetsbrudd fordi de fryktet regulering ifølge rapport. Apple gir ut sikkerhetsoppdatering for iOS og iCloud. Utstyr for inspeksjon av kryptert trafikk brekker TLS-kryptering. Apple benekter Bloombergs påstander i brev til den Amerikanske kongressen.

Google avslørte ikke sikkerhetsbrudd fordi de fryktet regulering ifølge rapport

Google fant en feil som ga tredjepartsutviklere tilgang til private profildata fra brukere av sitt sosiale nettverk Google+. Som svar på dette vil Google stenge den åpne delen av tjenesten i løpet av de neste månedene.

Wall Street Journal rapporterer at Google ikke avslørte feilen, som ble oppdaget i mars, for å unngå omdømmeskade og eventuell regulering. Opp mot 500.000 brukerkontoer kan være eksponert, og kan ha ført til at tredjepartsutviklere kan ha fått tilgang til data som navn, epost-adresse, fødselsdato og profilbilder. Det skal ikke være snakk om personlig kommunikasjon eller telefonnummer.
Referanser
https://www.cnbc.com/2018/10/08/google-report[...]

Apple gir ut sikkerhetsoppdatering for iOS og iCloud

Apple fikser en rekke svakheter i iOS 12 og iCloud i deres nye oppdatering. Svakheter i QuickLook og Voiceover funksjonaliteten i iOS kunne brukes til å forbigå enhetens låste skjerm og få tilgang til kontakter, bilder, e-post og telefonnummer.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Utstyr for inspeksjon av kryptert trafikk brekker TLS-kryptering

En akademisk rapport publisert forrige måned viser at enheter ment for å inspisere innholdet i TLS-kryptert trafikk mislykkes i å opprettholde standarden for krypteringen, og dermed senker sikkerhetsnivået for kommunikasjonen. Rapporten tar for seg 17 versjoner av 13 ulike verktøy brukt for inspeksjon av kryptert trafikk. Verktøyene består av både hardware enheter, og sofistikert software. Studiet som er utført skal ha avdekket flere feil i nesten alle verktøyene.
Referanser
https://www.zdnet.com/article/its-2018-and-ne[...]

Apple benekter Bloombergs påstander i brev til den Amerikanske kongressen

Forrige torsdag publiserte Bloomberg en artikkel hvor de påsto at Apple, Amazon og Supermicro var utsatt for manipulasjon av deres hardware produsert i Kina. Apple, Amazon og Supermicro benekter påstanden, og Apple har nå skrevet et brev til den amerikanske kongressen hvor de sterkt benekter ryktene.
Referanser
https://arstechnica.com/tech-policy/2018/10/a[...]

Monday, 8 October 2018

2018.10.08 - Nyhetsbrev

Ny PoC gjør utnyttelse av sikkerhetshull i Mikrotik lettere. VMware ute med sikkerhetsoppdateringer. Git med sikkerhetsoppdatering.

VMware ute med sikkerhetsoppdateringer

VMware gir ut sikkerhetsoppdatering som tar for seg svakheter i deres AirWatch Console.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Ny PoC gjør utnyttelse av sikkerhetshull i Mikrotik lettere

En ny teknikk for utnyttelse av CVE-2018-14847 tillater en angriper å utføre ekstern kodeeksekvering. Svakheten er patchet i April, men det diskuteres om alvorligheten skal justeres fra medium til alvorlig. I en ny PoC kan en angriper unngå brannmuren og få et root-shell på enheten.
Referanser
https://threatpost.com/poc-attack-escalates-m[...]

Git med sikkerhetsoppdatering

Git prosjektet har sluppet en oppdatering som tetter CVE-2018-17456. Sikkerhetshullet lot en angriper kjører kode på et lokalt system når en klonet et eksternt repository.
Referanser
https://securityaffairs.co/wordpress/76929/ha[...]

Friday, 5 October 2018

2018.10.05 - Nyhetsbrev

Mozilla og Apache gir ut sikkerhetsoppdateringer. Russisk cyber-angrep kampanje avduket. Apple og Amazon nekter for å ha brukt hovedkort med spionbrikke.

Apache gir ut sikkerhetsoppdateringer

Apache har gitt ut sikkerhetsoppdateringer som fikser en sårbarhet i Apache Tomcat versjon 9.0.0.M1 til 9.0.11, 8.5.0 til 8.5.33, and 7.0.23 til 7.0.90. Berørte systemer bør oppdateres snarest.
Referanser
http://mail-archives.us.apache.org/mod_mbox/w[...]

Mozilla gir ut sikkerhetsoppdatering

Mozilla har gitt ut en sikkerhetsoppdatering som fikser sårbarheter i Thunderbird. To av sårbarhetene er vurdert som kritiske.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Russisk cyber-angrep kampanje avduket

NCSC (National Cyber Security Center) i Storbritannia har avduket en rekke cyber-angrep utført av russisk etterretning. Angrepene har blant annet vært rettet mot politiske institusjoner, forretinger, og media verden over.
Referanser
https://www.ncsc.gov.uk/news/reckless-campaig[...]

Apple og Amazon nekter for å ha brukt hovedkort med spionbrikke

Igårsdagens nyhetsbrev ble det skrevet om hvordan Bloomberg mente at Kina hadde kompromittert flere store amerikanske selskaper via små spesiallagde brikker montert på Supermicro sine hovedkort. SuperMicro, Apple, og Amazon nekter for at det er noe sannhet i det som er rapportert av Bloomberg. Amazon nevner også at det ikke finnes noe bevis som bekrefter dette.
Referanser
https://arstechnica.com/gadgets/2018/10/bloom[...]
https://www.nrk.no/urix/bloomberg-i-hacking-k[...]
https://www.apple.com/newsroom/2018/10/what-b[...]
https://aws.amazon.com/blogs/security/setting[...]

Thursday, 4 October 2018

2018.10.04 - Nyhetsbrev

Datalekasje av 1.4 milliarder brukernavn og passord får oppmerksomhet igjen. Bloomberg: Kina kompromitterte Amazon, Apple og 30 andre store amerikanske selskaper. US-Cert med info om ATP som angriper tjenesteleverandører. Cisco har sluppet patcher. Google patcher Android.

Datalekasje av 1.4 milliarder brukernavn og passord får oppmerksomhet igjen

Aftenposten hadde i går en sak om en datalekkasje av 1,4 milliarder brukernavn og passord. Dataene ble egentlig lagt ut offentlig i desember 2017, men Aftenposten har nå funnet en nettside som gjør det enkelt å søke i dataene og har laget en ny sak. Dagbladet har skrevet en grei oppsummering og vi i TSOC omtalte passordlekkasjen i Digi i fjor.

Vi anbefaler tjenesten haveibeenpwned.com for å bli varslet dersom noen hacker en tjeneste og ditt brukernavn og passord blir lekket. Her kan du også sjekke om ditt brukernavn er i de store listene med passord på avveie.

Husk å bruke unike passord per tjeneste og bruk to-faktor-autentisering på sentrale tjenester som epost og sosiale medier.
Referanser
https://www.dagbladet.no/nyheter/14-milliarde[...]
https://haveibeenpwned.com/
https://medium.com/4iqdelvedeep/1-4-billion-c[...]
https://www.digi.no/artikler/450-000-norske-e[...]
https://norsis.no/1-4-milliarder-passord-pa-a[...]

Cisco med en større sikkerhetsoppdatering

Cisco slipper en større sikkerhetsoppdatering som fikser tre kritiske, syv viktige og en rekker medium svakheter. Dette gjelder flere produkter.
Referanser
https://tools.cisco.com/security/center/publi[...]

Bloomberg om hvordan Kina kompromitterte Amazon, Apple og 30 andre store amerikanske selskaper

Kinesere har ved hjelp av små spesiallagede brikker montert på Supermicro-hovedkort klart å kompromittere store amerikanske selskaper. Disse brikkene tok kontroll over nettverkskort og gjorde det mulig å koble seg til serverne.

Denne typen angrep er et eksempel på såkalte "supply chain attacks", der en kompromitterer hardware og software før de kommer inn i bedriften en vil angripe. Angrepene er svært vanskelig å forsvare seg mot og øker i omfang.
Referanser
https://www.bloomberg.com/news/features/2018-[...]
https://www.bloomberg.com/news/articles/2018-[...]

US-Cert med info om ATP som angriper tjenesteleverandører

The National Cybersecurity and Communications Integration Center (NCCIC) har fulgt en APT som angriper større tjenesteleverandører. Dette tekniske varslet inneholder retningslinjer for å oppdage denne aktiviteten samt info om aktørens taktikk, teknikker og prosedyrer.
Referanser
https://www.us-cert.gov/ncas/alerts/TA18-276B

Google patcher kritiske svakheter i Android OS

Google fikser 26 svakheter i sin oktober-oppdatering, der seks er regnet som kritiske. Fire av disse svakhetene gjelder media-rammeverket, som det normalt blir funnet kritiske svakheter i hver måned. Vi anbefaler oppdatering så fort det lar seg gjøre.
Anbefaling
Installer patch.
Referanser
https://source.android.com/security/bulletin/[...]
https://threatpost.com/google-patches-critica[...]

Wednesday, 3 October 2018

2018.10.03 - Nyhetsbrev

Google tar grep for å motvirke ondsinnede Chrome-utvidelser. Mozilla fikser kritiske svakheter i Firefox 62.0.3 og Firefox ESR 60.2.2. US-CERT med informasjon om Hidden Cobra sin FASTCash-kamapanje.

Google tar grep for å motvirke ondsinnede Chrome-utvidelser

Google opplyser at de i kommende oppdateringer til Chrome vil innføre flere tiltak mot ondsinnede Chrome-utvidelser. Ett av tiltakene er at brukere vil få muligheten til å kontrollere hvilke domener en extension skal ha tilgang til. Det blir også obligatorisk med to-faktor-autentisering for utviklere av utvidelser.
Referanser
https://arstechnica.com/gadgets/2018/10/googl[...]

US-CERT med informasjon om Hidden Cobra sin FASTCash-kamapanje

Department of Homeland Security, Department of Treasury og FBI har gått sammen om en analyse av Nord Koreas FASTCash-kampanje. Siden 2016 har Nord Korea, omtalt som Hidden Cobra, angrepet banker i Afrika og Asia. Ved flere tilfeller har disse angrepene ende opp i samtidige uttak fra minibanker i over 23 forskjellige land samtidig.
Referanser
https://www.us-cert.gov/ncas/alerts/TA18-275A

Mozilla fikser kritiske svakheter i Firefox 62.0.3 og Firefox ESR 60.2.2

Mozilla har fikset CVE-2018-12386 og 12387 i Firefox versjon 62.0.3 og ESR 60.2.2. Begge svakhetene ligger i tolkningen av JavaScript.
Anbefaling
Oppdater til siste versjon.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Tuesday, 2 October 2018

2018.10.02 - Nyhetsbrev

Brian Krebs skriver om stadig mer utspekulert telefonsvindel. Enda en phishing-kampanje rettet mot utgivere av Chrome-utvidelser. Adobe gir ut sikkerhetsoppdatering for Acrobat og Acrobat Reader.

Brian Krebs skriver om stadig mer utspekulert telefonsvindel

Bloggeren Brian Krebs har skrevet om telefonsvindel i USA som blir stadig mer utspekulert. Svindlerne ringer med nummer som faktisk tilhører bankene og sitter på mye personlig informasjon om ofrene før svindelen starter.
Referanser
https://krebsonsecurity.com/2018/10/voice-phi[...]

Enda en phishing-kampanje rettet mot utgivere av Chrome-utvidelser

ZDNet melder om enda en phishing-kampanje som er målrettet mot utviklere av Chrome-utvidelser. Målet for angriperne er å få kontroll over utvidelsene for å kompromittere brukerne av dem.
Referanser
https://www.zdnet.com/article/phishing-campai[...]

Adobe gir ut sikkerhetsoppdatering for Acrobat og Acrobat Reader

Sikkerhetsoppdatering fra Adobe fikser mange kritiske svakheter i Adobe Acrobat og Reader for Windows og MacOS.
Referanser
https://helpx.adobe.com/security/products/acr[...]

Monday, 1 October 2018

2018.10.01 - Nyhetsbrev

Hackere utnyttet feil i Facebooks "Se som"-funksjon.
Kommunikasjonsappen Telegram lekker brukerens IP-adresse.

Hackere utnyttet feil i Facebooks "Se som"-funksjon

Hackere har utnyttet flere svakheter i plattformen til Facebook, som lot de få tilgang til tilgangs-tokener til nesten 50 millioner Facebook kontoer. Tilgangs-tokener er digitale nøkler (cookies i nettleseren) som lar brukere være innlogget på Facebook, og gjør at man slipper å skrive inn passordet hver gang. Hackerne klarte å få tak i dise og kunne med dette ha tatt over kontoen til brukerne. Ingeniører hos Facebook oppdaget på tirsdag at svakhetene ble utnyttet, og lå i "Se som" funksjonen, som lar en bruker se hvordan egen profil ser ut, sett fra en annen bruker.

Facebook har tilbakestilt tilgangs-tokenene til de 50 millioner brukerne, samt 40 millioner andre brukere som et forebyggende tiltak. Eierne av kontoene har fått informasjon om sikkerhetsbrisen og må logge på Facebook på nytt igjen. Det er uvisst hva svakhetene har blitt utnyttet til og hvor lenge de har vært kjent.
Referanser
https://newsroom.fb.com/news/2018/09/security[...]
https://threatpost.com/facebook-data-breach-i[...]

Kommunikasjonsappen Telegram lekker brukerens IP-adresse

Sikkerhetsforsker Dhiraj Mishra har funnet en feil i kommunikasjonsappen Telegram. Feilen ligger i hvordan appen håndterer oppringninger til andre brukere over P2P. En bruker lekker sin IP når et anrop utføres og P2P er aktivert. Om brukeren aktivt velger bort P2P, vil alle samtaler rutes gjennom Telegram sine servere.
Referanser
https://securityaffairs.co/wordpress/76688/ha[...]