Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 30 November 2018

2018.11.30 - Nyhetsbrev

Kritisk svakhet i konferanseapplikasjonen Zoom. India arresterer personer bak Microsoft-svindel.

Kritisk svakhet i konferanseapplikasjonen Zoom

Sikkerhetsforskere hos Tenable har gitt ut en Proof-of-Concept for utnyttelse av en svakhet i Zoom, en konferanseapplikasjon brukt av 750 000 selskaper. Denne svakheten gjør det mulig for en angriper å ta over et pågående Zoom møte. Dette gjelder versjon 4.1.33259.095 på Windows og macOS, samt 2.4.129780.0915 på Ubuntu.

Zoom har oppdatert serverene sine for å blokkere noe av angrepsvektoren. De har også gitt ut en oppdatering for å fikse svakheten for Windows og macOS. Oppdateringen fikset ikke svakheten for Linux og Zoom forsetter å arbeide for å fikse dette.
Referanser
https://threatpost.com/critical-zoom-flaw-let[...]

India arresterer personer bak Microsoft-svindel

Etter at Microsoft har klaget til myndighetene i India, har politiet arrestert 63 personer som jobber i 26 forskjellige call centers. Dette har skjedd i løpet av de siste to månedene.
Referanser
https://www.zdnet.com/article/after-microsoft[...]

Thursday, 29 November 2018

2018.11.29 - Nyhetsbrev

Kaspersky: Story of the year, Miners. LinkedIn med GDPR-brudd. Dell varsler om datainnbrudd 9. november. AutoCad-malware stjeler info om broer, fabrikker o.l. Sennheiser med sertifikatbrøler. Cisco med diverse sikkerhetsoppdateringer.

Kaspersky: Story of the year, Miners

Kaspersky har en interessant artikkel om en av 2018s store plager. Infisering av klienter for mining av krypto-valuta. Infiserte klienter bruker 70-80% av cpu og gpu sin beregningskraft til å utvinne kryptovalutta. De har tatt med trender og hvordan maskiner blir infisert.
Referanser
https://securelist.com/kaspersky-security-bul[...]

LinkedIn med GDPR-brudd

I følge det Irske Datatilsynet skal LinkedIn ha brukt 18 millioner epostaddresser tilhørende ikke-LinkedIn kunder til en målrettet reklamekamapanje på Facebook. Dette skal være brudd på GDPR.
Referanser
https://www.digi.no/artikler/linkedin-med-gdp[...]

Dell varsler om datainnbrudd 9. november

9. november ble Dell utsatt for uautorisert aktivitet i sitt nettverk. På bakgrunn av dette må alle brukere av Dell.com skifte passord. Det har også blitt sendt ut varsel til brukerne.
Referanser
https://threatpost.com/dell-warns-of-attempte[...]

AutoCad-malware stjeler info om broer, fabrikker o.l.

Kriminelle utnytter AutoCad sitt LISP-programmerings verktøy for å stjele AutoCad-prosjekter. Ved å åpne prosjekter med LISP kode, kan prosjekinformasjon bli stjålet. Dette har pågått siden 2005 og siste kampanje observert har pågått siden 2014.
Referanser
https://arstechnica.com/information-technolog[...]

Sennheiser med sertifikatbrøler

Grunnet feil med installasjon av sertifikater ved bruk av Sennheise sin prrogramvare HeadSetup eller HeadSetup Pro, kan en angriper benytte dette til å utstede lovlige og ekte Sennheiser sertifikater. Dette kan åpne for man-in-the-midle-angrep, altså avlytting av trafikken. Både Dell og Lenovo har gjort lignende brølere tidligere.
Anbefaling
Må ryddes opp i manuelt. Ny versjon av softwaren finnes.
Referanser
https://www.digi.no/artikler/sennheiser-med-s[...]

Cisco Prime License Manager SQL-injection svakhet

En svakhet i rammeverket Cisco Prime License Manager kan gi uautorisert tilgang til å kjøre ondsinnet SQL uten autentisering. Sikkerhetsoppdatering er tilgjengelig.
Anbefaling
Oppdater hvis mulig.
Referanser
https://tools.cisco.com/security/center/conte[...]

Oppdateringer for Struts Common FileUpload og WebExt Injection svakheter

Cisco har gitt ut oppdateringer for to tidligere varsler. Det ene er opprinnelig sluppet 7. november og omhandler Apache Struts Commons FileUpload Library Remote Code Execution Vulnerability. Her har Cisco lagt inn mer opplysninger om sårbare produkter og patcher.

Cisco har også sluppet en oppdatering for Cisco Webex Meetings Desktop App for Windows, som først ble patchet i oktober. Cisco har nå oppdaget at den første patchen ikke fikset alle angrepsvektorer.
Anbefaling
Sjekk oversikt om det finnes løsning for aktuelle produkter.
Referanser
https://tools.cisco.com/security/center/conte[...]

Wednesday, 28 November 2018

2018.11.28 - Nyhetsbrev

FBI tar ned klikk-svindel botnettene Kovter og Boaxxe. Tjenestenekt-svakhet i Samba.

FBI tar ned klikk-svindel botnettene Kovter og Boaxxe

FBI har samarbeidet med Google og White Ops om å ta ned klikk-svindel botnettene Kovter og Boaxxe. Denne typen botnet gjør det mulig for bakmennene å tjene millioner på automatisert klikking på annonser, som simulerer reelle brukere. FBI har navngitt og etterlyst flere av bakmennene. FBI har også tatt beslag i 31 domener og 89 servere. Denne operasjonen var avansert og det blant annet brukt BGP-hijacking for å skjule aktiviteten. Botnettene har nå blitt sinkholet.
Referanser
https://www.justice.gov/usao-edny/pr/two-inte[...]
https://services.google.com/fh/files/blogs/3v[...]

Tjenestenekt-svakhet i Samba

Samba har sluppet en oppdatering som fikser en tjenestenekt-svakhet i Samba. Svakheten utnyttes gjennom at en upriviligert bruker kan legge til et uendelig stort antall CAME-oppføringer. Versjon 4.7.12, 4.8.7 og 4.9.3 utbedrer svakheten.
Anbefaling
Oppgrader til versjon 4.7.12, 4.8. eller 4.9.3
Referanser
https://www.samba.org/samba/security/CVE-2018[...]

Tuesday, 27 November 2018

2018.11.27 - Nyhetsbrev

Saudia Arabia bruker iPhone-malware mot regimekritikere. Forbrukerrådet mener Google manipulerer brukerne til kontinuerlig overvåking. Manipulert Node.js-modul brukt til å stjele Bitcoins.

Saudia Arabia bruker iPhone-malware mot regimekritikere

Forbes har en artikkel om at mynidhetene i Saudia Arabia i lengre tid har brukt spionprogramvare mot kritikere av regimet. Malwaren er kalt Pegasus og retter seg mot iPhones. Det er Israel-baserte NSO Group som står bak programvaren.
Referanser
https://www.forbes.com/sites/thomasbrewster/2[...]

Forbrukerrådet mener Google manipulerer brukerne til kontinuerlig overvåking

Android-brukere blir manipulert til kontinuerlig sporing gjennom utspekulert design, misvisende informasjon og gjentakende masing, hevder Forbrukerrådet, som tirsdag kom med en rapport om saken sammen med tilsvarende organisasjoner i 6 andre land. Det er nå åpnet en GDPR-sak mot Google.
Referanser
https://www.digi.no/artikler/forbrukerradet-m[...]
https://www.theverge.com/2018/11/27/18114111/[...]

Manipulert Node.js-modul brukt til å stjele Bitcoins

Node.js-biblioteket event-stream har blitt manipulert til å kunne stjele Bitcoins. Biblioteket brukes av millioner av webapplikasjoner.

Den originale utvikleren av biblioteket gitt lei av å vedlikeholde det, og ga rettighetene til å vedlikeholde det videre til en tilfeldig Internet-bruker.
Referanser
https://www.ccn.com/breaking-numerous-bitcoin[...]

Monday, 26 November 2018

2018.11.26 - Nyhetsbrev

Tysk selskap får GDPR-bot etter hackerangrep. Amazon AWS med ny sikkerhetsfunksjonalitet for S3 Buckets. Ny skadevare rettet mot Linux spres over SSH.

Tysk selskap får GDPR-bot etter hackerangrep

Den tyske meldingstjenesten knuddels.de har selv meldt seg etter at de ble utsatt for et hackerangrep der nærmere to millioner brukernavn og passord på kom avveie. De har fått en GDPR-bot på 20 000 euro, noe som er den første offisielle GDPR-boten gitt i Tyskland.
Referanser
https://www.digi.no/artikler/varslet-selv-om-[...]

Amazon AWS med ny sikkerhetsfunksjonalitet for S3 Buckets

Amazon AWS lanserer en ny sikkerhetsfunksjon som skal hindre lekkasjer fra S3 buckets. Administratorer har nå fire nye valg som overskriver eventuelle selvlagde ACL regler ved opprettelse av en ny bucket. Funksjonaliteten er et resultat av flere datalekkasjer etter feilkonfigurasjon. Både FedEx,Accenture og Dow Jones er blant selskapene som har lekket data.
Referanser
https://www.zdnet.com/article/aws-rolls-out-n[...]

Ny skadevare rettet mot Linux spres over SSH

Det russiske sikkerhetsfirmaet Dr.Web rapporterer om en ny skadevare rettet mot Linux. Skadevaren med det generiske navnet Linux.BtcMine.174 er et shell script som misbruker CVE-2016-5195 og CVE-2013-2094 for å oppnå root tilgang. Trojaneren setter seg så opp som en daemon, og starter utvinningen av kryptovalutaen Monero. I tillegg til kryptoutvinning settes det opp en bakdør. Skadevaren leter også etter alternative maskiner over SSH for å spre seg videre.
Referanser
https://www.zdnet.com/article/new-linux-crypt[...]

Friday, 23 November 2018

2018.11.23 - Nyhetsbrev

VMware fikser kritisk svakhet i Workstation og Fusion

VMware fikser kritisk svakhet i Workstation og Fusion

VMware har utgitt flere fikser som retter en rekke sårbarheter, hvor den mest kritiske kan føre til at en bruker i et gjeste-OS kan få kjørt kode på verten. Dette gjelder produktene VMware Workstation og Fusion.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Thursday, 22 November 2018

2018.11.22 - Nyhetsbrev

Forskere viser at ECC-RAM ikke er tilstrekkelig beskyttelse mot Rowhammer-angrep. Linux-fiks for Spectre v2 gir opp til 50% ytelsesreduksjon.

Forskere viser at ECC-RAM ikke er tilstrekkelig beskyttelse mot Rowhammer-angrep

RAM med feilkorrigeringskode (ECC) har lenge vært ansett som en absolutt beskyttelse mot Rowhammer-angrep. Forskere har nå vist at ECC RAM allikevel ikke er en tilstrekkelig beskyttelse for Rowhammer angrep ved bruk av DDR3-minne.
Referanser
https://arstechnica.com/information-technolog[...]

Linux fiks for Spectre v2 gir opp til 50% ytelsesreduksjon

I den nyeste versjonen av Linux-kjernen (v. 4.20) inkluderer sikkerhetsløsninger som skal kunne minske muligheten for å utnytte Spectre v2. Den nye løsningen har blitt målt til å gi en ytelsesreduksjon på opp mot 50% på enkelte typer oppgaver, noe som gjør at selv Linus Torvalds foreslår å deaktivere løsningen. Mange brukere har allerede deaktivert Hyper-Threading, noe som uansett fjerner sikkerhetssvakheten.
Referanser
https://www.digi.no/artikler/sikkerhet-eller-[...]

Wednesday, 21 November 2018

2018.11.21 - Nyhetsbrev

Adobe og VMware gir ut sikkerhetsoppdateringer for Flash Player og vSphere Data protection. Skadelige Apper på Google Play med 560.000 nedlastinger.

Adobe gir ut sikkerhetsoppdateringer for Flash Player

Adobe har gitt ut sikkerhetsoppdateringer for Adobe Flash Player for Windows, macOS, Linux og Chrome OS. Sikkerhetsoppdateringene retter opp i en kritisk feil i versjon 31.0.0.148, samt tidligere versjoner. Det er ikke meldt at svakheten så meldt er brukt i reelle angrep.
Referanser
https://helpx.adobe.com/security/products/fla[...]

Skadelige Apper på Google Play med 560.000 nedlastinger

Det har blitt oppdaget 13 skadelige apper på Google Play. Alle gir seg ut for å være bil-spill. Selv om ingen av dem fungerer, så har likevel spillene klart å lure seg til 560.000 nedlastinger. Appene skjulte sitt eget ikon etter nedlasting og lastet deretter ned ukjente apper som de prøve å lure brukerne til å installere.
Referanser
https://www.forbes.com/sites/thomasbrewster/2[...]

VMware gir ut sikkerhetsoppdateringer

VMware har gitt ut sikkerhetsoppdateringer som retter opp i sårbarheter i vSphere Data Protection. Sårbarheten er kategorisert som kritisk.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Tuesday, 20 November 2018

2018.11.20 - Nyhetsbrev

Google oppdaterer Chrome for Linux, Windows og Mac. Forskere omgår fingeravtrykkautentisering ved hjelp av nevrale nettverk. Kaspersky Lab spår allerede om 2019.

Google oppdaterer Chrome for Linux, Windows og Mac

Google er ute med oppdatering til Chrome som fikser én svakhet som kunne la angripere ta kontroll over et sårbart system.
Referanser
https://chromereleases.googleblog.com/search/[...]

Forskere omgår fingeravtrykkautentisering ved hjelp av nevrale nettverk

Forskere har klart å lage syntetiske fingeravtrykk ved hjelp av maskinlæring som i mange tilfeller kan lure innloggingssystemer. Systemer som normalt hadde en feilrate på 0.1% ble lurt av de falske avtrykkene i 22% av tilfellene.
Referanser
https://www.digi.no/artikler/forskere-brukte-[...]

Kaspersky Lab spår allerede om 2019

Kaspersky Lab har gitt ut sine spådommer for 2019. De mener at tiden der en relativt enkelt kan følge større APT-grupper kan være over. De mener at angriperne kan endre metodikk oftere, gjøre angrepsverktøyene enklere og benytter seg mer av outsourcing.

De mener også at phishing-angrep vil bli enda mer vellykkede ved hjelp av mer personlige angrep som bruker lekkede persondata.
Referanser
https://securelist.com/kaspersky-security-bul[...]

Monday, 19 November 2018

2018.11.19 - Nyhetsbrev

APT29 gjenoppstår med spear-phishing kampanje. Ny skadevare utvinner kryptovaluta: DarkGate.

APT29 gjenoppstår med spear-phishing kampanje

Den påståtte Russisk-sponsede hackergruppen APT29 (Cozy Bear) er kjent for sin innblanding i innbruddet hos den amerikanske "Democratic National Committee" før presidentvalget i 2016. CrowdStrike oppdaget 14. November en stor spear-phishing kampanje mot flere sektorer. Meldingen utga seg for å være fra "U.S Department of State" og linket til en legitim kompromittert side.
Referanser
https://www.zdnet.com/article/russian-apt-com[...]

Ny skadevare utvinner kryptovaluta: DarkGate

En ny skadevarekampanje med navnet DarkGate er avdekket av sikkerhetsforskere hos enSilo. Kampanjen er observert aktiv i både Spania og Frankrike. Skadevaren bruker flere teknikker for å unngå deteksjon, blant annet leverandør-spesifikke sjekker og "process hollowing" som kort fortalt handler om å starte skadevaren i en lovlig prosess sin kontekst. Skadevaren har flere funksjoner, men leter primært etter kryptovaluta.
Referanser
https://blog.ensilo.com/darkgate-malware

Friday, 16 November 2018

2018.11.16 - Nyhetsbrev

Undersøkelse viser at ansattes datasikkerhetsvaner forverres.

Undersøkelse viser at ansattes datasikkerhetsvaner forverres

Ifølge undersøkelsen 2018 Market Pulse Survey, har ansattes datasikkerhetsvaner blitt verre. Undersøkelsen inkluderer svar fra 1600 ansatte fra selskaper som har flere enn 1000 ansatte fra en del vestlige land. Blant annet innrømmer 75% at de gjenbruker passord mellom kontoer. Dette har økt fra 56% i 2014. I følge undersøkelsen er det aldersgruppen 18-25 som er verstingene, der hele 87% av disse gjenbruker passord. Det nevnes også at 50% av aldersgruppen bruker samme passord på både personlige kontoer og kontoer relatert til jobb.
Referanser
https://www.welivesecurity.com/2018/11/15/emp[...]

Thursday, 15 November 2018

2018.11.15 - Nyhetsbrev

Samsung Galaxy S9, IphoneX og Xiaomi Mi6 ble alle kompromitert under Pwn2Own Tokyo 2018.

Pwn2Own Tokyo 2018 knekte Samsung Galaxy S9, IphoneX og Xiaomi Mi6

Under hacker konkurransen ved Pwn2Own Tokyo 2018, ble tre populære mobiltelefoner hacket. Dette var Samsung Galaxy S9, IphoneX og Xiaomi Mi6. I alt ble 18 svakheter funnet. I et av tilfellene ble opp til fem svakheter missbrukt for å knekke sikkerheten. Det ble utbetalt totalt $325 000 i prispenger under konkurransen.
Referanser
https://threatpost.com/pwn2own-trifecta-galax[...]

Wednesday, 14 November 2018

2018.11.14 - Nyhetsbrev

Microsoft gir ut 63 patcher i månedlig sikkerhetsoppdatering. Adobe patcher svakhet i Acrobat, Acrobat Reader, Photoshop og Flash Player. Mer enn 50 land undertegner Paris-avtale om å bekjempe datakriminalitet. Store nasjoner som USA, Kina og Russland står utenfor. Kina-basert trusselaktør angrep mål i UK med russiske APT-teknikker. Nigeriansk firma tar på seg skylden for Google-rerouting. Forskere offentliggjør 7 nye Spectre/Meltdown-relaterte svakheter.

Microsoft gir ut månedlige sikkerhetsoppdateringer

Microsoft har gitt ut sine månedlige sikkerhetsoppdateringer som blant annet retter opp i produkter som Windows sin innebygde TFTP Server, Chakra scripting engine (Edge) og VBScript. Denne gangen er det totalt 63 bulletiner, hvor 12 er vurdert som kritisk.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://www.theregister.co.uk/2018/11/14/patc[...]

Forskere offentliggjør 7 nye Spectre/Meltdown-relaterte svakheter

Forskerne som oppdaget Spectre/Meltdown-svakhetene har oppdaget 7 nye svakheter som alle utnytter spekulativ kjøring av kode. Det dreier seg både om nye svakheter og omgåelse av patcher for de første svakhetene.
Referanser
https://arstechnica.com/gadgets/2018/11/spect[...]

Nigeriansk firma tar på seg skylden for Google-rerouting

På mandag ble det oppdaget at trafikk fra Google ble omdirigert via Russland og Kina i rundt én time. Mange mistenkte at dette ble gjort for å overvåke trafikken. Det nigerianske firmaet Main One tar nå på seg skylden for feilen.
Referanser
https://www.reuters.com/article/us-alphabet-d[...]

Kina-basert trusselaktør angrep mål i UK med russiske APT-teknikker

En interessant bloggpost fra Recorded Future der de tar for seg en antatt kinesisk trusselaktør de har kalt "TEMP.Periscope", og hvordan denne gruppen skal ha angrepet et mål i UK med metoder og teknikker man vanligvis forbinder med enkelte russiske trusselaktører. Denne "falsk flagg"-operasjonen er trolig gjort i et forsøk på å forvirre sikkerhetsforskere, og dermed attribusjon til opprinnelsesland.
Referanser
https://www.recordedfuture.com/chinese-threat[...]

Mer enn 50 land undertegner Paris-avtale om å bekjempe datakriminalitet. USA, Kina, Russland og Storbritannia er ikke med.

Mer enn 50 land og 150 teknologiselskaper og organisasjoner har inngått en avtale om å bekjempe datakriminalitet. Store nasjoner som USA, Kina, Russland, Israel, Iran og Storbritannia har imidlertid ikke undertegnet avtalen.
Referanser
https://www.digi.no/artikler/50-land-enige-om[...]

Adobe patcher svakhet i Acrobat, Acrobat Reader, Photoshop og Flash Player

Adobe gir ut patcher for en "information disclosure"-svakhet i følgende produkter: Acrobat, Acrobat Reader, Photoshop og Flash Player.
Referanser
https://blogs.adobe.com/psirt/?p=1648
https://helpx.adobe.com/security/products/acr[...]
https://helpx.adobe.com/security/products/pho[...]
https://helpx.adobe.com/security/products/fla[...]

Tuesday, 13 November 2018

2018.11.13 - Nyhetsbrev

Andelen Android-enheter med skadevare går ned. Googles Internet-trafikk ble BGP routet gjennom Kina. HTTP/3 vil basere seg på HTTP over QUIC-protokollen.

Andelen Android-enheter med skadevare går ned

Google har kommet med sine årlige tall på hvor mange enheter som har potensiell skadelig programvare installert. Av de 2 milliarder brukerne, er det 0.09 prosent av de som kun bruker Google Play dette gjelder. Når det kommer til brukere som også bruker tredjeparts app-butikker er dette tallet 0.68 prosent. Dette er en forbedring fra fjorårets 0.82 prosent.
Referanser
https://threatpost.com/threatlist-google-play[...]

Googles Internet-trafikk ble BGP routet gjennom Kina

Flere millioner Google IP-adresser ble mandag routet gjennom Kina etter at feil routing-informasjon ble sendt ut gjennom BGP. Dette gjorde at Googles tjenester ble utilgjengelig for mange brukere. Google sier at de ikke har grunn til å tro at dette ble gjort med overlegg, mens andre mener at hendelsen er mistenkelig. China Telecom, som stod bak hendelsen, har også tidligere stått bak lignende rerouting.
Referanser
https://arstechnica.com/information-technolog[...]

HTTP/3 vil basere seg på HTTP over QUIC-protokollen

Versjon 3 av HTTP-protokollen vil basere seg på HTTP over QUIC og altså ikke bruke TCP-proktollen i bunnen. QUIC står for Quick UDP Internet Connections og kombinerer HTTP/2, TCP, UDP og TLS. Protkollen er alltid kryptert og er også kjappere enn TCP. Google håper at protokollen skal ta over både for UDP og TCP.
Referanser
https://www.zdnet.com/article/http-over-quic-[...]

Monday, 12 November 2018

2018.11.12 - Nyhetsbrev

Svakheter i VMware vmxnet3 og WordPress GDPR Compliance Plugin.

Svakhet i VMware vmxnet3

VMware ESXi, Fusion og Workstation har ikke initialisert stack-minnet i vmxnet3 virtuelt nettverks adapter. Dette problemet gjør det mulig for en gjest å eksekvere kode på tjeneren. Videre fører det samme problemet til at informasjon fra tjeneren kan bli tilgjengelig på gjesten. Denne svakheten gjelder kun når vmxnet3 er aktivert.
Anbefaling
Oppdater produktet i henhold til instrukser.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Svakhet i WordPress GDPR Compliance Plugin

WordPress GDPR Compliance Plugin har en svakhet som allerede blir utnyttet i angrep. Svakheten gjør det mulig å opprette brukere og gi disse administrator -ettigheter. Videre gir svakheten også muligheten til å utføre en bakdør-installasjon ved å injisere kommandoer i cron. Det anbefales å oppdatere til siste versjon!
Anbefaling
Oppdatere WP GDPR Compliance til 1.4.3
Referanser
https://www.wordfence.com/blog/2018/11/privil[...]
https://www.wordfence.com/blog/2018/11/trends[...]

Friday, 9 November 2018

2018.11.09 - Nyhetsbrev

Symantec med artikkel om hvordan Hidden Cobra/Lazarus får ut penger via minibanker.

Symantec med artikkel om hvordan Hidden Cobra/Lazarus får ut penger via minibanker

Grupperingen Hidden Cobra, eller Lazarus som amerikanerne kaller dem, har klart å få ut store beløp via minibanker etter angrep på banker i Asia og Afrika. Symantec forklarere hvordan denne "FASTCash" operasjonen ble gjennomført. Mange mener at Hidden Cobra er fra Nord-Korea.
Referanser
https://www.symantec.com/blogs/threat-intelli[...]

Thursday, 8 November 2018

2018.11.08 - Nyhetsbrev

USA vil begynne å laste opp utenlandsk APT-malware. Politiet i Nederland har infiltrert chatte-tjeneste. Cisco patcher Stealthwatch, Unity Express og Meraki.

USA vil begynne å laste opp utenlandsk APT-malware

USCYBERCOM opplyser at de har tenkt å begynne å laste opp malware de oppdager utført av utenlandske APT-grupperinger til VirusTotal. Malwaren vil bli lastet opp etter hvert som den blir avgradert. Ved at malwaren legges opp på VirusTotal, vil sikkerhetsleverandører lett kunne få tilgang til dem og legge inn deteksjon i sine sikkerhetsprodukter.
Referanser
https://www.zdnet.com/article/us-cyber-comman[...]

Politiet i Nederland har infiltrert chatte-tjeneste

Politiet i Nederland sier de har dekryptert mer enn 258.000 meldinger sent ved hjelp av tjenesten IronChat. Appen har vært brukt av kriminelle til å sende krypterte meldinger via dedikerte enheter som bare har støttet chatte-tjenesten. Politiet har nå beslaglagt domenet og utstyret til firmaet som har stått bak tjenesten, Blackbox-security.com, i forbindelse med etterforskning av hvitvasking.
Referanser
https://arstechnica.com/information-technolog[...]

Cisco patcher Stealthwatch, Unity Express og Meraki

Cisco har sluppet sikkerhetsoppdateringer for Stealthwatch, Unity Express og Meraki. Noen av svakhetene lar en angriper ta kontroll over det sårebare systemet.
Anbefaling
Innstaller oppdateringer
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Wednesday, 7 November 2018

2018.11.07 - Nyhetsbrev

Supply-chain angrep mot gate.io. Forsvarets cybersikkerhetssenter med status fra Trident Juncture. Kvartalsrapport om spam og phishing utgitt. Ny 0-dags svakhet i VirtualBox.

Supply-chain angrep mot gate.io

gate.io, en online kryptovalutabørs, har blitt utsatt for et såkalt supply-chain-angrep. ESET har en god gjennomgang over hvordan dette skjedde, og på hvilken måte angriperne fikk utført sitt angrep ved å først angripe StatCounter, en analyseplatform brukt av gate.io.
Referanser
https://www.welivesecurity.com/2018/11/06/sup[...]

Forsvarets cybersikkerhetssenter med status fra Trident Juncture

Forsvarets Cybersikkerhetssenter opplyser om at de ikke har opplevd å være et større mål for cyberangrep i forbindelse med den pågående NATO-øvelsen. De forteller at de ser mer trafikk, noe som er naturlig med flere mennesker i området, men mindre cyber-aktivitet en forventet. Storm Jarl Landaasen i Telenor kan meddele at det ikke har vært noen utfall eller brudd i kritiske kommunikasjonslinjer så langt i øvelsen.
Referanser
https://forsvaretsforum.no/en-vanlig-uke-p%C3[...]

Kvartalsrapport om spam og phishing utgitt

Kaspersky Labs har gitt ut sin kvartalsrapport vedrørende spam og phishing, der de blant annet melder om økning av e-poster som krever Bitcoins for å ikke utgi personlig informasjon. E-postene inneholder gjerne personlig informasjon som passord fra passordlekkasjer.
Referanser
https://securelist.com/spam-and-phishing-in-q[...]

Ny 0-dags svakhet i VirtualBox

Det er oppdaget en alvorlig 0-dags svakhet i VirtualBox, hvor det er publisert en teknisk gjennomgang av svakheten og lansert PoC-kode. En kan utnytte svakheten for å få tilgang til host-OSet som kjører VirtualBox, og ved å bruke andre svakheter kan en få full tilgang til host-OSet. Oracle har ikke sluppet en fiks for denne svakheten ennå.
Anbefaling
Vent på patch
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://github.com/MorteNoir1/virtualbox_e100[...]

Tuesday, 6 November 2018

2018.11.06 - Nyhetsbrev

Google gir ut oppdatering til Android for november. Flere SSDer har store svakheter i innebygd disk-kryptering. Kritisk svakhet i Apache Struts. Ny multithreading-svakhet: PortSmash.

Google gir ut oppdatering til Android for november

Google gir nå ut sikkerhetsoppdatering til Android for november. Oppdateringen skal blant annet inneholde fiks for tre svakheter som muliggjør fjerneksekvering av vilkårlig kode. To av disse svakhetene har blitt klassifisert som kritiske, og én av klassifisert som viktig. Alle disse tre svakhetene ble funnet i Android Media Framework. Svakhetene kan utnyttes ved at angriper sender ut en spesiallagd video eller multimedia-melding.

I tillegg var det også to andre rettighetssvakheter i Media Framework som også var klassifisert som kritiske, som blir fikset av oppdateringen. Biblioteket Libxaac fikk utbedret hele 18 svakheter, noe som gjør at Google vil fjerne dette biblioteket fra Android i fremtiden.
Referanser
https://source.android.com/security/bulletin/[...]
https://www.theregister.co.uk/2018/11/06/andr[...]

Flere SSDer har store svakheter i innebygd disk-kryptering

Mange SSDer kommer med maskinvarekryptering, noe som gjør at SSDen kan brukes til å kryptere innhold istedet for at dette blir gjort av programvare. Blant annet benytter Windows seg av dette og stoler på at SSDen står for krypteringen selv når Bitlocker blir brukt.

Forskere ved Radbound Universitet har nå funnet ut at mange SSDer bruker en dårlig kryptingsimplementasjon. Crucial MX300 har for eksempel satt et tomt hovedpassord, noe som gjør det trivielt å få tak i det krypterte innholdet.

Bitlocker kan bli fortalt at den ikke skal stole på maskinvarekryptering i SSDer og istedet bruke programvarekryptering. Dette kan imidlertid kun gjøres ved hjelp av Group Policy i Windows 10 Professional.

Les mer om hvilke SSDer som er testet og de mange svakhetene i den nederste artikkelen under.
Referanser
https://www.howtogeek.com/fyi/you-cant-trust-[...]
https://www.digi.no/artikler/sikkerhetsforske[...]
https://www.ru.nl/english/news-agenda/news/vm[...]

Kritisk svakhet i Apache Struts

Teamet bak Apache Struts anbefaler å oppdatere Apache Struts 2.3.36 til å bruke nyeste versjon av Commons FileUpload Library som nå er på versjon 1.3.3. Dett er grunnet en svakhet i bilokteket som gjør det mulig for angriper å eksekvere kode på serveren.
Anbefaling
Oppgrader til siste versjon
Referanser
http://mail-archives.us.apache.org/mod_mbox/w[...]

Ny multithreading-svakhet: PortSmash

Det har blitt oppdaget enda en svakhet i måten moderne CPUer utfører multithreading, denne har blitt kalt PortSmash. Svakheten gjør det mulig for en prosess å hente ut informasjon fra en annen prosess som blir eksekvert på samme fysiske kjerne.

Alle brikker med SMT, inkludert Intel sin variant av det er utsatt. Som ved de andre svakhetene så anbefales det å slå av multithreading i BIOS for å motvirke svakheten.
Anbefaling
Disable multithreading i BIOS
Referanser
https://threatpost.com/portsmash-side-channel[...]

Monday, 5 November 2018

2018.11.05 - Nyhetsbrev

CIAs kommunikasjonsnettverk kompromittert ved hjelp av Internett-søk. Alvorlig zero-day sårbarhet i Microsoft Edge. Google øker sikkerheten ved innlogging og krever Javascript.

CIAs kommunikasjonsnettverk kompromittert ved hjelp av Internett-søk

Mellom 2009 og 2013 opplevde CIA at et system de hadde for kommunikasjon med agenter ble avslørt av Iran. Dette førte til at dusinvis av amerikanske agenter ble drept i Kina og Iran. Innen 2011 hadde Iran infiltrert nettverket og annonserte i mai at de hadde avslørt over 30 amerikanske spioner. Kina fikk også tak i informasjon på lignende måte og 30 amerikanske agenter ble henrettet.
Referanser
https://www.yahoo.com/news/cias-communication[...]
https://www.telegraph.co.uk/technology/2018/1[...]

Alvorlig zero-day sårbarhet i Microsoft Edge

Zero-day ekstern kodeeksekvering i Microsoft Edge. To forskere har planer å publisere PoC (Proof of Concept) på hvordan man utnytter svakheten. Microsoft har ikke blitt fortalt i detaljer hva svakheten går ut på.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Google øker sikkerheten ved innlogging og krever Javascript

Google har informert om at de ikke lengre vil tillate enheter å logge inn hvis Javascript ikke er aktivert. Dette er en konsekvens av at de har utvidet sikkerhetskontrollen ved inlogging.

Videre informerer de om at de planlegger å hente inn logger fra Google Play Protect, som gir Google mulighet til å sjekke om det er skadelig programvare installert på enheten det logges inn fra.

Google skal også varsle brukeren om hvilke tredjepartsapplikasjoner som har fått tilgang til sensitiv informasjon gjennom Google sine tjenester, slik som Gmail og Google Contacts.
Referanser
https://www.zdnet.com/article/google-wont-let[...]

Friday, 2 November 2018

2018.11.02 - Nyhetsbrev

Trickbot har fått ny modul for å hente ut passord. Mer avanserte og ødeleggende cyberangrep fra Kina. Hadashot TV: Ny version av Stuxnet-skadevare brukt mot Iran. Bluetooth-svakheter i aksesspunkter fra Cisco, Meraki og Aruba. Løsepengeviruset Kraken øker i popularitet.

Trickbot har fått ny modul for å hente ut passord

Trickbot har over tid fått flere tileggsfunksjoner. Målet med denne skadevaren har primært vært å få tak i bankinformasjon fra brukeren, slik at angriper som står bak skadevaren kan hente ut penger. Skadevaren har nå fått en ny modul som gjør det mulig for den å hente ut brukerinformasjon og passord fra flere forskjellige applikasjoner, blant annet Outlook, Chrome, Firefox med flere.

Artikkelen til TrendMicro går inn i dypere detaljer om skadevaren.
Referanser
https://blog.trendmicro.com/trendlabs-securit[...]

Mer avanserte og ødeleggende cyberangrep fra Kina

Angrep utført av kinesiske aktører har i den siste tiden blitt mer avanserte og mer ødeleggende enn tidligere. De har også begynt å bruke samme taktikker som andre aktører, for eksempel ved å bruke flere kontrollservere, hvor nye kontrollere holder seg inaktive til de primære har blitt tatt ned.

I tillegg til dette sletter aktørene logger. Ikke bare spesifikke logginnlegg som indikerer deres aktivitet, men store mengder med logger.
Referanser
https://arstechnica.com/information-technolog[...]

Hadashot TV: Ny version av Stuxnet-skadevare brukt mot Iran

Hadashot TV melder om at Irans strategiske nettverk og infrastruktur har blitt angrepet av en destruktiv skadevare. Angrepet ligner tidligere angrep utført ved hjelp av Stuxnet, men er mer avansert og aggressiv. Iran skylder på Israel for angrepet. Israel har ikke kommentert saken.
Referanser
https://securityaffairs.co/wordpress/77553/cy[...]

Bluetooth-svakheter i aksesspunkter fra Cisco, Meraki og Aruba

Trådløse aksesspunkter fra leverandørene Cisco, Meraki og Aruba har svakheter i Bluetooth-implementasjonen. En angriper kan ta kontroll over sårbare aksesspunkter, og installere sin egen programvare. På denne måten kan trafikk overvåkes, redirigeres osv.
Referanser
https://arstechnica.com/information-technolog[...]

Løsepengeviruset Kraken øker i popularitet

Kraken Cryptor er et løsepengevirus som dukket opp i august 2018 på det mørke nettet. Viruset ser ut til å øke i popularitet og har blant annet spredd via det populære antivirusprogrammet SuperAntiSpyware. Rammede systemer har for øyeblikket ingen mulighet til å gjenopprette filene sine uten å betale løsepenger. Programmet er i hovedsak målrettet mot Windows 8, 8.1 og 10.
Referanser
https://www.recordedfuture.com/kraken-cryptor[...]
https://securingtomorrow.mcafee.com/mcafee-la[...]

Thursday, 1 November 2018

2018.11.01 - Nyhetsbrev

Cisco 0-day svakhet brukes til å krasje enheter. Buffer-overflow i håndtering av ICMP-pakker i iOS og macOS.

Cisco 0-day svakhet brukes til å krasje enheter

Cisco ASA (Adaptive Security Appliance) og FTD (Firepower Threat Defense) har en svakhet som lar en angriper omstarte enheten. Det finnes foreløpig ingen patcher. Svakheten ligger i håndteringen av SIP-pakker. Det finnes ingen kjente måter å omgå problemet på, bortsett fra å vente på en patch.
Anbefaling
Vent på oppdatering.
Referanser
https://www.zdnet.com/article/cisco-zero-day-[...]
https://tools.cisco.com/security/center/conte[...]

Buffer-overflow i håndtering av ICMP-pakker i iOS og macOS

Apple har en buffer overflow svakhet i XNU-kjernen, som er brukt i både iOS og macOS. De klassifiserer dette som en "remote code execution vulnerability" i kjernene som gjør det mulig å kjøre kode fra eksternt ståsted. Detaljer om svakheten, inkluert PoC (Proof of Concept) som kan krasje enheten, ble offentliggjort 30. oktober.

iOS ble patchet i versjon 12 i september og macOS i version 10.14.1, sluppet i går.
Anbefaling
Oppgrader til siste versjon
Referanser
https://lgtm.com/blog/apple_xnu_icmp_error_CV[...]