Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 28 February 2019

2019.02.28 - Nyhetsbrev

Svakhet i Thunderbolt kan gi tilkoblet utstyr direkte tilgang til minne. Bronze Union APT oppdaterer ondsinnet programvare i ny angrepsbølge. Cloudborne gir mulighet for kontinuerlig bakdør i IaaS servere.

Svakhet i Thunderbolt kan gi tilkoblet utstyr direkte tilgang til minne

En svakhet i Thunderbolt, som har fått navnet Thunderclap, gjør det mulig for angripere med fysisk tilgang til maskinen å plugge inn maskinvare som kan lese av minne direkte. Thunderbolt-standarden er også ofte tilgjengelig gjennom USB-C noe som gjør disse maskinene også sårbare for svakheten.
Referanser
https://www.tek.no/artikler/forskere-usb-c-po[...]
https://thunderclap.io/

Bronze Union APT oppdaterer ondsinnet programvare i ny angrepsbølge

Bronze Union, en trusselgruppe med tilknytning Kina, har i en ny angrepsbølge som skjedde i 2018 oppdatert fjernstyringsprogramvaren (RAT) som dem bruker for å ta over og kontrollere maskiner. Gruppen skal ha brukt flere forskjellige metoder i den nye kampanjen sin for å kompromitere organisasjoner, blant annet phishing, skanning og utnyttelse av svakheter. Verktøyene gruppen skal ha brukt er ZxShell, Gh0st RAT og SysUpdate. Disse gir dem blant annet muligheten til å rulle tilbake det ondsinnede programvaren som er installert på en kompromitert maskin når dem ikke bruker det, slik at dem kan skjule den ordentlige kapabilitet deres om maskinen skulle blitt oppdaget at er infisert.
Referanser
https://threatpost.com/bronze-uniona-apt-upda[...]

Cloudborne gir mulighet for kontinuerlig bakdør i IaaS servere

En kjent svakhet sammen med svakhet i gjenvinning av fysisk server gir muligheten for en angriper å installere og beholde bakdør på en server som brukes i Infrastructure-as-a-service (IaaS). Dette fungerer vet at fysiske maskiner deles mellom kunder etter at bruken deres går over, men fastvaren ikke blir flashet før den blir sendt til ny kunde. Dette gir mulighet for en angriper til å utnytte svakheter for å installere ondsinnet fastvare på en fysiske maskin som angriper leier lovlig. Når denne blir sendt videre til neste kunde blir alt annet enn fastvaren på maskinen resatt. Angriper vil da kunne få direkte tilgang til denne, selv om denne maskinen tilhører noen andre.
Referanser
https://threatpost.com/cloudborne-iaas-attack[...]

Wednesday, 27 February 2019

2019.02.27 - Nyhetsbrev

Greske akademikere har utviklet et nytt nettleserbasert angrep som muliggjør kodeeksekvering etter at brukere har forlatt nettsiden.

Nytt nettleserbasert angrep muliggjør kodeeksekvering etter at brukere har forlatt nettsiden

Akademikere fra Hellas har utviklet et nytt nettleserbasert angrep som gjør det mulig for angripere å kjøre ondsinnet kode i en brukers nettleser selv etter at brukeren har lukket eller navigert bort fra nettsiden som infiserte nettleseren. Dette nye angrepet, kalt MarioNet, gjør det mulig å generere store botnets, som blant annet kan brukes til DDoS-angrep og crypto-mining.
Referanser
https://www.zdnet.com/article/new-browser-att[...]

Tuesday, 26 February 2019

2019.02.26 - Nyhetsbrev

Svakheter ved digital signering av PDF-dokumenter i flere applikasjoner

Svakheter ved digital signering av PDF-dokumenter i flere applikasjoner

Forskere fra Ruhr-University Bochum i Tyskland har funnet svakheter knyttet til digital signering i flere applikasjoner som håndterer PDF-dokumenter. 21 av 22 desktop-applikasjoner og 5 av 7 online verktøy viste seg å være påvirket av en eller flere av svakhetene. Forskerne har ventet til nå med å gå ut med informasjonen, og alle verktøyene har gitt ut oppdateringer som fikser svakhetene.
Referanser
https://www.zdnet.com/article/researchers-bre[...]

Monday, 25 February 2019

2019.02.25 - Nyhetsbrev

ICANN setter søkelys på viktighet rundt DNSSEC. Adobe med sikkerhetsoppdatering for Acrobat og Reader. Svakhet funnet i BIND.

Svakhet funnet i BIND

Svakheten kan utnyttes til DOS angrep ved at angriper utnytter named til å allokere alt minne dersom prosessen ikke er avgrenset av operativsystemet.
Referanser
https://kb.isc.org/docs/cve-2018-5744

Adobe med sikkerhetsoppdatering for Acrobat og Reader

Oppdateringen fikser en svakhet som kunne utnyttes til å stjele sensitiv informasjon om brukeren.
Referanser
https://helpx.adobe.com/security/products/acr[...]

ICANN setter søkelys på viktighet rundt DNSSEC

Etter et krisemøte melder ICANN at de observerer flere alvorlige angrep mot DNS-infrastrukturen. I den siste tiden er det observert flere hijacking kampanjer blant annet rettet mot myndigheter og telekomleverandører i Midtøsten, Nord-Afrika og Europa. ICANN oppfordrer derfor i en nyhetsmelding om full utrulling av DNSSEC.
Referanser
https://securityaffairs.co/wordpress/81617/se[...]

Thursday, 21 February 2019

2019.02.21 - Nyhetsbrev

Microsoft melder om økt aktivitet fra russiske hacker-grupper. Flere nye svakheter i Wordpress. Cisco med sikkerhetsoppdateringer. Ny svakhet i Drupal Core vurdert som svært kritisk

Microsoft melder om økt aktivitet fra russiske hacker-grupper mot Europa

Microsoft’s Threat Intelligence Center (MSTIC) og Digital Crimes Unit (DCU) melder om økt aktivitet fra russiske hacker-grupper mot Europa. I løpet av siste kvartal ble det obsertvert angrep mot 104 kontoer knyttet til blant annet journalister, tenketanker og andre organisasjoner i Europa. Mesteparten av disse angrepene hevdes å komme fra gruppen Strontium, også kjent som Fancy Bear.
Referanser
https://threatpost.com/microsoft-russias-fanc[...]
https://blogs.microsoft.com/eupolicy/2019/02/[...]

Cisco med sikkerhetsoppdateringer

Dagens sikkerhetsoppdatering fra Cisco fikser svakheter og feil i flere av ders produkter. Det er i alt 17 punkter, hvor 6 er vurdert som høy alvorlighetsgrad.
Referanser
https://tools.cisco.com/security/center/publi[...]
https://www.theregister.co.uk/2019/02/21/cisc[...]

Ny svakhet i Drupal Core vurdert som svært kritisk

Sikkerhetseksperter i Drupal Security Team har oppdaget en svært kritisk svakhet. Svakheten kan utnyttes for ekstern kodeeksekvering. For å utnytte svakheten må Drupal 8 core RESTful Web Services modulen være aktivert og godta PATCH eller POST forespørsler. Det skal også være mulig å med andre web-tjenster som JSON:API for Drupal 8, og RESTful Web Services eller Services i Drupal 7. Oppdatering anbefales!
Anbefaling
Installer patch.
Referanser
https://www.drupal.org/sa-core-2019-003

Flere nye svakheter i Wordpress

RIPSTECH skiver i en bloggpost om nye svakheter i Wordpress. En angriper som har fått tilgang til en konto med Author-rettigheter, kan kjøre PHP kode på den underliggende server til nettsiden som brukeren er tilknyttet. WordPress har sluppet oppdateringer og disse kan installeres automatisk fra admin-siden.
Anbefaling
Installer patch.
Referanser
https://www.cisecurity.org/advisory/multiple-[...]
https://blog.ripstech.com/2019/wordpress-imag[...]

Wednesday, 20 February 2019

2019.02.20 - Nyhetsbrev

Russiske APTer eskalerer tilgang i nettverket på under 20 minutter. Programvare for håndtering av passord kan være sårbare.

Russiske APTer eskalerer tilgang i nettverket på under 20 minutter

Crowdstrike publiserte nylig en rapport som viser at snittet av russiske hackergrupper bruker under 20 minutter fra de infiserer en klient, til de oppnår tilgang til de nærmeste maskinene i nettverket. På de neste plassene, finner vi Nord-Koreanske og Kinesiske hackergrupperinger som bruker hennholdsvis litt over to timer og fire timer.
Referanser
https://www.zdnet.com/article/you-have-around[...]

Programvare for håndtering av passord kan være sårbare

Ny forskning viser at flere typer programvare for håndtering av passord i Windows 10 kan lekke passord fra enhetens RAM. Forskningen som tirsdag ble publisert av Independent Security Evaluators, beskriver hvordan produktene lagrer sensitiv informasjon i maskinens bakgrunnsprosesser ukryptert. De ulike programvarene nevnt i rapporten er 1Password, Dashlane, KeePass, og LastPass. Svakheten kan kun utnyttes hvis maskinen allerede er infisert av skadevare.
Referanser
https://www.pcmag.com/news/366622/password-ma[...]
https://www.securityevaluators.com/casestudie[...]

Tuesday, 19 February 2019

2019.02.19 - Nyhetsbrev

2.7 millioner telefonsamtaler til helsevesenet i Sverige lå åpent. Brian Krebs med mer detaljer om DNS-angrep fra Iran. Australia hacket før valget.

2.7 millioner telefonsamtaler til helsevesenet i Sverige lå åpent

2.7 opptak av samtaler til tjenesten 1177 har vært åpent tilgjengelig som lydfiler på en server på Internet. Mange av samtalene inneholder fortrolig informasjon og tusenvis er også lett identifiserbare.
Referanser
https://computersweden.idg.se/2.2683/1.714787[...]

Brian Krebs med mer detaljer om DNS-angrep fra Iran

Brian Krebs har skrevet en lengre bloggpost om DNS-angrepene som har pågått de siste månedene. De fleste mener nå at det er Iran som står bak bølgen med angrep. Han identifiserer flere av landene som har blitt rammet, hovedsaklig i midtøsten. Det svenske firmaet Netnod Internet Exchange har også blitt hacket. Firmaet kontrollerer blant annet én av de 13 root-DNS tjenerne på nettet. New York Times skriver også om saken i dag.
Referanser
https://krebsonsecurity.com/2019/02/a-deep-di[...]
https://www.nytimes.com/2019/02/18/technology[...]

Australia hacket før valget

Tre partier i Australia skal ha blitt hacket av ondsinnede aktører. Dette skjer kort tid før det skal foregå valg i landet. Australske medier spekulerer i om det er Kina som står bak angrepet.
Referanser
https://www.digi.no/artikler/australia-hacket[...]
http://fortune.com/2019/02/18/australia-parli[...]

Monday, 18 February 2019

2019.02.18 - Nyhetsbrev

Ny kreative phishing-metode kan lure de fleste. VMWare med sikkerhetsoppdatering for kontainerbaserte produkter.

Ny kreative phishing-metode kan lure de fleste

Sikkerhetsteamet bak passordhåndtereren Myki rapporterer om en ny metode for phishing. Metoden misbruker tilliten som finnes for 3-parts innlogging. I det siste er det blitt vanlig å tillate brukere å registrere seg gjennom OAuth-løsningene som Google og Facebook tilbyr.

Når en bruker registrerer seg på denne måten, dukker det som oftes opp en pop-up som ber brukeren logge inn på Facebook eller Google-kontoen sin. Dette utnyttes av angriperne ved å lage en ondsinnet dialog som ser legitim ut. Forskjellen er at hele vinduet er laget ved hjelp av HTML, CSS og JavaScript. Brukeren opplever dialogen som et eget vindu selv om den egentlig bare er en del av nettsiden. Dialogen har selvfølgelig riktig "url" i addressebaren med SSL kryptering, noe som gjør at flere lar seg lure.
Referanser
https://thehackernews.com/2019/02/advance-phi[...]

VMWare med sikkerhetsoppdatering for kontainerbaserte produkter

VmWare har sluppet VMSA-2019-0001.1 som er en sikkerhetsoppdatering for CVE-2019-5736. Svakheten kan gi en angriper root-tilgang på hostmaskinen, ved å overskive den binære "runc" filen på hosten. Angrepet utføres ved å produksjonsette en ondsinnet kontainer. Berørte produkter er VIO-K, PS, CSE og VIC.
Anbefaling
Oppdater berørte systemer.
Referanser
https://www.vmware.com/us/security/advisories[...]
https://www.techcrumble.net/2019/02/cve-2019-[...]

Friday, 15 February 2019

2019.02.15 - Nyhetsbrev

macOS skadevare forkledd som Adobe Flash-oppdatering. Fristen for innsending av høringsinnspill til ny lov for E-tjenesten er forbi. Mange aktører bruker Apples enterprise-sertifikater for å omgå App Store. Mozilla publiserer sikkerhetsoppdateringer til Thunderbird.

macOS skadevare forkledd som Adobe Flash-oppdatering

Sikkerhetseksperter i selskapet Carbon Black har nylig oppdaget en ny versjon av Shlayer-skadevare som retter seg mot macOS-versjoner fra 10.10.5 opp til 10.14.3. Skadevaren gjemmer seg bak en falsk Adobe Flash-oppdatering som blir distribuert gjennom et stort antall nettsteder, ofte falske eller kompromitterte legitime domener.
Referanser
https://securityaffairs.co/wordpress/81112/ma[...]

Frist for innsending av høringsinnspill til ny lov for E-tjenesten er forbi

Fristen for å sende inn høringsinnspill til ny lov for Etterretningstjenesten har nå utløpt. Regjeringen melder at det kom inn rundt 90 høringsinnspill. Et av forslagene som kommer frem i den nye loven for E-tjensten er at de skal ha muligheten til å overvåke Internett-trafikken som går fra og til Norge. Forsvarsministeren forklarer at hensikten med dette forslaget er ikke å overvåke norske borgere, men å sikre Norge mot utenlandske trusler.
Referanser
https://www.regjeringen.no/no/aktuelt/horinge[...]

Mange aktører bruker Apples enterprise-sertifikater for å omgå App Store

Apples enterprise-sertifikater er egentlig ment brukt for apper internt i organisasjoner. Disse blir imidlertid brukt i stor stil for piratkopiering og spredning av apper som Apple ikke godtar i App Store. Via denne typen apper er det også mulig å bli utsatt for malware.
Referanser
https://arstechnica.com/gadgets/2019/02/googl[...]
https://www.reuters.com/article/us-apple-pira[...]

Mozilla publiserer sikkerhetsoppdateringer til Thunderbird

Mozilla har publisert versjon 60.5.1 av epostprogrammet Thunderbird som retter opp i flere sikkerhetssvakheter.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Thursday, 14 February 2019

2019.02.14 - Nyhetsbrev

620 millioner nyere hackede kontoer tilgjengelig for salg på det mørke nettet. Bank of Valletta frastjålet 13 millioner Euro. Feil i Snadp på Linux kan gi lokal root tilgang.

620 millioner nyere hackede kontoer tilgjengelig for salg på det mørke nettet

Over 617 millioner kontoer, samlet fra 16 hackerangrep mot websider er nå til salgs på det mørke nettet. Dette gjelder angrep på Dubsmash (162 mil), MyFitnessPal (151 mil), MyHeritage (92 mil), ShareThis (41 mil), HauteLook (28 mil), Animoto (25 mil), EyeEm (22 mil), 8fit (20 mil), Whitepages (18 mil), Fotolog (16 mil), 500px (15 mil), Armor Games (11 mil), BookMate (8 mil), CoffeeMeetsBagel (6 mil), Artsy (1 mil), og DataCamp (700,000). Flere av angrepene er av nyere dato. Les artikkelen for detaljer om hver enkelt innbrudd.
Referanser
https://www.theregister.co.uk/2019/02/11/620_[...]

Bank of Valletta frastjålet 13 millioner Euro

Bank of Valletta på Malta stengte ned alle sine systemer da det ble klart at de var blitt frastjålet 13 millioner Euro gjennom et datainnbrudd. Ingen av kundene skal ha lidd noen tap. Banken beklager alle problemene nedstengingen av alle tjenester har medført sine kunder. Bankens app var tilgjengelig torsdag morgen igjen.
Referanser
https://www.timesofmalta.com/articles/view/20[...]

Feil i Snadp på Linux kan gi lokal root tilgang

Chris Moberly oppdaget en feil i snapd som gjør det mulig å få root tilgang hvis du har vanlig tilgang til systemet. Det finnes også bevis for at dette kan virke via SSH, men svakheten kan ikke misbrukes utenifra.
Anbefaling
Oppdater til ikke sårbar versjon
Referanser
https://thehackernews.com/2019/02/snapd-linux[...]

Wednesday, 13 February 2019

2019.02.13 - Nyhetsbrev

Microsoft fikser 71 svakheter i månedlig sikkerhetsoppdatering for februar. Cisco publiserer sikkerhetsoppdatering for svakhet i Cisco Network Assurance Enginge. Adobe fikser en rekke alvorlige svakheter i flere populære produkter, inkl. Flash Player og Acrobat og Reader. Mozilla publiserer sikkerhetsoppdateringer til Firefox.

Cisco publiserer sikkerhetsoppdatering for Network Assurance Enginge

Cisco har gjort tilgjengelig en sikkerhetsoppdatering for å fikse en svakhet i deres Cisco Network Assurance Engine (NAE) som kunne forårsake uautorisert tilgang og Denial of Service.
Referanser
https://tools.cisco.com/security/center/conte[...]

Adobe fikser en rekke alvorlige svakheter i blant annet Flash Player og Acrobat og Reader

Adobe fikser hele 75 tildels alvorlige svakheter i følgende produkter: Adobe Flash Player, Adobe ColdFusion, Adobe Acrobat og Reader samt Adobe Creative Cloud Desktop Application. Svakheten fra tidligere i uken, som kunne brukes til å stjele passord-hasher fra Windows-maskiner, har også blitt patchet i dagens oppdatering.
Referanser
https://blogs.adobe.com/psirt/?p=1705
https://threatpost.com/adobe-fixes-43-critica[...]

Microsoft fikser 71 svakheter i månedlig sikkerhetsoppdatering for februar

Microsoft er ute med sin månedlige sikkerhetsoppdatering for februar. Denne gangen patcher de 71 svakheter, hvorav 20 er å anse som kritiske, inkl. en zero-day svakhet i Internet Explorer som aktivt utnyttes i observerte angrep. Svakheten i Exchange kalt "PrivExchange" er også patchet.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://threatpost.com/microsoft-patches-zero[...]

Mozilla publiserer sikkerhetsoppdateringer til Firefox

Mozilla har publisert versjon 65.0.1 av nettleseren Firefox som inneholder fikser for flere sikkerhetssvakheter.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Tuesday, 12 February 2019

2019.02.12 - Nyhetsbrev

USAs utenriksminister vil hindre samarbeid med selskaper som bruker Huawei som leverandør. Midlertidig patch for svakhet i Adobe Reader DC.

USAs utenriksminister vil hindre samarbeid med selskaper som bruker Huawei som leverandør

USAs utenriksminister Mike Pompeo hintet i en pressekonferanse mandag at USA vil kunne avslutte sitt samarbeid med selskaper som er tungt investert i utstyr levert av Huawei. Pompeo sa at utstyr levert av Huawei plassert på samme sted som viktig utstyr levert av Amerikanske produsenter vil gjøre et samarbeid vanskelig. USA har nylig innført et forbud mot bruk av utstyr levert av Huawei i offentlige institusjoner, og hos telekom-selskaper som mottar statsstøtte.
Referanser
https://www.theregister.co.uk/2019/02/12/us_w[...]

Midlertidig patch for svakhet i Adobe Reader DC

Selskapet 0patch publiserte mandag en micropatch som skal fikse en svakhet i Adobe Reader. Ved utnyttelse gjør svakheten det mulig for en angriper å hente ut offerets hashede passord. Det finnes foreløpig ikke noen offisell oppdatering som fikser svakheten, men en oppdatering er ventet neste uke.
Referanser
https://threatpost.com/temporary-patch-releas[...]

Monday, 11 February 2019

2019.02.11 - Nyhetsbrev

To svakheter i siste iOS-oppdatering utnyttes aktivt i angrep. Russiske ISPer forbereder seg på frakobling fra det globale Internett. E-tjenesten vurderer fremmed etterretning som den største trusselen mot Norge.

To svakheter i siste iOS-oppdatering utnyttes aktivt i angrep

På fredag sist uke omtalte vi at Apple hadde sluppet iOS v. 12.1.4. To av svakhetene i denne oppdateringen misbrukes allerede i aktive angrep. Vi anbefaler alle å oppdatere til siste versjon av iOS ASAP.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Russiske ISPer forbereder seg på frakobling fra det globale Internett

Russiske myndigheter introduserte en ny lov i Desember 2018 som sier at ISPer i landet skal kunne håndtere en frakobling fra det globale Internettet. I lovforslaget står det også at ISPer skal kunne rute trafikk gjennom myndighetsstyrte overvåkningspunkter. Testen skal i følge planen utføres før 1. april.
Referanser
https://www.zdnet.com/article/russia-to-disco[...]

E-tjenesten vurderer fremmed etterretning som den største trusselen mot Norge

E-tjenesten vurderer fremmed etterretning som den største trusselen mot Norge i sin nye Fokus-rapport. Det trekkes frem at fremmede statsmakter som Kina og Russland prøver å påvirke Norges politiske prosesser. I 2018 har nettverksoperasjoner for å innhente informasjon vært rettet mot norske styresmakter og kommersielle selskaper innenfor en rekke sektorer. E-tjenesten omtaler også GPS-jamming i Finmark.
Referanser
https://www.nrk.no/norge/e-tjenesten_-trussel[...]
https://forsvaret.no/fokus

Friday, 8 February 2019

2019.02.08 - Nyhetsbrev

Apple fikser FaceTime og andre svakheter i iOS. Usikkerhet om hvem som står bak dataangrepene mot Visma.

Apple fikser FaceTime og andre svakheter i iOS

Apple fikser FaceTime bug fra forrige uke som gjorde det mulig for brukere å avlytte/videovervåke andre Factime-brukere uten at de var klar over det. Flere rettighetseskaleringssvakheter er også fikset.
Referanser
https://threatpost.com/apple-fixes-pesky-face[...]
https://support.apple.com/en-us/HT209520

Usikkerhet om hvem som står bak dataangrepene mot Visma

Vismas sikkerhetskonsulenter fra Recorded Future mener at angrepet kommer fra en kinesisk hackergruppe kjent som ATP10, men analytikere fra Micosoft mener at angrepet kommer fra en annen gruppe kjent som APT31. Begge grupperingene skal ha knytninger mot kinesiske myndigheter, men APT31 er en mindre kjent gruppering.
Referanser
https://www.nrk.no/norge/tvil-om-hvem-som-sta[...]

Thursday, 7 February 2019

2019.02.07 - Nyhetsbrev

Zero-day-svakhet i macOS Keychain gjør at alle passord kan avsløres uten masterpassord eller adminrettigheter.

Zero-day-svakhet i macOS Keychain

Sikkerhetsforskeren Linus Henze har vist at han kan utnytte en zero-day-sårbarhet i macOS sin passord manager, Keychain. Verktøyet han har laget kan hente ut alle passord lagret på en mac ved ett tastetrykk - uten å oppgi master-passord eller ha administrator-rettigheter. Svakheten gjelder opp til nyeste versjon av macOS. Det finnes foreløpig ingen fiks og verktøy for å utnytte svakheten skal ikke være offentlig tilgjengelig.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Wednesday, 6 February 2019

2019.02.06 - Nyhetsbrev

Norske Visma har blitt hacket av kinesiske APT10. Microsoft slipper råd rundt PrivExchange-svakheten. Rapport fra Checkpoint viser muligheter for Reverse-RDP angrep. Google fikser flere kritiske svakheter i Android.

Norske Visma har blitt hacket av kinesiske APT10

Reuters melder at norske Visma har blitt hacket i forbindelse med Cloudhopper-kampanjen utført av den kinesiske aktøren APT10. Angrepet har antagelig blitt gjennomført for å hacke seg videre inn hos Vismas kunder for å stjele forretningshemmeligheter. Visma har gått ut offentlig med informasjonen for å gjøre folk oppmerksomme på denne kampanjen. De mener at angriperne var for kort tid i nettet deres til å ha rukket å hacke seg inn hos noen av kundene. HP, IBM og flere andre leverandører skal være rammet i den samme kampanjen.
Referanser
https://uk.reuters.com/article/us-china-cyber[...]
https://www.recordedfuture.com/apt10-cyberesp[...]

Microsoft slipper råd rundt PrivExchange-svakheten

I det siste har det vært diskusjoner rundt en rettighetseskaleringssvakhet i Microsoft Exchange. Microsoft har laget en guide for hvordan en kan konfigurere systemer til ikke å være sårbare for svakheten.
Referanser
https://portal.msrc.microsoft.com/en-US/secur[...]

Rapport fra Checkpoint viser muligheter for Reverse-RDP angrep

I en rapport fra Checkpoint vises det hvordan svakheter i Remote Desktop Protocol (RDP) kan brukes til å utføre et reverse-RDP angrep, altså at serveren angriper klienten. Rapporten tar for seg de tre RDP-klientene mstsc.exe, FreeRDP og rdesktop. Svakhetene er blitt varslet til FreeRDP, rdesktop and Microsoft på forhånd, og siste versjon av klientene har fikset svakhetene. Dersom en bruker RDP mot en potensielt fiendtlig server, bør en vurdere å slå av deling av clipboard.
Referanser
https://research.checkpoint.com/reverse-rdp-a[...]

Google fikser flere kritiske svakheter i Android

Android Security Bulletin for februar inneholder 42 svakheter hvor 11 er vurdert som å kritiske. Blant dem er det en svakhet som gir en angriper mulighet til å eksekvere kode eksternt ved å sende en spsielt utformet .png bilde-fil. Google har ikke observert at noen av svakhetene har blitt brukt i angrep så langt.
Referanser
https://threatpost.com/google-patches-critica[...]
https://source.android.com/security/bulletin/[...]

Tuesday, 5 February 2019

2019.02.05 - Nyhetsbrev

PST har lagt fram Trusselvurdering 2019. Razzia mot markedsplass for hackede servere, flere pågrepet. Ny Linux-trojaner med bakdør sprer seg: SpeakUp.

PST har lagt fram Trusselvurdering 2019

PST har lagt fra sin trusselvurdering for 2019. De legger stor vekt på fremmede staters nettverksoperasjoner mot Norge: Statlig styrte datanettverksoperasjoner representerer en vedvarende trussel mot norske verdier. Slike operasjoner er billige, effektive og i konstant utvikling, og angriperne finner stadig nye sårbarheter de kan utnytte.
Referanser
https://pst.no/alle-artikler/trusselvurdering[...]

Razzia mot markedsplass for hackede servere, flere pågrepet

FBI og Europol har i samarbeid med myndigheter i Belgia, Nederland, Tyskland, Ukraina og USA tatt ned en nettbasert markedsplass kalt xDedic. Kriminelle har brukt markedsplassen for kjøp og salg av fjernaksess til kompromitterte servere i en årrekke.
Referanser
https://www.digi.no/artikler/razzia-mot-marke[...]

Ny Linux-trojaner med bakdør sprer seg: SpeakUp

CheckPoint har skrevet om en ny Linux-bakdør som sprer seg ved hjelp av en svakhet i ThinkPHP. Svakheten blir brukt til å laste opp en bakdør. Infeksjonen kan spre seg videre både internt i nettet og eksternt ved hjelp av forskjellige verktøy som lastes opp etter infeksjon. Seks forskjellige Linux-distribusjoner samt MacOS kan bli rammet.
Referanser
https://research.checkpoint.com/speakup-a-new[...]

Monday, 4 February 2019

2019.02.04 - Nyhetsbrev

29 Apper i Google Play med ondsinnet innhold. Ny svakhet i protokoll brukt av 5G, 4G og 3G.

29 Apper i Google Play med ondsinnet innhold

Brukere av en mengde apper i Google Play kan bli misbrukt gjennom blant annet videresending til ondsinnede phishing-domener og reklamer med pornografisk innhold. Appene i dagens funn er i kategorien Beauty camera apps. Google har nå slettet appene.
Referanser
https://blog.trendmicro.com/trendlabs-securit[...]

Ny svakhet i protokoll brukt av 5G, 4G og 3G

I følge sikkerhetsforskere er det funnet en svakhet i AKA protokollen, brukt av 5G, 4G og 3G til nøkkelhåndtering for sikker kommunikasjon. Denne svakheten kan bli brukt i nye IMSI-fangere med ny funksjonalitet. Svakheten lar en angriper få vite detaljer om aktivtetene til en mobiltelefon, som antall sendte og mottatte SMS-meldinger og samtaler
Anbefaling
Referanser
https://www.zdnet.com/article/new-security-fl[...]
https://eprint.iacr.org/2018/1175.pdf

Friday, 1 February 2019

2019.02.01 - Nyhetsbrev

FBI og AFOSI ble med i botnet for kartlegging. Facebook fjerner propaganda.

FBI og AFOSI ble med i botnet for kartlegging

Federal Bureau of Investigation (FBI) og Air Force Office of Special Investigations slo seg sammed med Department of Justice (DOJ) og fikk lov til å late som om de var en del av Joanap botnettet for å kunne kartlegge hvilke maskiner som var infisert. Etter å ha vært med i nettet i lengre tid har de funnet flere maskiner som i USA som er infisert. Eierne av disse maskinene har blitt kontaktet via deres ISP, eller blitt personlig kontaktet av DOJ om de ikke var bak en brannmur eller ruter. Nord-Korea mistenkes for å stå bak botnettet.
Referanser
https://arstechnica.com/information-technolog[...]

Facebook fjerner propaganda

Facebook har nå fjernet 262 sider, 356 kontoer og 3 grupper på Facebook, samt 162 kontoer på Instagram for "coordinated inauthentic behavior" forbundet med Iran. Sidene og kontene benyttet flere språk og hadde forskjellige land som mål. Administratorene for sidene ga seg ofte ut for å være lokale i forhold til stedet de prøvde å spre informasjonen i. Noe av aktiviteten som ble stoppet har holdt på siden 2010.
Referanser
https://medium.com/dfrlab/trolltracker-outwar[...]
https://newsroom.fb.com/news/2019/01/removing[...]