2019.07.31 - Nyhetsbrev

WannaCry sinkhole-eier slipper unna mer fengselstid.

WannaCry sinkhole-eier slipper unna mer fengselstid

WannaCry er kjent som ett av de største Ransomware-angrepene i historien, men kunne ha blitt mye større. Marcus Hutchins fikk i 2017 mye av æren for å ha satt en stopper for spredningen da han opprettet et sinkhole for et domene som lå hardkodet i skadevaren. Skadevaren var programmert til å stoppe opp dersom det fikk kontakt med domenet. Senere det samme året ble Hutchins arrestert av FBI grunnet mistanke om at han hadde produsert og distribuert bank-trojaneren Kronos, samt et annet malware-verktøy kjent som UPAS Kit. I april 2019 erklært han seg skyldig i anklagene. 25-åringen slipper likevel fengselstid utover det han har sonet, ettersom dommeren i saken, Joseph Peter Stadtmueller, la vekt på at Hutchins rolle i å stoppe spredningen av WannaCry har hatt mye større effekt en de to skadevarene han har skrevet og distribuert.
Referanser
https://krebsonsecurity.com/2019/07/no-jail-t[...]

2019.07.30 - Nyhetsbrev

NAS-enheter infisert med Ransomware. En person arrestert i forbindelse med Capital One sikkerhetsbrudd. Ny Android ransomware spres via SMS. Kritiske sårbarheter avdekket i IPnet-stacken til VxWorks.

NAS-enheter infisert med Ransomware

Synology, en produsent av NAS enheter, oppfordrer nå sine kunder til å ta en gjennomgang av sikkerhetsinnstillingene på sine enheter. Oppfordringen kommer som en reaksjon på en ny bølge med Ransomware som er spesifikt rettet mot NAS-enheter. Det ble først mistenkt at angriperne benyttet en ukjent svakhet i enhetene, men det har i ettertid vist seg å ha blitt benyttet en langt enklere angrepsmetode. Angriperne scanner etter tilgjengelige enheter på internett og forsøker å få tilgang ved å bruke vanlige brukernavn- og passordkombinasjoner. Dersom de får tilgang, krypterer de filene og legger igjen en fil som forklarer hvordan ofrene kan utbetale løsepenger for å dekryptere innholdet. Denne typen angrep ble også utført tidligere i juli da ransomwaren eCh0raix infiserte NAS-enheter produsert av QNAP.
Referanser
https://nakedsecurity.sophos.com/2019/07/29/n[...]

En person arrestert i forbindelse med Capital One sikkerhetsbrudd

En kvinne i 30-årene er arrestert i forbindelse med et sikkerhetsbrudd hos bankselskapet Capital One. Kvinnen, som tidligere arbeidet for en av cloud hosting leverandørene til Capital One, samlet og lekket informasjon om mer enn 100 millioner amerikanske-, samt 6 millioner kanadiske kunder. Informasjonen som ble lekket inkluderer blant annet personnummere, navn, addresser, og saldoer. Direktøren i Capital One understreker at ingen kontonummere eller innloggingsdetaljer har blitt lekket. Det anslås at sikkerhetsbruddet kommer til å koste selskapet mellom 100 og 150 millioner amerikanske dollar.
Referanser
http://press.capitalone.com/phoenix.zhtml?c=2[...] https://edition.cnn.com/2019/07/29/business/c[...] https://www.theregister.co.uk/2019/07/30/capi[...]

Ny Android ransomware spres via SMS

En ny ransomwaren kalt "Android/Filecoder.C" spres ved å sende SMS med en ondsinnet link til offerets kontaktliste. Den opprinnelige infeksjonen skjer gjennom porno-relaterte nettsider. Dersom kontaktene installerer malwaren, blir filene på enheten kryptert. På grunn av en svakhet i krypteringen kan filene foreløpig bli dekryptert uten å måtte betale angriperene. Malwaren finnes ikke i Google Play-butikken, så den må installeres ved å tillate installasjon fra ukjente kilder.
Referanser
https://www.welivesecurity.com/2019/07/29/and[...]

Kritiske sårbarheter avdekket i IPnet-stacken til VxWorks

Sikkerhetsetterforskere har avdekket 11 sårbarheter i VxWorks, et sanntidsoperativsystem utviklet av Wind River. Sårbarhetene, som går under samlebetegnelsen Urgent11, kan føre til eksekvering av vilkårlig kode og det antas at rundt 200 millioner enheter er sårbare. Wind River har allerede gitt ut oppdateringer som forhindrer utnyttelse og anbefaler på det sterkeste å oppdatere til nyeste versjon. Sårbarhetene påvirker ikke kun Wind River software, ettersom de ligger i IPnet-stacken. Denne ble kjøpt av Interpeak i 2006 og har før dette blitt distribuert og benyttet på en rekke andre sanntidsoperativsystemer. Til nå har man ikke funnet noe som tyder på at sårbarhetene har blitt utnyttet i angrep.
Anbefaling
Oppdater til nyeste versjon.
Referanser
https://www.zdnet.com/article/urgent11-securi[...] https://it.slashdot.org/story/19/07/29/2059248

2019.07.29 - Nyhetsbrev

Norsk politi mener å ha avslørt storsvindlere fra Nigeria. No More Ransom har estimert forhindret utbetalinger tilsvarende $108 millioner.

Norsk politi mener å ha avslørt storsvindlere fra Nigeria

2. juli i fjor, fikk administrasjonssjefen hos Regjeringsadvokaten en epost som utga seg for å komme fra Fredrik Sejersted. Etter et år med etterforskning har nigeriansk politi pågrepet én mann, og tre andre er etterlyste basert på informasjon fra Oslo-politiet.
Referanser
https://www.aftenposten.no/norge/i/zGVpkw/Nor[...]

No More Ransom har estimert forhindret utbetalinger tilsvarende $108 millioner

Europol estimerer at prosjektet, som ble starter for tre år siden, har forhindret utbetalinger tilsvarende $108 millioner. Prosjektet har totalt 82 verktøy som kan brukes til å dekryptere 109 forskjellige typer ransomware.
Referanser
https://www.zdnet.com/article/no-more-ransom-[...]

2019.07.26 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

2019.07.25 - Nyhetsbrev

Avansert mobilovervåkningsverktøy laget i Russland.

Avansert mobilovervåkningsverktøy laget i Russland

Forskere har oppdaget et av de mest avanserte og fullverdige mobile overvåkningsverktøy som noen gang er oppdaget. Det heter Monokle, og er sett brukt helt siden mars 2016. Monokle gjemmer seg bak en veldig liten mengde Android apper, en indikasjon på at overvåkningsverktøyet brukes i svært målrettede angrep.
Referanser
https://arstechnica.com/information-technolog[...]

2019.07.24 - Nyhetsbrev

Apple slipper flere sikkerhetsoppdateringer. Sikkerhetshull i flere WordPress-tillegg brukt i Malwarekampanjer og Phishing. To svakheter funnet i MikroTiks RouterOS.

Sikkerhetshull i flere WordPress-tillegg brukt i Malwarekampanjer og Phishing

En ondsinnet reklamekampanje utnytter flere nylig avslørte sårbarheter i WordPress-tillegg for å omdirigere besøkende på nettstedet til infiserte sider eller phishing forsøk.
Referanser
https://threatpost.com/wordpress-plugin-flaws[...]

Apple slipper flere sikkerhetsoppdateringer

Apple har gitt ut sikkerhetsoppdateringer for å adressere sårbarheter i flere produkter. En ekstern angriper kan utnytte noen av disse sikkerhetsproblemene for å ta kontroll over et berørt system.
Anbefaling
Anbefaler å oppdatere
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

To svakheter funnet i MikroTiks RouterOS

RouterOS er operativsystemet som brukes på MikroTiks enheter, for eksempel switcher, rutere og tilgangspunkter. Det er funnet to svakheter i MikroTiks RouterOS, og en fikset versjon er nå tilgjengelig.
Anbefaling
Oppgrader til RouterOS versjoner 6.44.5 (Langvarig utgivelsestre), 6.45.1 (Stabilt utgivelsestre). https://github.com/tenable/routeros
Referanser
https://mikrotik.com/download/changelogs/long[...]

2019.07.23 - Nyhetsbrev

Apper for lån gir ut lokasjonsdata. Kritisk RCE svakhet i Palo Alto Gateways.

Apper for lån gir ut lokasjonsdata.

Et team med sikkerhetsforskere hos Safety Detective oppdaget en massiv database som inneholdt sensitiv data, inkluderende real-time lokasjonsdata, som var lett tilgjengelig på en usikret server. Databasen, som i senere tid er blitt sikret, inneholdt rett under 900 GB med personlig data som tilhørte millioner av kinesiske borgere.
Referanser
https://www.forbes.com/sites/ajdellinger/2019[...]

Kritisk RCE svakhet i Palo Alto Gateways.

En RCE svakhet er blitt oppdaget i GlobalProtect portal og GlobalProtect Gateway interface, som produseres av Palo Alto Networks. Svakheten gir uautoriserte angripere muligheten til å eksternt eksekvere kode på systemene. Nyere versjoner har fikset denne svakheten.
Anbefaling
Anbefaler å oppdatere til nyeste versjon.
Referanser
https://threatpost.com/critical-rce-flaw-palo[...]

2019.07.22 - Nyhetsbrev

Office 365 blir forbudt ved enkelte tyske skoler. Qualcomm bøtelagt 2,3 milliarder av EU. Russiske FSB hacket.

Office 365 blir forbudt ved enkelte tyske skoler

I forrige uke ble det klart at skolene i delstaten Hesse i Tyskland vil forby bruk av Office 365 i skolen. Microsoft har i en tid samarbeidet med Deutsche Telekom og opprettholdt det som har fått navnet "Microsoft Cloud Germany data trustee model". Denne modellen spesifiserer blant annet at brukerkontoer eksklusivt skal lagres på Microsoft sine tyske servere. Etter at dette partnerskapet tok slutt ble kontoene migrert over til europeiske servere. Den Hessiske kommisjonæren for databeskyttelse og informasjonsfrihet (HBDI) sier at dette kan medføre at amerikanske statsmakter får tilgang til informasjonen uten at den tyske regjeringen blir gjort klar over det. Han reagerer også på datainnsamlingen. De har ikke fått svar på hvilke data som samles inn på tross av gjentatte forespørsler og det er heller ikke mulig å deaktivere den, verken for sluttbrukere selv eller organisasjoner. Kommisjonæren understreker likevel at sky-tjenestene til Apple og Google heller ikke tilfredstiller de tyske personvernsreglene for bruk i skolesystemet.
Referanser
https://arstechnica.com/information-technolog[...]

Qualcomm bøtelagt 2,3 milliarder av EU

Selskapet Qualcomm som jobber med mobilkommunikasjonsutvikling og forskning har blitt bøtelagt 2,3 milliarder norske kroner av Europakommisjonen. Boten tilsvarer 1.27 prosent av salgsinntektene selskapet hadde i 2018. Årsaken til boten ligger i at selskapet misbrukte sin posisjon mellom 2009 og 2011 til å motarbeide Icera, et underselskap av Nvidia. Europakommisjonen har funnet bevis på at Qualcomm solgte brikkene sine til Huawei og ZTE til langt under markedspris.
Referanser
https://itavisen.no/2019/07/18/qualcomm-far-b[...]

Russiske FSB hacket

FSB, en føderal sikkerhetstjeneste i Russland, har blitt hacket av en gruppe kalt 0v1ru$. Hemmelige prosjekter som ble utviklet for etterretningstjenesten ble lekket til russisk media som et resultat av dette. Russiske BBC beskriver hendelsen som muligens "det største databruddet i historien av russiske etterretningstjenester."
Referanser
https://www.forbes.com/sites/zakdoffman/2019/[...] https://www.bleepingcomputer.com/news/securit[...]

2019.07.19 - Nyhetsbrev

Mistenkt arrestert i forbindelse med Rubella Macro Builder. Brukerinformasjon fra tidligere angrep på Slack har blitt solgt. Nettleser utvidelser sender potensielt sensitiv informasjon til tredjepart.

Nettleser utvidelser sender potensielt sensitiv informasjon til tredjepart

Flere Chrome og Firefox utvidelser har videresendt lenker til markedsføringsfirmaet Nacho Analytics, disse lenkene kan ha ledet til privat informasjon. Hvis disse var offentlig tilgjengelig kunne andre ha fått tilgang på denne informasjonen. Følgende utvidelser er pekt ut: Fairshare Unlock, SpeakIt!, Hover Zoom, PanelMeasurement, Super Zoom, SaveFrom.net Helper, Branded Surveys, Panel Community Surveys Flere av utvidelsene har blitt blokkert og fjernet i både Chrome og Firefox, men det anbefales å bekrefte at disse er fjernet.
Referanser
https://arstechnica.com/information-technolog[...]

Mistenkt arrestert i forbindelse med Rubella Macro Builder

Skadelige vedlegg i eposter er et økede problem og disse kommer ofte forkledd som påminnelser for manglende betaling, viktige dokumenter fra overordnede eller lignende. Dokumentene inneholder skadelig kode som kjøres automatisk ved åpning. Ved infeksjon lastes det ned annen malware som fører til videre spredning og infeksjon. Rubella Macro Builder er et verktøy som brukes for å opprette skadelige Word og Excel dokumenter i forbindelse med slike angrep og 16. Juni arresterte Dutch National High-Tech Crime Unit (NHTCU) en person som er mistenkt for å ha laget og solgt programvaren. Den 20 år gamle mannen ble arrestert i byen Utrecht i Nederland.
Referanser
https://securingtomorrow.mcafee.com/other-blo[...] https://www.om.nl/@106323/man-from-utrecht

Brukerinformasjon fra tidligere angrep på Slack har blitt solgt

I 2015 klarte hackere å skaffe seg tilgang til deler av Slack sin infrastruktur, deriblant en database som lagret profilinformasjon og krypterte passord. Etter at de hadde skaffet seg tilgang la hackerne inn kode som sørget for å plukke opp brukernavn og passord i klartekst etter hvert som nye kontoer ble opprettet. På tirsdag tilbakestilte Slack passordene til ca. 1 prosent av sine 10 millioner aktive brukere etter at det ble oppdaget at noe av brukerinformasjonen fra angrepet nå lå ute til salg på nettet. Slack har gitt ut en uttalelse angående hendelsen på sine egne nettsider. Det er kun kontoer som er opprettet før Mars 2015 som har blitt påvirket av angrepet.
Referanser
https://www.theregister.co.uk/2019/07/19/2015[...] https://slackhq.com/new-information-2015-incident

2019.07.18 - Nyhetsbrev

Sikkerhetsoppdateringer til Cisco Produkter. Svakhet avdekket i NAS-enheter fra Lenovo. Svakhet oppdaget i enkelte implementasjoner av Bluetooth LE.

Svakhet oppdaget i enkelte implementasjoner av Bluetooth LE

En svakhet har blitt oppdaget i måten Bluetooth Low Energy er implementert på enkelte enheter. Svakheten påvirker blant annet en rekke enheter som kjører Windows 10, iOS og macOS. Tidligere versjoner av Bluetooth benyttet MAC-adresser for å utføre kommunikasjon. Det er problematisk ettersom MAC-adresser i utgangspunktet aldri endrer seg. For å løse dette problemet bruker Bluetooth LE tilfeldige adresser når det skal kommunisere. Likevel bruker også mange av dem det som kalles for Dynamic Identifying Tokens (DIT) for å utføre autentisering. Svakheten ligger i at en DIT ikke oppdateres synkront med den tilfeldige addressen. Forskerne klarte å utnytte dette til å forutse hva den neste "tilfeldige" adressen kom til å bli og var dermed i stand til å følge enheten selv om den byttet adresse. Svakheten kan i værste fall føre til global sporing av påvirkede enheter.
Referanser
https://threatpost.com/bluetooth-flaws-global[...]

Svakhet avdekket i NAS-enheter fra Lenovo

Det har blitt avdekket en kritisk sårbarhet relatert til den interne programvaren i en rekke NAS enheter produsert av Lenovo. Sårbarheten utnytter enheten sitt Application Programming Interface (API) for å liste ut og laste ned filer fra enheten. Lenovo anser sårbarheten som kritisk ettersom APIen ikke krever noen form for autentisering. For å utnytte sårbarheten må angriperne kun ha tilgang til enheten sin IP adresse. Dersom enheten ikke er åpen mot internett må også angriperne befinne seg på samme nettverk som den. Det anslås at minst 5 000 enheter er påvirket av svakheten og at rundt 3 millioner filer derfor er sårbare. Lenovo anbefaler på det sterkeste å oppdatere til nyeste firmware som fjerner sårbarheten.
Anbefaling
Ikke la NAS-enheter stå åpen mot internett med mindre det er nødvendig. Installer nyeste firmware.
Referanser
https://www.darkreading.com/vulnerabilities--[...] https://support.lenovo.com/no/en/product_secu[...]

Sikkerhetsoppdateringer til Cisco Produkter

Cisco har gitt ut sikkerhetsoppdateringer som fjerner svakheter i flere av produktene sine. Eksterne angripere kunne bruke enkelte av disse svakhetene til å ta kontroll over systemer. Én av svakhetene anses som kritisk, som er den høyeste mulige klassifiseringen. Vi anbefaler å oppdatere til nyeste versjon.
Anbefaling
Oppdater til nyeste versjon.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

2019.07.17 - Nyhetsbrev

Hackere stjal opplysninger fra Bulgarske skattemyndigheter. Sikkerhetsoppdatering til Powershell Core. GandCrab mistenkes å stå bak Sodin Ransomware. Symantec Mobil Trussel: Angripere kan manipulere dine Whatsapp og Telegram Media filer (Medium).

Hackere stjal opplysninger fra Bulgarske skattemyndigheter

Nyhetsbyrået Reuters informerer om at hackere skal ha stjålet finansielle data om 5 millioner bulgarske innbyggere. Det tilsvarer ca. 70 prosent av den totale befolkningen. Angrepet, som ble utført i Juni, ser ut til å være av russisk opphav og anses som Bulgarias største hackerangrep noensinne. Til nå har hackerne lekket 11 GB med data, men hevder at de har stjålet 21 GB og at det vil komme mer senere. Totalt skal 110 databaser tilhørende de Bulgarske skattemyndighetene ha blitt kompromittert i angrepet. Den lekkede informasjonen inneholder blant annet personnummer, samt opplysninger om inntekter og helseforsikringer for innbyggerne.
Referanser
https://itavisen.no/2019/07/16/hacket-bulgari[...] https://thenextweb.com/security/2019/07/16/bu[...]

Sikkerhetsoppdatering til Powershell Core

Microsoft har gitt ut en sikkerhetsoppdatering til PowerShell Core versjon 6.1 og 6.2. Denne oppdateringen fjerner en svakhet som kunne utnyttes til å ta kontroll over systemet. Vi anbefaler å oppdatere til nyeste versjon.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

GandCrab mistenkes å stå bak Sodin Ransomware

I begynnelsen av Juni annonserte utviklerene av GandCrab at de skulle gå av med pensjon. De skal angivelig ha tjent rundt 2 milliarder amerikanske dollar på utbetalinger fra offere av løsepengeviruset. Likevel oppdaget etterforskere ved Cisco Talos i slutten av April en ny form for ransomware som har fått navnet Sodinokibi. Denne skal visstnok være svært lik GandCrab, men mer eksklusiv og de mistenker derfor at det er de samme aktørene som står bak begge. Det kan derfor virke som utviklerne bak GandCrab ikke har pensjonert seg, men heller opererer under et nytt merkenavn.
Referanser
https://nakedsecurity.sophos.com/2019/07/16/g[...] https://krebsonsecurity.com/2019/07/whos-behi[...] https://krebsonsecurity.com/2019/07/is-revil-[...]

Symantec Mobil Trussel: Angripere kan manipulere dine Whatsapp og Telegram Media filer

Mediefiler i Whatsapp og Telegram kan bli manipulert av angripere ifølge ny studie utført av Symantec sikkerhetsteam. De kan utnytte tidsperioden det tar fra mediefiler blir skrevet til disken, til mediefilene er blitt lastet opp i appens chat-UI. I dette tidsrommet kan angripere misbruke og manipulere disse filene uten at brukeren legger merke til det.
Anbefaling
Det anbefales å ikke sende sensitiv informasjon over disse to appene.
Referanser
https://www.symantec.com/blogs/expert-perspec[...]

2019.07.16 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

2019.07.15 - Nyhetsbrev

Svakhet funnet i eldre versjoner av JIRA Server og Data Center systemer.

Svakhet funnet i eldre versjoner av JIRA Server og Data Center systemer.

Det er blitt funnet en svakhet i JIRA Server og Data Center systemer. Denne svakheten fører til at andre kan kjøre ekstern kode på serverene. JIRA kategoriserer denne svakheten som kritisk, som er den høyeste klassifiseringen de opererer med. Liste over utsatte versjoner finner du i referanselinken. Det samme gjelder versjoner hvor denne svakheten er fikset. JIRA anbefaler på det sterkeste å oppdatere til en versjon som har fikset denne svakheten.
Anbefaling
Oppdatere til en versjon som har fikset denne svakheten.
Referanser
https://confluence.atlassian.com/jira/jira-se[...]

2019.07.12 - Nyhetsbrev

Juniper har oppdatert flere av sine produkter. Windows Zero-Day Exploit utnyttet av hackergruppen Buhtrap. Oppstartsproblemer for Windows 10 Server i forbindelse med Juli-oppdateringer. Sårbarhet i Apple Watch medførte risiko for tyvlytting.

Juniper har oppdatert flere av sine produkter

Juniper har sluppet sikkerhetsoppdateringer for en rekke av deres produkter. Mange av feilene ligger i Junos og gjelder flere produkter. Følg linken for detaljer.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

Windows Zero-Day Exploit utnyttet av hackergruppen Buhtrap

IT-sikkerhetsfirmaet ESET rapporterer at Zero-Day exploiten som ble detaljert i CVE-2019-1132 nylig har blitt utnyttet av hackergruppen Buhtrap for å utføre cyber-spionasje. Det ble publisert sikkerhetsoppdateringer for denne sårbarheten på for kort tid siden 9. Juli under Microsofts planlagte patchetirsdag. Gruppen Buhtrap er kjent for sine angrep mot finansinstitusjoner og har vært aktive siden 2014. De har blant annet tidligere utført angrep mot en rekke russiske banker og det antas at gruppen mellom August 2015 og Februar 2016 tjente rundt 1.8 millioner russiske rubler på disse angrepene. Det tilsvarer ca. 244 millioner norske kroner.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.zdnet.com/article/recent-windows-[...]

Oppstartsproblemer for Windows 10 Server i forbindelse med Juli-oppdateringer

Flere versjoner av Windows 10 Server er påvirket av et problem som ble introdusert i KB4503293, KB4503327 og KB4503286. Disse oppdateringene ble sluppet onsdag 11. Juli. Problemet gjør at maskiner som bruker Preboot Execution Environment (PXE) images fra System Center Configuration Manager (SCCM) eller Deployment Services (WDS) servere ikke klarer å starte. Microsoft uttaler at de jobber aktivt å løse problemet og at dette vil komme snarlig i en oppdatering. I mellomtiden kan man utføre noen steg for å omgå problemet, se siste avsnitt i vedlagt referanse for disse.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Sårbarhet i Apple Watch medførte risiko for tyvlytting

En nylig oppdaget svakhet i Apple Watch gjorde det mulig å lytte til en tilknyttet iPhone uten å måtte be om tillatelse fra sluttbrukeren. Feilen lå i applikasjonen Walkie Talkie som er tilgjengelig for alle Apple Watch Series 1 eller høyere med watchOS 5. Sårbarheten ble publisert på en side Apple har satt opp der brukere selv kan rapportere eventuelle sikkerhets- eller personvernssårbarheter de kommer over. Applikasjonen er midlertidig deaktivert frem til de får publisert en oppdatering.
Anbefaling
Vent på nyeste oppdatering.
Referanser
https://arstechnica.com/information-technolog[...]

2019.07.11 - Nyhetsbrev

25 Millioner Android enheter infisert med Agent Smith. Nye sårbarheter i Logitech Unifying-dongler. Ransomware angrep rettet mot QNAP NAS enheter.

25 Millioner Android enheter infisert med Agent Smith

Rundt 25 millioner Android enheter er infisert med skadevaren som har fått navnet "Agent Smith". Dette er en form for skadevare som setter inn skadelig kode i legitime applikasjoner som allerede er installert på enheten. Klienter infiseres ved at de laster ned en ondsinnet applikasjon som ser tilsynelatende ufarlig ut. Blant annet har den til nå maskert seg som Google og Google Updater. Når brukere laster ned en slik applikasjon søker først Agent Smith etter andre applikasjoner som er installert på enheten ut i fra en hard-kodet liste. Ved treff sørger den for å legge inn en annonse-modul i disse applikasjonene slik at den kan vise annonser og tjene penger på dette, installasjonsprosessen er helt usynlig for sluttbrukeren.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Nye sårbarheter i Logitech Unifying-dongler

Det er funnet flere sårbarheter i Unifying-donglene fra Logitech. Sårbarhetene kan brukes til å avlytte tastetrykk og sende egne tastaturkommandoer til maskinene som har dongelen tilkoblet. Det kreves imidlertid at en er fysisk nær dongelen for å kunne utføre avlyttinger og angrep. Alle USB-donglene som er rammet har en oransje stjerne printet på siden. Logitech jobber med å patche deler av sårbarhetene for øyeblikket.
Referanser
https://www.digi.no/artikler/har-du-tradlost-[...]

Ransomware angrep rettet mot QNAP NAS enheter

En ny form for ransomware som har fått navnet eCh0raix krypterer nå innhold på NAS enheter produsert av QNAP. eCh0raix søker etter QNAP NAS enheter som er åpne mot internett og forsøker så å bruteforce påloggingen. Dersom den lykkes krypterer den filene og legger igjen en lenke til en TOR-nettside hvor brukeren kan betale en sum i form av bitcoin for å dekryptere dem. NAS enheter utgjør et mål ettersom de i mange tilfeller lagrer kritiske data som backup o.l, men likevel har manglende sikkerhet. For å unngå denne typen angrep kan man hindre muligheten for å koble seg til NASen utenfra det lokale nettverket, samt å installere alle oppdateringer og benytte sterke innloggingsdetaljer.
Referanser
https://www.zdnet.com/article/this-new-ransom[...]

2019.07.10 - Nyhetsbrev

Microsoft patcher kritiske sårbarheter. Cisco Talos melder om indikasjoner på gruppen bak innbruddet hos ICS-Forth i April. Intel publiserer oppdatering for sårbarhet i diagnostisk verktøy. Bakdør oppdaget i passordbibliotek for Ruby. Sikkerhetsoppdateringer fra Adobe.

Microsoft patcher kritiske sårbarheter

Microsoft har i sin månedlige sikkerhetoppdatering patchet 77 sårbarheter, hvorav 15 anses som kritiske. Flere av disse sårbarhetene kan utnyttes til å eksekvere vilkårlig kode, samt å ta kontroll over brukere og systemer. Oppdateringen patcher også to zero-day sårbarheter som allerede har blitt utnyttet. Disse sårbarhetene førte til lokal rettighetseskalering slik at angripere kunne utføre priviligerte handlinger på et infisert system. Vi anbefaler alle å installere de nyeste sikkerhetsoppdateringene.
Referanser
https://www.zdnet.com/article/microsoft-july-[...] https://portal.msrc.microsoft.com/en-us/secur[...]

Cisco Talos melder om indikasjoner på gruppen bak innbruddet hos ICS-Forth i April

ICS-Forth meldte i April at de hadde hatt innbrudd i sin infrastruktur for håndtering av .gr og .el toppnivå-domener. Cisco Talos peker nå på at det er indikasjon på at det er Sea Turtle gruppen som står bak.
Referanser
https://www.zdnet.com/article/hackers-breache[...] https://blog.talosintelligence.com/2019/07/se[...]

Intel publiserer oppdatering for sårbarhet i diagnostisk verktøy

Intel publiserte i dag sikkerhetsoppdateringer til et verktøy som brukes for å identifisere CPU-problemer. Sårbarheten kunne føre til Denial of Service (DoS) og lokal rettighetseskalering. For å utnytte sårbarheten måtte angripere ha lokal tilgang til maskinen.
Referanser
https://threatpost.com/intel-patches-high-sev[...]

Bakdør oppdaget i passordbibliotek for Ruby

En kritisk bakdør har blitt oppdaget i passordbiblioteket strong_password for Ruby on Rails. Biblioteket brukes av web-applikasjoner for å måle styrken på passord. Bakdøren ble introdusert i versjon 0.0.7 og gjorde at program som kjørte i produksjonsmodus hentet ned og eksekverte skadelig kode fra en Pastebin. Bakdøren lot angriperne utføre eksekvering av vilkårlig kode på infiserte systemer. Biblioteket har nå lansert versjon 0.0.8 som fjerner bakdøren.
Referanser
https://nakedsecurity.sophos.com/2019/07/09/b[...]

Sikkerhetsoppdateringer fra Adobe

Adobe har publisert sikkerhetsoppdateringer som fikser kritiske sårbarheter i Adobe Flash Player, Adobe Campaign Callsic, Adobe ColdFusion, Adobe Media Encoder, Adobe Acrobat og Adobe Acrobat Reader. Vi anbefaler å oppdatere til nyeste versjon.
Referanser
https://helpx.adobe.com/security.html

CVE-2019-0785 Windows DHCP Client Sårbarhet

Microsoft har publisert en patch som fikser en minnekorrupsjonsfeil i Windows Server sin DHCP service som kunne oppstå dersom den var satt til failover mode. Angripere kunne utnytte denne feilen for å eksekvere vilkårlig kode på DHCP serveren eller for å fryse tjenesten.
Anbefaling
Installer de nyeste sikkerhetsoppdateringene
Referanser
https://portal.msrc.microsoft.com/en-US/secur[...]

CVE-2019-1132 Sårbarhet i Win32k utnyttet av russiske hackere

Microsoft har publisert sikkerhetsoppdateringer for en zero-day svakhet i Win32k komponenten. Det har blitt oppdaget at sårbarheten, som kan føre til lokal rettighetseskalering, allerede har blitt utnyttet av russiske hackere med tilgang til statlige midler. ESET forteller at de kommer til å gi ut en bloggpost i løpet av 10. Juni med informasjon om angrepet og sårbarheten.
Anbefaling
Installer de nyeste sikkerhetsoppdateringene.
Referanser
https://www.zdnet.com/article/microsoft-july-[...]

2019.07.09 - Nyhetsbrev

Microsoft gir informasjon om Astaroth. Svakhet i Mac Zoom klienten gir tilgang til kamera. Svakhet i Wordpress utvidelse.

Microsoft gir informasjon om Astaroth

Microsoft har nylig gitt ut informasjon om Astaroth, en form for malware som stjeler informasjon fra infiserte klienter. Skadevaren ble først oppdaget i 2017 og sprer seg gjennom skadelige epost-vedlegg. Microsoft oppdaget trusselen da de la merke til en betydelig oppgang i bruk av Windows Management Instrumentation Command-Line Tool (WMIC). Signatur-baserte antivirus-løsninger sliter med å fange denne typen skadevare, ettersom den ikke installerer filer på den infiserte klienten, men heller benytter seg av skadelige DLL-filer. Andrea Lelli fra Microsoft Defender APT sitt forskningsteam melder dog at denne typen filløs Malware er enkel å oppdage dersom man vet hva man ser etter.
Referanser
https://www.theregister.co.uk/2019/07/08/micr[...]

Svakhet i Mac Zoom klienten gir tilgang til kamera

En svakhet i Zoom klienten kan la malisiøse nettsider aktivere Mac kamera uten å be om samtykke fra bruker. Svakheten utnytter en lokal webtjener gjennom Zoom applikasjonen. Proof of Concept er tilgjengelig for sårbarheten.
Referanser
https://www.theverge.com/2019/7/8/20687014/zo[...] https://medium.com/@jonathan.leitschuh/zoom-z[...]

Svakhet i Wordpress utvidelse

En svakhet i utvidelsen, WordPress Like Button 1.6.0, gjør det mulig for angripere å endre innstillingene til utvidelsen uten å ha tilstrekkelig autorisasjon. Utvidelsen benyttes for å legge til en knapp som lar brukere like en facebook-side uten å forlate nettstedet. PacketStorm har utgitt en Proof of Concept (PoC) som endrer hvilken side som mottar liker-klikkene ved å sende en generisk request. Det har til nå ikke blitt utgitt noen oppdatering som fjerner svakheten. Utvidelsen har blitt lastet ned 129 000 ganger.
Anbefaling
Benytt en annen utvidelse frem til det blir utgitt en oppdatering.
Referanser
https://packetstormsecurity.com/files/153541/[...]

2019.07.08 - Nyhetsbrev

British Airways har fått milliardbot. Privatbruk med jobbtelefonen kan gi arbeidsgiver trøbbel.

British Airways har fått milliardbot

Etter at informasjon om nærmere 380 000 kunder har blitt stjålet i perioden 6. september til 25. oktober 2018, har British Airways mottatt en bot på nærmere to milliarder kroner. Datatilsynet melder at også nordmenn kan være berørt.
Referanser
https://www.nrk.no/urix/milliardbot-til-briti[...]

Privatbruk med jobbtelefonen kan gi arbeidsgiver trøbbel

Bedrifter er utsatt for at ansatte kan ha med seg ondsinnet programvare gjennom jobbtelefonen når de kommer tilbake fra ferie. USB-lading på offentlige steder, mobilapplikasjoner, usikre lokale nettverk og ondsinnede e-poster er eksempler på faremomenter man skal være forsiktig med. Datatilsynet sier at det er viktig at virksomheter med jobbmobil også har rutiner for hva den som har jobbmobil har lov til og ikke, samt kommunisere dette til dem som er på ferie.
Referanser
https://e24.no/privat/reise/eksperter-privatb[...]

2019.07.05 - Nyhetsbrev

Ny malware misbruker ny DNS over HTTPS protokoll.

Ny malware misbruker ny DoH protokoll

Godlua, en Linux DDoS bot, er den første observerte malware-typen som bruker DoH (DNS over HTTPS) for å skjule sin DNS-trafikk. Godlua retter seg mot Linux-servere, og angriperne bruker en Confluence exploit (CVE-2019-3396) for å infisere utdaterte systemer. Malwaren virker som en DDoS-bot, og det har allerede blitt observert at den har blitt brukt i angrep.
Referanser
https://www.zdnet.com/article/first-ever-malw[...]

2019.07.04 - Nyhetsbrev

Google fikser 3 kritiske RCE feil. Cisco lanserer sikkerhetsoppdateringer for flere produkter.

Google fikser 3 kritiske RCE feil

Google har utgitt korrigeringer for tre kritiske RCE (remote code execution) bugs i Android. Disse feilene kan tillate en ekstern angriper å eksekvere vilkårlig kode. Feilene er en del av Googles Android Security Bulletin for juli, som inkluderte korrigeringer for 12 kritiske sårbarheter. Qualcomm leverer brikkesett som brukes i Android-enheter, og de skal ifølge bulletinen ha korrigert 21 sårbarheter.
Referanser
https://source.android.com/security/bulletin/[...] https://threatpost.com/google-july-android-se[...]

Cisco lanserer sikkerhetsoppdateringer for flere produkter

Cisco har gitt ut sikkerhetsoppdateringer for å løse sårbarheter i flere Cisco-produkter, blant annet flere serier med switcher. En angriper kan utnytte noen av disse sikkerhetsproblemene for å ta kontroll over et berørt system.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

2019.07.03 - Nyhetsbrev

VMware lanserer sikkerhetsrådgivning for flere produkter. Nytt Mac-virus kamuflerer seg som en Adobe Flash Player installer.

VMware lanserer sikkerhetsrådgivning for flere produkter

VMware har gitt ut en sikkerhetsrådgivende løsning for å takle sårbarheter som påvirker flere produkter. En angriper kan utnytte disse sikkerhetsproblemene for å forårsake tjenestenekt. Sikkerhetsbyrået Cybersecurity and Infrastructure (CISA) oppfordrer brukere og administratorer til å gjennomgå VMware Security Advisory VMSA-2019-0009 og bruke mitigeringer eller oppdateringer når de er tilgjengelig.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

Nytt Mac-virus kamuflerer seg som en Adobe Flash Player installer.

Det er et nytt Mac-virus som kamuflerer seg som en Adobe Flash Player installer. Den installerer skadelige applikasjoner og browserextensions på offerets system.
Referanser
https://threatpost.com/mac-malware-pushed-via[...]

2019.07.02 - Nyhetsbrev

Enda en by i Florida er blitt rammet av ransomware. Makter i vest hacket seg inn i Russlands versjon av Google, Yandex.

Enda en by i Florida er blitt rammet av ransomware.

Key Biscayne er blitt rammet av ransomwaren kalt Ryuk. Det skjedde ved at en ansatt klikket på et vedlegg i en email som utløste viruset. Dette er den tredje byen som blir rammet i Florida.
Referanser
https://arstechnica.com/information-technolog[...]

Makter i vest hacket seg inn i Russlands versjon av Google, Yandex.

De satte ut et virus i et forsøk på å spionere på brukere, ifølge fire personer med tilknytning til saken. Viruset heter Regin og er kjent for å bli brukt av USA, Storbritannia, Australia, New Zealand og Canada. Dette nekter de å kommentere.
Referanser
https://www.reuters.com/article/us-usa-cyber-[...]