2019.08.30 - Nyhetsbrev

Tusenvis av iOS-enheter hacket etter besøk på nettsider

Google Project Zero skriver om en serie med iOS 0-dags svakheter funnet på en rekke kompromitterte nettsider. Nettstedene brukte fem forskjellige sårbarhets-kjeder satt sammen fra 14 svakheter for å kompromittere telefonene uten at brukeren merket noe. Tusenvis av enheter fikk installert overvåkingsprogramvare over en periode på to år. Google meldte fra om svakhetene til Apple og disse ble fikset i februar med iOS versjon 12.1.4. Det mistenkes at en nasjonalstat står bak aksjonen.
Referanser
https://googleprojectzero.blogspot.com/2019/0[...] https://www.theverge.com/2019/8/30/20840341/i[...] https://www.wired.com/story/ios-attack-wateri[...]

Cisco ute med nye oppdateringer

Cisco har nå gitt ut nye oppdateringer til flere av sine produkter som fikser flere svakheter. Én av svakhetene er rangert som kritisk og kan utnyttes til å ta kontroll over sårbart system.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

2019.08.29 - Nyhetsbrev

NATO klar til å forsvare medlemslandene i cyberdomenet. Kaspersky: 47% av SMB-bedrifter kjører på Windows 7 bare 5 måneder før End Of Life-dato. Midtøsten: USA har gjennom et data-angrep lagt hindringer i veien for iranske angrep på oljetankere.

NATO klar til å forsvare medlemslandene i cyberdomenet

Generalsekretær Jens Stoltenberg er tydelig på at et cyberangrep på NATO-medlemsland kan utløse artikkel 5, om at et angrep på ett medlem er et angrep på alle. NATO holder på å etablere et Cyberspace OPS Centre i Mons i Belgia
Referanser
https://www.digi.no/artikler/stoltenberg-nato[...]

Kaspersky: 47% av SMB-bedrifter kjører på Windows 7 bare 5 måneder før End Of Life-dato

14. januar 2020 er End-of-Life for standard Windows 7-support og sikkerhetspatching. 5 måneder unna deadline viser undersøkelser fra sikkerhetsfirmaet Kaspersky at det fortsatt er millioner av installerte og potensielt sårbare Windows 7-maskiner i bedriftsnett og hjemmenett. Windows 7 var versjonen som ble hardest rammet av Wannacry-viruset i 2017.
Referanser
https://www.zdnet.com/article/windows-7-end-o[...]

Midtøsten: USA har gjennom et data-angrep lagt hindringer i veien for iranske angrep på oljetankere

New York Times melder at hackere som arbeider for amerikanske myndigheter i juni ødela en database og IT-systemer som iranske paramilitære grupper benyttet til å planlegge angrep mot oljetankere i Persiabukta. Angrepet er en del av den pågående cyber-konflikten mellom USA og Iran.
Referanser
https://www.nytimes.com/2019/08/28/us/politic[...] https://arstechnica.com/tech-policy/2019/08/u[...]

2019.08.28 - Nyhetsbrev

Imperva informerer om sikkerhetsbrudd. Trojan Dropper Malware avdekket i populær Android applikasjon. Ny trusselaktør kalt LYCEUM går etter olje- og gassfirmaer. Oppdatering for Chrome. Forsikrede bedrifter foretrekker å betale løsepenger. Fransk NC3 har rensket 850.000 maskiner infisert for virus. Microsoft - Multi-Faktor autentisering stopper 99.9% av automatiserte angrep. Github støtter nå WebAuthn.

Imperva informerer om sikkerhetsbrudd

Cybersikkerhetsfirmaet Imperva varslet på tirsdag sine kunder om et nylig sikkerhetsbrudd. Angripere skal ha fått tilgang til epost-adresser, krypterte passord, API-nøkler og SSL-sertifikater for enkelte kunder som benytter seg av Incapsula, firmaets sky-baserte brannmurløsning for webapplikasjoner.
Referanser
https://krebsonsecurity.com/2019/08/cybersecu[...]

Trojan Dropper Malware avdekket i populær Android applikasjon

Sikkerhetsforskere har oppdaget en Trojan Dropper-modul i den populære Android-applikasjonen CamScanner. Dette er i utgangspunktet en legitim applikasjon som til sammen har blitt lastet ned over 100 millioner ganger. Skadevaren ble innført da utviklerne av applikasjonen la til et kompromittert bibliotek for å vise annonser. Dropper Trojaneren sørger for å videre infisere enheten ved å laste ned og installere annen skadevare. Utviklerne har gitt ut en ny versjon som fjerner det kompromitterte biblioteket, men applikasjonen har også midlertidig blitt fjernet fra Play Store. Den ondsinnede modulen ble oppdaget av Igor Golovin og Anton Kivva som arbeider for Kaspersky.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Ny trusselaktør kalt LYCEUM går etter olje- og gassfirmaer

En ny trusselaktør kalt LYCEUM går målrettet etter kritisk infrastruktur i Midtøsten ved bruk av ondsinnede MS Excel-vedlegg i e-poster til olje- og gassbedrifter. Aktøren virker å ha vært aktiv i over ett år uten å ha blitt oppdaget.
Referanser
https://threatpost.com/oil-and-gas-firms-targ[...]

Oppdatering for Chrome

Chrome har kommet med oppdatering til versjon 76.0.3809.132 for Windows, Mac og Linux desktops. Oppdateringen inkluderer tre sikkerhetsutbedringer. Oppdateringen ble gjort tilgjengelig fra 26. august.
Referanser
https://chromereleases.googleblog.com/2019/08[...]

Forsikrede bedrifter foretrekker å betale løsepenger

Amerikanske byer som er ofre for løsepengevirus betaler ofte for å få dekryptert data og får dekket deler av beløpet via forsikringer. Forsikringsselskapene kan ha interesse av å betale løsepengene for å lage god reklame for tjenestene sin, men dette kan også føre til en videre økning i antall angrep med løsepengevirus.
Referanser
https://arstechnica.com/information-technolog[...]

Fransk NC3 har rensket 850.000 maskiner infisert for virus

Franske C3N - som er deres motstykke til Kripos sitt NC3 - har terminert et virus som infiserte minst 850.000 PCer og dannet et botnet kontrollert fra Frankrike. Deretter klarte de å renske de virusinfiserte maskinene verden rundt og tok ned moderserveren (C2) i Paris-området
Referanser
https://www.bbc.com/news/world-europe-49494927

Microsoft - Multi-Faktor autentisering stopper 99.9% av automatiserte angrep

Microsoft opplever rundt 300 millioner mistenkelige innloggingsforsøk mot kontoene til sine kunder hver eneste dag. Alex Weinert, Group Program Manager for Identity Security and Protection hos Microsoft, sier i en uttalelse at basert på forskningen de har gjort, stopper multifaktor-autentisering 99.9% av alle automatiserte angrep. Google kom med en lignende uttalelse i mai, da de opplyste at brukere som la til et Recovery Phone Number unngikk 100% av av alle automatiserte angrep, 99% av bulk phishing-angrep og 66% av målrettede angrep mot kontoen.
Referanser
https://www.zdnet.com/article/microsoft-using[...] https://it.slashdot.org/story/19/vvv08/27/158201/

Github støtter nå WebAuthn

Github støtter nå WebAuthn, en ny standard som gjør det tryggere å logge seg på online web-baserte tjenester. WebAuthn er en forkortelse for Web Authentication og er en videreføring av Universal Second Factor (U2F) standarden, en form for tofaktor-autentisering. World Wide Web Consortium (WC3) godkjente i Mars 2019 WebAuthn som en offisiell standard.
Referanser
https://nakedsecurity.sophos.com/2019/08/27/g[...]

2019.08.27 - Nyhetsbrev

Norske kommuner får eget sikkerhetssenter. Apple slipper patch for patchen som ødela en tidligere patch.

Norske kommuner får eget sikkerhetssenter

Under Sikkerhetsfestivalen i Lillehammer ble det på mandag informert om et nytt prosjekt som har fått navnet Kommune CSIRT (Computer Security Incident Response Team). Prosjektet går ut på å opprette et eget sikkerhetssenter for norske kommuner, ettersom de ikke er godt nok rustet mot hacking og andre digitale sårbarheter. Oppland fylkeskommune, Lillehammer- og Gjøvik kommune blir prosjekteiere og bidrar med til sammen 8 millioner kroner. Prosjektleder Jan Tore Meren sier i en uttalelse av nettkriminalitet og IKT-sikkerhet har blitt et stadig økende problem for kommunene. Senteret skal driftes fra innlandet, ettersom de har utviklet en bred kompetanse innen IKT-sikkerhet over flere år.
Referanser
https://www.nrk.no/ho/nasjonalt-senter-i-innl[...]

Apple slipper patch for patchen som ødela en tidligere patch

Apple har nå sluppet versjon iOS versjon 12.4.1, som utbedrer en kritisk svakhet som kan brukes til å utføre jailbreak på iOS-enheter. Ned Williamson, en sikkerhetsetterforsker som arbeider for Google Project Zero, oppdaget en kritisk sårbarhet i iOS 12.2 som gjorde det mulig å kjøre kode med administrator-rettigheter. Feilen ble fikset i iOS 12.3, men ble ved et uhell introdusert på nytt i iOS 12.4 forrige måned. En hacker som går under aliaset Pwn20wnd offentliggjorde en exploit som gjør det mulig å jailbreake iOS-enheter med versjon 12.4 av operativsystemet ved hjelp av denne sårbarheten.
Referanser
https://www.theregister.co.uk/2019/08/26/appl[...] https://www.zdnet.com/article/apple-patches-i[...] https://apple.slashdot.org/story/19/08/26/193206/ https://threatpost.com/apple-fixes-ios-flaw-t[...]

2019.08.26 - Nyhetsbrev

Aktiv utnyttelse av Webmin, Pulse Secure og Fortinet VPN svakheter. Sikkerhetsbrudd hos Hostinger. 14 millioner kunder kan være berørt. NSM publiserer veiledere til ny sikkerhetslov.

Aktiv utnyttelse av Webmin, Pulse Secure og Fortinet VPN svakheter

Svakhetene for Webmin, Pulse Secure og Fortinet VPN har blitt tatt aktivt i bruk av automatiske verktøy for å få tilgang til systemer.
Referanser
https://www.zdnet.com/article/hackers-mount-a[...]

Sikkerhetsbrudd hos Hostinger, 14 millioner kunder kan være berørt

Hostinger melder i en blogg-post at hackere skal ha fått tilgang til deres systemer Torsdag forrige uke. Hackerne skal blant annet ha fått tilgang til en database som inneholder brukernavn, epost-adresse og passord hashet med SHA-1. I etterkant av hendelsen har Hostinger tilbakestilt passordet til 14 millioner av deres kunder, og tatt i bruk SHA-2 som er en sterkere hashing-algoritme.
Referanser
https://techcrunch.com/2019/08/25/web-host-ho[...]

NSM publiserer veiledere til ny sikkerhetslov

NSM har publisert 8 veiledere til den nye sikkerhetsloven som trådte i kraft 1. januar 2019. Veiledningene skal hjelpe virksomheter med å følge regelverket.
Referanser
https://www.nsm.stat.no/aktuelt/veiledere-ny-[...]

2019.08.23 - Nyhetsbrev

Cisco ute med nye oppdateringer. Store mengder av ny-registrerte domener er ondsinnede. Kinesiske aktører fokuserer på å stjele helsedata

Cisco ute med nye oppdateringer

Cisco har nå gitt ut nye oppdateringer til flere av sine produkter som fikser 33 svakheter, hvor 6 av disse er kritiske. Flere av de kritiske svakhetene gjelder blant annet produkter som Cisco Small Business 220 Series Smart Switches.
Referanser
https://tools.cisco.com/security/center/publi[...]

Store mengder av ny-registrerte domener er ondsinnede

SCMagazine melder om at rundt 200 000 nye domener blir registrert hver dag, hvor rundt 70% av disse er ondsinnede eller mistenkt for å bli brukt til ondsinnede aktiviteter. Palo Alto Networks har sett at nye domener registrert på .to og .di har høyest sjanse for å bli brukt til ondsinnet aktivitet, med hele 90% av nyregisterte domener som blir brukt til dette.
Referanser
https://www.scmagazine.com/home/security-news[...]

Kinesiske aktører fokuserer på å stjele helsedata

WIRED melder at kinesiske aktører har hatt veldig stort fokus rundt data fra helseindustrien, både fra selskaper som utvikler medisiner og medisinske forskere. Blant annet blir det meldt om at aktørene prøver å stjele klinisk utprøvingsdata, informasjon rundt forskning på medisiner og utstyr, samt åndsverket til medisinksutstyr. Dette skjer etter at den kinesiske stat har satt stort fokus på å erstatte mesteparten av teknologien den importer fra andre land med sine egne produserte produkter.
Referanser
https://www.wired.co.uk/article/china-hackers[...]

2019.08.22 - Nyhetsbrev

Bakdører funnet i RubyGems, Webmin og andre pakker. VLC har gitt ut sikkerhetsoppdateringer.

Bakdører funnet i RubyGems, Webmin og andre pakker

Hittil i år har det kommet en rekke forsyningskjede-angrep gjennom åpen kildekode-programvare, og dette ser ikke ut til å avta. Mandag ble det avslørt en ny bakdør i 11 biblioteker tilgjengelige i RubyGems-pakkebrønnen. her ble det blant annet avdekket at koden inneholdt en kryptominer. Denne uken ble det også meldt om svakheter i det populære verktøyet Webmin. Prosjekter for åpen kildekode har ofte hundrevis av utviklere, der mange er anonyme. Ny kildekode blir sjekket av flere bør den blir lagt til, men ikke alle bakdører er like lette å oppdage.
Referanser
https://arstechnica.com/information-technolog[...]

VLC har gitt ut sikkerhetsoppdateringer

VideoLAN har gitt ut sikkerhetsoppdateringer som patcher 13 sårbarheter. Disse sårbarhetene kunne føre til lokal tjenestenekt og ekstern eksekvering av vilkårlig kode. VLC melder at de ikke har mottatt rapporter om at sårbarhetene har blitt utnyttet. Flere av sårbarhetene kunne utnyttes ved å spille av spesiallagde mediafiler. Vi anbefaler å oppdatere til nyeste versjon.
Referanser
https://www.theregister.co.uk/2019/08/21/vlc_[...]

2019.08.21 - Nyhetsbrev

The Register har skrevet en artikkel om den russiske hackergruppen "Silence" sin utvikling. En rekke svakheter er oppdaget i Google Nest overvåkningskameraer.

The Register har artikkel om den russiske gruppen "Silence" sin utvikling

The Register har publisert en artikkel om den russiske gruppen "Silence" sin utvikling de siste årene. Hackergruppen går etter banker, og har vellykket infiltrert flere banker de siste årene, og har fått ut minst 4.2 millioner dollar fra de aktuelle bankene.
Referanser
https://www.theregister.co.uk/2019/08/21/sile[...]

Flere svakheter oppdaget i Google Nest overvåkningskameraer

Talos intelligence har oppdaget en rekke svakheter i Google NEST overvåkningskameraer, som potensielt kan misbrukes til å få kjørt vilkårlig kode. Oppdatering som fikser svakhetene er tilgjengelig.
Anbefaling
Oppdater ved første anledning
Referanser
https://threatpost.com/google-nest-security-c[...] https://talosintelligence.com/vulnerability_r[...]

2019.08.20 - Nyhetsbrev

23 statlige byråer i Texas rammet av ransomware. Nyeste iOS-oppdatering åpner opp for kritisk svakhet som ble fikset i iOS 12.3.

23 statlige byråer i Texas rammet av ransomware

Opptil 23 statlige byråer i Texas ble fredag rammet et målrettet ransomware-angrep som ser ut til å være utført fra én enkelt aktør. Dette angrepet er annerledes enn tidligere ransomware-angrep siden det er et målrettet angrep mot mange statlige byråer, fremfor typiske angrep hvor det er mer tilfeldig hvem som rammes.
Referanser
https://threatpost.com/coordinated-ransomware[...] https://arstechnica.com/information-technolog[...]

Nyeste iOS-oppdatering åpner opp for svakhet som ble fikset i iOS 12.3

Apple har ved en feiltagelse gjort iOS-enheter sårbare for en svakhet som tidligere har blitt patchet. iOS versjon 12.4 har reversert en kritisk patch innført i iOS 12.3. Denne feilen gjør at helt oppdatert iOS-enheter kan bli "rootet/jailbreaket", altså at en kan kompromittere systemet fullstendig. Jailbreak-kode er nå offentlig tilgjengelig.
Referanser
https://www.macrumors.com/2019/08/19/ios-12-4[...]

2019.08.16 - Nyhetsbrev

Klikkapring påvirker stadig flere gjennom besøk på vanlige nettsteder.

Klikkapring påvirker stadig flere

Det har blitt utgitt en ny studie om klikkapring, hvor klikk på et nettsted omdirigerer en brukere til spam, reklame eller malware. Klikkapring har eksistert lenge, men nye taktikker trosser alle mitigeringstiltak og har ført til at det nå påvirker millioner av brukere.
Referanser
https://threatpost.com/clickjacking-millions-[...]

2019.08.14 - Nyhetsbrev

Microsoft fikser en rekke kritiske svakheter i sikkerhetsoppdatering for august. Google avslører en alvorlig og upatchet svakhet som rammer alle Windows versjoner fra XP og nyere. Adobe oppdaterer en rekke produkter. Blåtann-svakhet kan utnyttes til å manipulere og overvåke trafikk mellom to sammenkoblede enheter. Sikkerhetsforskere demonstrerte Ransomware-angrep mot Canon DSLR kamera. Biometri-data lekket fra israelsk firma.

Microsoft fikser en rekke kritiske svakheter i sikkerhetsoppdatering for august

Microsoft gir ut sin månedlige sikkerhetsoppdatering for august. Denne gangen er det snakk om hele 93 svakheter som skal fikses, hvorav 29 er å anse som kristiske. Spesielt bør man merke seg CVE-2019-1181 og CVE-2019-1182, som er kritiske, og ormbare, svakheter i Remote Desktop (RDP). Nyere versjoner av Windows som har Network Level Authentication slått på, er kun sårbare dersom angriper har en gyldig konto på systemet som angripes. Autentiseringen blir da gjort før RDP-sesjonen startes.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...] https://msrc-blog.microsoft.com/2019/08/13/pa[...] https://www.zdnet.com/article/microsoft-warns[...]

Google hacker avslører svakhet som rammer alle Windows versjoner fra XP og nyere

En white hat hacker fra Google’s Project Zero Team har oppdaget en kritisk svakhet i alle Windows versjoner fra XP og nyere. Svakheten befinner seg i CTF-protokollen, og kan utnyttes til å få kjørt vilkårlig kode med systemrettigheter. Svakheten skal også kunne brukes til å bryte ut av sandkasser. Microsoft melder at svakheten ble patchet i går, men noen mener at svakheten kanskje ikke er fullstendig patchet enda.
Referanser
https://securityaffairs.co/wordpress/89837/ha[...] https://www.forbes.com/sites/jeanbaptiste/201[...] https://portal.msrc.microsoft.com/en-US/secur[...]

Adobe med oppdateringer til en rekke produkter

Adobe har gitt ut åtte sikkerhetsoppdateringer til en rekke produkter, inkl. Adobe Acrobat og Reader. Oppdatering anbefales.
Referanser
https://blogs.adobe.com/psirt/?p=1773

Blåtann-svakhet kan utnyttes til å manipulere og overvåke trafikk mellom to sammenkoblede enheter

Forskere skal ha oppdaget an ny svakhet i implementeringen av blåtann (1.0 - 5.1) som gjør det enklere å brute-force krypteringsnøkkelen som blir brukt ved sammenkobling (pairing) av to blåtann-enheter. Dette kan utnyttes til å monitorere og/eller manipulere trafikken som går mellom to sammenkoblede enheter. Svakheten har fått navnet "KNOB", og skal ikke være triviell å utnytte i praksis.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Biometri-data lekket fra israelsk firma

Firmaet Suprema står bak diverse biometri-systemer som fingeravtrykk og ansiktsgjenkjenning for autentisering. Disse brukes blant annet i høysikkerhets dørlåser av firmaer som britiske banker, forsvar og forsvaret. Firmaet hadde databaser liggende åpent på nettet som inneholdt biometri-informasjon, brukernavn, passord osv. for over 1 millon mennesker.
Referanser
https://www.theguardian.com/technology/2019/a[...]

Sikkerhetsforskere demonstrerte Ransomware-angrep mot Canon DSLR kamera

Sikkerhetsforskere har demonstrert hvor enkelt det er for en angriper å infisere et digitalt Canon DSLR kamera med ransomware. Det ble også oppdaget flere sikkerhetsproblemer i programvaren til Canon-kameraer som kan utnyttes over både USB og WIFI, slik at angripere får full tilgang til enheten. Canon har lansert en oppdatering til Canon EOS 80D, og anbefaler brukere av andre påvirkede modeller å følge grunnleggende sikkerhetspraksiser til oppdateringer blir tilgjengelige.
Referanser
https://thehackernews.com/2019/08/dslr-camera[...]

2019.08.13 - Nyhetsbrev

Extended Verification-sertifikater blir usynlige også i Chrome og Firefox.

Extended Verification-sertifikater blir usynlige også i Chrome og Firefox

Ved utstedelse av EV-sertifikater må mottageren av sertifikatet bevise at han representerer et spesifikt firma. Nettleseren viser så navnet på dette firmaet i nettleseren. For rundt et år siden ble Extended Validation-sertifikater usynlige i Safari. Det samme vil skje i Google Chrome og Firefox om kort tid. Det er dermed liten nytte i å benytte seg av EV-sertifikater framover.
Referanser
https://www.troyhunt.com/extended-validation-[...]

2019.08.12 - Nyhetsbrev

Android apper med Clicker-Trojan installert på over 100 millioner enheter. Ransomware angrep på iNSYNQ startet med en phishing-epost. Sikkerhetsforskere demonstrerte RCE-angrep mot Google Home. Sårbarheter i over 40 enhetsdrivere kan gi kjernemodus-tilgang til vanlige programmer i Windows. Sikkerhetsforsker har laget Lightning-kabler som kompromitterer Mac-maskiner.

Android apper med Clicker-Trojan installert på over 100 millioner enheter

33 Android applikasjoner som var tilgjengelige på Google Play Store inneholdt clicker-trojaneren Android.Click.312.origin. Alle applikasjonene var fungerende og maskerte seg som ordbøker, kartprogramvare, musikk-spillere og lignende. I bakgrunnen sendte applikasjonen informasjon tilbake til en C2 server. Nyhetsartikkelen inneholder en liste over de infiserte applikasjonene, til sammen antas mer enn 100 millioner enheter være påvirket. Flere av dem har nå blitt fjernet eller oppdatert til å fjerne den skadelige koden.
Referanser
https://securityaffairs.co/wordpress/89675/ma[...]

Ransomware angrep på iNSYNQ startet med en phishing-epost

I midten av juli ble skyleverandøren iNSYNQ offer for et ransomware-angrep. Det hele startet med en phishing-epost til salgsavdelingen, som ga tilgang til iNSYNQs interne systemer. Der brukte angriperene 10 dager på kartlegging og klargjøring før de startet angrepet med skadevaren MegaCortex. Firmaet jobber fortsatt med å få opp igjen alle systemer.
Referanser
https://krebsonsecurity.com/2019/08/insynq-ra[...]

Sikkerhetsforskere demonstrerte RCE-angrep mot Google Home

Under DEFCON demonstrerte tre forskrere fra Tencent Blade hvordan de kunne unytte Magellan-svakheten mot SQLite til å komprimere Google Home-enheter. Google har siden fikset svakheten.
Referanser
https://threatpost.com/def-con-2019-hacking-g[...]

Sårbarheter i over 40 enhetsdrivere kan gi kjernemodus-tilgang til vanlige programmer i Windows

Sikkerhetsforskere har funnet sårbarheter i over 40 enhetsdrivere fra mer enn 20 ulike maskinvareprodusenter. Ifølge forskerne er det en designfeil som tillater at programmer med lite privilegier kan utføre ondsinnede handlinger i kjernemodus på Windows-maskiner. Feilen oppstår når signerte drivere tilbyr funksjonalitet som kan bli misbrukt av brukermodus-programmer til å utføre vilkårlig lesing og skriving uten restriksjoner eller sjekking fra operativsystemet. For å kunne utnytte sårbarhetene må maskinen allerede være kompromittert, og en del av leverandørene har allerede gitt ut oppdateringer.
Referanser
https://www.zdnet.com/article/researchers-fin[...] https://www.bleepingcomputer.com/news/securit[...]

Sikkerhetsforsker har laget Lightning-kabler som kompromitterer Mac-maskiner

En sikkerhetsforsker har manipulert Lightning-kabler til å inneholde en USB-kontroller og et WiFi-aksesspunkt. Dersom kabelen plugges inn i en Mac, kan kabelen kjøre kommandoer på og ta over kontrollen over Macen. Kablene er foreløpig håndlaget.
Referanser
https://www.vice.com/en_us/article/evj4qw/the[...]

2019.08.09 - Nyhetsbrev

Zero-Day svakhet avdekket i Windows-klienten til Steam. IOActive fant sårbarheter i Boeing 737 og 787. Cisco har gitt ut sikkerhetsoppdateringer. Apple revolusjonerer sitt program for sårbarhetsrapportering.

Cisco har gitt ut sikkerhetsoppdateringer

Cisco har gitt ut sikkerhetsoppdateringer til flere av sine produkter. Angripere kunne utnytte noen av disse svakhetene til å ta kontroll over systemer. Vi anbefaler å oppdatere til nyeste versjon.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

IOActive fant sårbarheter i Boeing 737 og 787

IOActive fant en åpen tjener hos Boeing som ga tilgang til kildekode for interne systemer i Boeing 737 og 787. Der avdekket de sårbarheter som de mente potensielt kunne kompromittere kritiske styresystemer i flyet. Boeing på sin side har bekreftet at sårbarhetene finnes, men at det ikke er mulig å utnytte dem. De har likevel valgt å rette opp feilene i programvaren i nye versjoner.
Referanser
https://www.digi.no/artikler/fant-sarbarheter[...] https://www.wired.com/story/boeing-787-code-l[...]

Apple revolusjonerer sitt program for sårbarhetsrapportering

Under konferansen Black Hat i Las Vegas annonserte Ivan Krstic, lederen for Apple Security Engineering and Architecture, at Apple nå revolusjonerer sitt program for sårbarhetsrapportering. Sikkerhetsforskere som finner en svakhet som lar en angriper få fullstendig, vedvarende og fjernstyrt kontroll over et system uten handling fra slutt-brukeren mottar en dusør på hele 1 million amerikanske dollar. Alle svakheter som avdekkes i beta-platformen øker også dusøren med 50%, dermed kan man potensielt tjene 1.5 millioner amerikanske dollar for å melde inn én enkelt svakhet. I tillegg til dette opplyste Apple at de også kommer til å gi ut en helt ny iPhone, spesielt designet for å brukes av de dyktigste sikkerhetsforskerne. Enheten blir levert uten flere av de eksisterende beskyttelseslagene for å gjøre det enklere å utforske deler av kjernen som tidligere har vært utilgjengelig for direkte inspeksjon. Den inneholder også et shell som gjør det mulig å eksekvere kommandoer som root. Dette håper Apple vil gi etterforskerene bedre innsikt i hvordan systemene fungerer og dermed oppdage nye angrepsvektorer.
Referanser
https://www.wired.com/story/apple-hacker-ipho[...]

Zero-Day svakhet avdekket i Windows-klienten til Steam

En Zero-Day svakhet har blitt avdekket i Windows-klienten for den digitale distribusjons-, spill- og kommunikasjonsplattformen Steam. Svakheten gjorde det mulig for en bruker med begrensede rettigheter å eksekvere kommandoer som administrator. Steam har ca. 100 millioner registrerte brukere og flere millioner aktive brukere til enhver tid. Etterforskerne som oppdaget svakheten tok først kontakt med Steam, men mottok ikke noen dusør. De fikk også beskjed om at svakheten ikke kunne utnyttes, men at de likevel ikke hadde lov å dele den offentlig. Etterforskerne valgte å ignorere dette og publiserte detaljer om den likevel.
Anbefaling
Ingen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2019.08.08 - Nyhetsbrev

LokiBot oppdatert til å benytte steganografi. Clipsa oppdatert til å også bruteforce WordPress-sider. Monzo lagret kunders PIN-koder i loggfiler. Google har funnet flere svakheter i iPhoner.

LokiBot oppdatert til å benytte steganografi

Skadevaren LokiBot har blitt oppdatert til å benytte steganografi for å skjule kryptert kode i bilder på den infiserte klienten. Scriptet som installerer skadevaren dekrypterer koden i bildet som en del av installasjonsprosessen.
Referanser
https://www.zdnet.com/article/lokibot-informa[...]

Clipsa oppdatert til å også bruteforce WordPress-sider

Antivirus-leverandøren Avast har oppdaget en ny utgave av skadevaren Clipsa. Skadevaren har tidligere blitt brukt til å stjele kryptovaluta-kontoer, samt å ta over og lytte til utklippstavlen i håp om å bytte ut mottaker sine addresser med operatørens. Clipsa er nå også i stand til å bruteforce WordPress-sider. Avast antar at intensjonen er å stjele informasjon fra sidene eller benytte de som alternative dropp-soner for komprommiterte opplysninger.
Referanser
https://www.zdnet.com/article/new-windows-mal[...]

Monzo lagret kunders PIN-koder i loggfiler

En feil i programvaren til Monzo, en mobil-bank, lagret PIN-koder for kredittkort i krypterte loggfiler som utviklere på prosjektet hadde tilgang til. Det anslås at omtrent 480 000 kunder har blitt påvirket av sikkerhetsbruddet. I ettertid har Monzo informert de påvirkede kundene, samt fjernet de relaterte loggene og forhindret at nye PIN-koder logges.
Referanser
https://nakedsecurity.sophos.com/2019/08/07/m[...] https://monzo.com/blog/2019/08/05/weve-fixed-[...]

Google har funnet flere svakheter i iPhoner

Google har tatt for seg angrepsflaten til iPhone som kan nås via mobilnettverket og der brukeren ikke trenger å gjøre noe for å bli kompromittert. Dette dreier seg om SMS, MMS, Visual Voicemail, epost og iMessage. Bloggposten tar en gjennomgang av de forskjellige områdene med risikoer. Denne typen svakheter har ved flere tilfeller blitt brukt av avanserte statlig aktører mot iPhoner. Google fant 10 svakheter og rapporterte disse til Apple. Disse er fikset i iOS versjon 12.4.
Referanser
https://googleprojectzero.blogspot.com/2019/0[...]

2019.08.07 - Nyhetsbrev

Svakhet avdekket i toppsikkerhets-låser. Ny form for svindel benytter PDF-dokumenter. Ny CPU sidekanal sårbarhet patchet av flere operativsystemer.

Svakhet avdekket i toppsikkerhets-låser

En hacker har bevist at det er mulig å bryte seg inn i toppsikkerhets-låser som blant annet brukes av banker og militæret fra DormaKaba. Angriperen måler strømforbruket til den elektroniske låsen og analyserer trafikken for å finne ut hvordan låsen opererer internt. Det gjør den sårbar for et angrep dersom man kommer nærme nok og har de riktige verktøyene. En etterforsker, Mike Davis, som arbeider hos sikkerhetsfirmaet IOActive oppdaget sårbarheten i fjor og advarte distributøren direkte. Davis meddeler at han skal presentere etterforskningen sin under hackerkonferansen DefCon i LasVegas førstkommende fredag.
Referanser
https://www.reuters.com/article/us-locks-cybe[...]

Ny form for svindel benytter PDF-dokumenter

En ny form for svindel har i løpet av den siste uken spredd seg i Tyskland. Angripere sender ut en epost som sier at vedkommende har mottatt en regning fra Amazon som må betales så fort som mulig. Eposten opplyser også om at vedlegget er passord-beskyttet av sikkerhetsmessige grunner og må låses opp før man kan se innholdet. Når vedlegget åpnes bes offeret om å oppgi innloggingsdetaljene til Amazon-kontoen sin. Dersom brukeren skriver inn detaljene sendes de direkte til angriperne som får dermed full tilgang til kontoene. Flere har latt seg lure da passord-beskyttelse har blitt svært vanlig på dokumenter som inneholder sensitiv informasjon. Dersom man er i tvil anbefales det å ta kontakt direkte med selskapet dokumentet ser ut til å komme fra for å bekrefte at de har sendt sensitiv informasjon på epost.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Ny CPU sidekanal sårbarhet patchet av flere operativsystemer

En ny sårbarhet som benytter SWAPGS instruksjonen i 64-bit Intel/AMD-prossessorer har tatt sin plass i rekken med sidekanal-sårbarheter sammen med Spectre og Meltdown. I samråd med Intel har flere operativsystemer nå laget og publisert sikkerhetsoppdateringer som forhindrer utnyttelse av svakheten. Dersom svakheten blir utnyttet lar den angripere lese priviligerte minneområder de egentlig ikke har tilgang til. Windows er sårbar, men ble patchet allerede 9. juli. Linux er også sårbar, men her er svakheten er vanskeligere å utnytte her. MacOS skal ikke være sårbar. Vi anbefaler å installere de nyeste sikkerhetsoppdateringene.
Anbefaling
Installer de nyeste sikkerhetsoppdateringene.
Referanser
https://www.bitdefender.com/business/swapgs-a[...] https://www.bleepingcomputer.com/news/securit[...] https://www.theregister.co.uk/2019/08/06/inte[...]

2019.08.06 - Nyhetsbrev

Russiske hackere benytter IoT-enheter for å penetrere nettverk. Nye sikkerhetsoppdateringer til Android og Snapdragon-brikker. E3 lekket informasjon om journalister og deltakere.

Russiske hackere benytter IoT-enheter for å penetrere nettverk

Sikkerhetsetterforskere hos Microsoft har oppdaget at en voice-over-IP telefon, en printer og en video-dekoder har blitt brukt hos flere bedrifter for å kommunisere med Strontium. Strontium er en gruppe hackere som opererer på oppdrag fra russiske statsmakter, de går også under navnet Fancy Bear og APT28. Microsoft har ikke klart å avgjøre hva som har vært målet for angrepene.
Referanser
https://arstechnica.com/information-technolog[...]

Nye sikkerhetsoppdateringer til Android og Snapdragon-brikker

Android har gitt ut sikkerhetsoppdateringer som fikser kritiske svakheter. Den mest alvorlige svakheten lå i systemkomponenten og kunne føre til eksekvering av vilkårlig kode, men Google har ikke mottatt rapporter om at noen av svakhetene har blitt utnyttet. Totalt anses 5 av sårbarhetene som kritiske og 20 som "high" i følge alvorlighetsskalaen. Vi anbefaler å oppdatere til nyeste versjon. Samtidig melder også Qualcomm om kritiske svakheter i Snapdragon-brikker som brukes i mange Android-telefoner. Disse har fått navnet QualPwn og kan utnyttes gjennom radioforbindelsen (Mobil/WiFi) til telefonen. Sikkerhetsforskere fra Tencent vil demonstrere disse svakhetene på Blackhat på torsdag. Disse svakhetene er også patchet i denne månedens oppdatering.
Referanser
https://source.android.com/security/bulletin/[...] https://www.bleepingcomputer.com/news/securit[...] https://blade.tencent.com/en/advisories/qualpwn/

E3 lekket informasjon om journalister og deltakere

E3 er en årlig videospillmesse som avholdes i Los Angeles og arrangeres av ESA (Entertainment Software Association). Et regneark med informasjon som navn, adresse, telefonnummer og epost for mer en 2 000 deltakere lå åpent på ESA sine nettsider. Filen var ikke passord-beskyttet og kunne lastes ned av hvem som helst. Nå har filen blitt delt på diverse forum og flere av de berørte har opplevd å bli trakassert, blant annet ved å bli oppringt av tilfeldige personer midt på natten.
Referanser
https://games.slashdot.org/story/19/08/05/2145244/

2019.08.05 - Nyhetsbrev

Svakheter fikset i VMware. Svakheter avdekket i WiFi WPA3. Ny form for ransomware sprer seg i Tyskland.

Ny form for ransomware sprer seg i Tyskland

En ny form for ransomware som har fått navnet GermanWiper har i løpet av den siste uken spredd seg raskt i Tyskland. GermanWiper krypterer ikke filene til infiserte brukere, men overskriver derimot innholdet med nuller og endrer filtypen til en tilfeldig alfanumerisk streng på fem tegn. Det er ikke mulig å gjenopprette filene uten en backup og det er dermed nytteløst å betale løsepengesummen. Det ser ut til at skadevaren har spredd seg via et skadelig epost-vedlegg.
Referanser
https://www.zdnet.com/article/germanwiper-ran[...]

Svakheter avdekket i WiFi WPA3

To nye svakheter har blitt avdekket i WiFi-standarden WPA3 av sikkerhetsforskere. Svakhetene gjør det mulig for angriperne å hente ut informasjon fra krypteringsprosessen til WPA3 og dermed brute-force passordet til nettverket. Den siste oppdateringen til standarden forhindrer denne typen angrep og blir antakelig en del av WPA 3.1.
Anbefaling
Ingen.
Referanser
https://mobile.slashdot.org/story/19/08/04/1821237 https://wpa3.mathyvanhoef.com/#new

Svakheter fikset i VMware

To svakheter har blitt avdekket i VMware ESXi, Workstation og Fusion som utnytter en out-of-bounds lese/skrive-feil. Disse gjør det mulig for en angriper å hente ut informasjon fra systemet og for en bruker med vanlige rettigheter å forårsake lokal tjenestenekt. Svakhetene har fått en CVSSv3 score på 8.5 av 10. Det ble gitt ut oppdateringer 2. august som fikser svakhetene, vi anbefaler å oppdatere til nyeste versjon.
Anbefaling
Installer de nyeste sikkerhetsoppdateringene.
Referanser
https://www.vmware.com/security/advisories/VM[...]

2019.08.02 - Nyhetsbrev

Ny form for svindel benytter QR-koder. Cisco betaler 8.6 millioner amerikanske dollar i rettsforlik.

Ny form for svindel benytter QR-koder

En ny form for svindel har ført til at flere har fått bankkontiene sine tømt. Svindlere later som de forsøker å betale for parkering og spør tilfeldige på gaten om de kan skanne en QR-kode med bank-applikasjonen sin i bytte mot kontanter siden automatene kun aksepterer digital betaling. En politistasjon i Nederland utstedte i forrige uke en advarsel om denne typen svindel etter at de arresterte to mistenkte som hadde svindlet til seg flere tusen euro. QR-koden utfører ikke en betaling når den skannes, men logger derimot offeret inn i banken på svindleren sin telefon. Så snart dette er gjort tømmer svindlerne bankkontoen. Det anbefales å behandle QR-koder på lik linje med alle andre lenker, ikke trykk på dem/scanne dem dersom man ikke er helt sikker på hvor de kommer fra og man kan stole på kilden. QR-koder har også nylig blitt brukt til å laste ned Malware på telefoner. I Kina er det populært å leie sykler ved å skanne en QR-kode og det har ført til at angripere byttet ut kodene på flere sykler med sine egne.
Referanser
https://blog.malwarebytes.com/scams/2019/07/q[...]

Cisco betaler 8.6 millioner amerikanske dollar i rettsforlik

Cisco har inngått et forlik om å betale 8.6 millioner amerikanske dollar i forbindelse med et søksmål angående programvare for video-overvåkning som de solgte i til amerikanske myndigheter i 2007. Programvaren inneholdt svakheter som gjorde det mulig for angripere som skaffet seg tilgang til et kamera å tilegne seg tilgang til hele nettverket. James Glenn, som meldte i fra om svakheten til en arbeidsgruppe i FBI, sa i rettssaken at han først forsøkte å varsle Cisco. I følge ham selv rettet ikke Cisco opp i feilene og han så seg derfor nødt til å eskalere problemet.
Referanser
https://threatpost.com/cisco-settles-suit-vid[...]

2019.08.01 - Nyhetsbrev

Google har utgitt Chrome versjon 76. Honda-database manglet autentisering. AWDL-svakhet for Apple-enheter kan føre til informasjonslekkasje.

Google har utgitt Chrome versjon 76

Chrome 76 er utgitt for Windows, Mac og Linux. Den gjør det vanskeligere for nettsider å se om brukeren er i privat surfemodus og utbedrer også en mengde sårbarheter.
Referanser
https://chromereleases.googleblog.com/2019/07[...] https://www.digi.no/artikler/chrome-76-fikser[...]

Honda-database manglet autentisering

En av Honda Motor sine Elastic Search-databaser manglet autentisering og var dermed tilgjengelig for alle i en kort periode. Databasen inneholdt mer enn 134 millioner rader med informasjon om MAC-adresser, interne IPer, operativsystemversjoner og mye mer. Sikkerhetsetterforskeren som oppdaget databasen tok direkte kontakt med selskapet for å informere dem om svakheten. Honda sier i en uttalelse at de nå har sjekket logger for databasen og ikke kan se tegn til at tredje-parter har fått lastet ned noe som helst. Ettersom databasen inneholdt informasjon om installerte sikkerhetsoppdateringer per maskin ville det vært mulig for angripere å målrettet angripe maskiner med kjente svakheter.
Referanser
https://rainbowtabl.es/2019/07/31/honda-motor[...]

AWDL-svakhet for Apple-enheter kan føre til informasjonslekkasje

En svakhet i Apple Wireless Direct link (AWDL) gjør det mulig å hente ut informasjon fra Apple-enheter som har Bluetooth aktivert. Dette er mulig fordi enhetene sender ut Bluetooth Low Energy (BLE) pakker som blant annet inneholder informasjon om Wi-Fi status, OS versjon, og buffer-tilgjengelighet. Når man deler noe via AirDrop på en iPhone blir en SHA256 hash av telefonnummer sendt til all enheter i nærheten. Det samme vil skje hvis man deler et Wi-Fi-passord via Bluetooth. Svakheten gjør det også mulig for en angripere å maskere seg som bestemte enheter for så å spørre om Wi-Fi-passord til andre enheter i nærheten.
Anbefaling
Minimer bruk av Bluetooth.
Referanser
https://hexway.io/blog/apple-bleee/ https://www.zdnet.com/article/apples-awdl-pro[...]