2020.02.28 - Nyhetsbrev

Ny versjon av Cerberus-trojaneren på Android kan stjele engangskoder.

Ny versjon av Cerberus-trojaneren på Android kan stjele engangskoder

Bleeping Computer rapporterer at bank-trojaneren Cerberus nå er i stand til å komme seg rundt 2FA-autentisering når engangskodene blir generert av en app på en infisert mobil. Skadevaren har også andre RAT (Remote Access Trojan)-engenskaper for overvåking og kontroll av infiserte enheter.
Referanser
https://www.digi.no/artikler/kommer-seg-rundt[...] https://www.bleepingcomputer.com/news/securit[...]

2020.02.27 - Nyhetsbrev

Ny svakhet i kryptering av WiFi-nettverk: KrØØk.

Ny svakhet i kryptering av WiFi-nettverk: KrØØk

Eset har gitt såbarheten CVE-2019-15126 navnet "KrØØk". Sårbarheten gjør det mulig å dekryptere av WPA2-kryptert WiFi-trafikk. Sårbarheten ligger i ikke-patchede Broadcom og Cypress WiFi-brikkesett. Sårbarhetene rammer enheter fra Appe, Amazon, Google, Samsung osv. Mange WiFi-aksesspunkter er også rammet. Vi anbefaler å oppdatere enheter med WiFi. Svakheten avdekker ikke WPA2-passordet. Trafikk som fra før er kryptert, for eksempel med TLS, vil ikke la seg dekryptere ved hjelp av svakheten.
Referanser
https://www.eset.com/int/kr00k/ https://www.welivesecurity.com/2020/02/26/kro[...]

2020.02.26 - Nyhetsbrev

CVE-2020-0688: Svakhet i Microsoft Exchange Server mer alvorlig enn først antatt. OpenSMTPD fikser alvorlig svakhet.

CVE-2020-0688: Svakhet i Microsoft Exchange Server mer alvorlig enn først antatt.

En svakhet i Microsoft Exchange Server (CVE-2020-0688), som ble fikset av Microsoft i denne månedens sikkerhetsoppdatering, viser seg nå å være mer alvorlig enn først antatt. Svakheten, som er relatert til generering av krypto-nøkler under installasjon, gir enhver som har tilgang til en gyldig brukerkonto på plattformen mulighet til å kjøre vilkårlig kode på serveren med SYSTEM/Administrator-rettigheter.
Anbefaling
Intallêr patch.
Referanser
https://www.thezdi.com/blog/2020/2/24/cve-202[...]

OpenSMTPD fikser alvorlig svakhet.

OpenSMTPD gir ut versjon 6.6.4p1 for å fikse en alvorlig svakhet. Svakheten kan unyttes til ekstern kodeeksekvering.
Anbefaling
Oppdatèr til versjon 6.6.4p1
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

2020.02.25 - Nyhetsbrev

Amerikanske Department of Defence kompromittert. Google Chrome fikser svakheter.

Amerikanske Department of Defence kompromittert

Et system driftet av Defense Information Systems Agency (DISA) som er en del av Department of Defence har sendt ut varsler til en rekke personer om at personlig informasjon er på avveie. DISA har blant annet ansvaret for sikker kommunikasjon for presidenten, secret service, deler av militæret mm. DISA har rundt 8000 militære og sivile ansatte, men behandler også data fra flere kontraktører. Det spekuleres i at en nasjonalstat står bak innbruddet.
Referanser
https://threatpost.com/data-breach-occurs-at-[...]

Google Chrome fikser svakheter

Google har sluppet en oppdatert versjon av Chrome som blant annet fikser 3 alvorlige svakheter. For en av svakhetene skal det være exploit-kode tilgjengelig.
Referanser
https://chromereleases.googleblog.com/2020/02[...]

2020.02.24 - Nyhetsbrev

Apple Safari godtar ikke TLS-sertifikater med lang gyldighet. Kritisk feil i Cisco Smart Software Manager On-Prem (CVE-2020-3158) kan gi fjerntilgang til systemkonto.

Apple Safari godtar ikke TLS-sertifikater med lang gyldighet

Fra og med 1. september 2020 vil ikke lenger Safari stole på (nye) sertifikater med gyldighet lengre enn 398 døgn. Ifølge Apple er en av grunnene til endringen at kortvarige sertifikater forbedrer sikkerheten fordi de reduserer eksponeringsvinduet hvis et TLS-sertifikat er kompromittert.
Referanser
https://www.digicert.com/position-on-1-year-c[...]

Kritisk feil i Cisco Smart Software Manager On-Prem (CVE-2020-3158) kan gi fjerntilgang til systemkonto

Cisco har oppdaget i feil i et Cisco-verktøy som brukes for lisensbehandling (CVE-2020-3158). Feilen kan gi fjerntilgang for ikke-autentiserte angripere slik at de kan aksessere sensitive deler av systemet med høye privilegier. Feilen skyldes en systemkonto med et statisk standard-passord.
Anbefaling
Cisco har sluppet en oppdatering som fikser feilen, og det anbefales å oppdatere omgående.
Referanser
https://cve.mitre.org/cgi-bin/cvename.cgi?nam[...] https://www.digi.no/artikler/kritisk-feil-avd[...] https://tools.cisco.com/security/center/conte[...]

2020.02.21 - Nyhetsbrev

USA beskylder Russlands GRU for aktive cyberangrep i Georgia. Microsoft Defender ATP tilgjengelig for test på seks linux-distribusjoner.

USA beskylder Russlands GRU for aktive cyberangrep i Georgia

Amerikanske myndigheter har gått ut med beskyldninger mot den russiske militære etterretningstjenesten GRU etter lang tids etterforskning. I uttalelsen beskyldes GRU for aktivt å forstyrre georgiske private og statlige interesser med angrep som har pågått over lengre tid. Russlands GRU er aktive i flere av de gamle sovjetstatene, og har blitt knyttet til aktivitet fra APT-grupperingen Sandworm. Sandworm har blitt identifisert som hovedaktøren bak bl.a. NotPetya-ormen og Olympic Destroyer skadevaren. NotPetya-ormen ble designet for å ta ned og forstyrre Ukrainske interesser, og den spredte seg globalt på svært kort tid og tok med seg flere store selskaper, blant annet Maersk. Olympic Destroyer skapte store forstyrrelser under OL i Pyongyang.
Referanser
https://www.wired.com/story/us-blames-russia-[...]

Microsoft Defender ATP tilgjengelig for test på seks linux-distribusjoner

Microsoft har nylig sluppet en åpen testversjon av sin antivirus for bedrifter, Microsoft Defender ATP, til seks av de store server-distribusjonene av Linux. Programvaren sender logger fra antivirus-programvaren til et felles konsoll kalt Microsoft Defender Security Center. Det ryktes også at Microsoft jobber med iOS og Android-versjoner av sin antivirus-suite og skal slippe disse i løpet av 2020.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

2020.02.20 - Nyhetsbrev

Amerikanske myndigheter advarer mot ransomware. Danske ISS rammet av dataangrep. Hackere var i nettverket til Citrix i fem måneder.Kinesiske hackere har brutt seg inn i spill-tjenester.

Amerikanske myndigheter advarer mot ransomware

Amerikanske myndigheter sendte ut en advarsel til alle bransjer som driver kritisk infrastruktur om en ny ransomware-trussel, som kan ha alvorlige konsekvenser dersom den ikke blir adressert. Advarselen kommer i forbindelse med angrep mot et gassledningsanlegg. Trusselaktøren brukte en spear-phishing lenke, og fikk tilgang til organisasjonens IT- og OT-nettverk via skadevaren som ble nedlastet. Videre plasserte angriperen ransomware for å kryptere data på begge nettverkene.
Referanser
https://thehackernews.com/2020/02/critical-in[...]

Danske ISS rammet av dataangrep

Den danske rengjøringsgiganten ISS er rammet av et dataangrep med skadelig programvare, og har stengt ned datasystemer i flere land. «Noen systemer er allerede gjenopprettet. Det er ingen indikasjon på at kundedata har blitt kompromittert», skriver ISS. Nettsiden deres fungerer ikke som normalt, men viser en kunngjøring on hendelsen. Selskapet ønsker ikke å opplyse om finansielle følger, men aksjen faller.
Referanser
https://e24.no/naeringsliv/i/qLMVa1/danske-is[...]

Hackere var i nettverket til Citrix i fem måneder

Tidligere har det blitt kjent at Citrix har hatt uvedkommende i sine interne nettverk. Nye detaljer tyder på at de var kompromittert i fem månederen i 2018 til 2019. Angriperne fikk tak i informasjon om ansatte, innleide og jobbsøkere. Angriperne kom inn ved å utnytte et svakt passord.
Referanser
https://krebsonsecurity.com/2020/02/hackers-w[...]

Kinesiske hackere har brutt seg inn i spill-tjenester

Trend Micro melder at en gruppe kinesiske hackere skal ha kompromittert flere firmaer som driver med online gambling/spill i Asia. Angriperne har fått tak i kildekode og oversikt over brukere og det virker ikke som om de har finansielle motiver. Grupperingen bak angrepene kalles DRBControl og settes i sammenheng med Winnti og Emissary Panda.
Referanser
https://www.zdnet.com/article/chinese-hackers[...]

2020.02.19 - Nyhetsbrev

Mer enn hundre millioner PC-komponenter inneholder fremdeles sårbar firmware. Utpressing av Google AdSense-kunder.

Mer enn hundre millioner PC-komponenter inneholder fremdeles sårbar firmware

Eclypsium rapporterer at en rekke nettverkskort, Wi-Fi adaptere, USB-huber og webkameraer bruker firmware som kan oppdateres med usignert kode, og kan skrives om uten noen form for sikkerhetskontroll. Deteksjon og mitigering vil være nesten umulig dersom koden skjules i obskure komponenter. Sårbarheten har vært et kjent problem i årevis, med det er liten fremgang i å eliminere den.
Referanser
https://www.wired.com/story/firmware-hacks-vu[...]

Utpressing av Google AdSense-kunder

Svindlere truer nettsider som bruker annonser via AdSense med å sende nok søppeltrafikk mot annonsene, til at Google sine automatiserte anti-svindelsystemer suspenderer brukerens AdSense-konto. Svindlerne sender eieren av nettsiden en e-post, og krever betaling via kryptovaluta mot et løfte om å ikke utføre angrepet. Google svarer med at de har gode nok verktøy og prosesser til å filtrere bort søppeltrafikken. Videre forteller Google at det finnes et skjema som kan fylles ut av AdSense-kunder som mistenker de blir utsatt for sabotasje.
Referanser
https://krebsonsecurity.com/2020/02/pay-up-or[...]

2020.02.18 - Nyhetsbrev

Phishingkampanje mot tyrkiske bedrifter.

Phishingkampanje mot tyrkiske bedrifter

En malspam-kampanje rettet mot mer enn 80 tyrkiske bedrifter forsøker å spre malwaren Adwind RAT. Kampanjen har pågått siden 2018 og angriperne har i løpet av kampanjen tatt i bruk nye teknikker for å minske deteksjonsraten.
Referanser
https://research.checkpoint.com/2020/the-turk[...]

2020.02.17 - Nyhetsbrev

Amerikanske myndigheter avslører malware brukt av aktør knyttet til Nord Koreanske myndigheter. USA sikter Huawei for å ha forsøkt å tilegne seg forretningshemmeligheter fra seks amerikanske selskaper. Israelske soldater lurt til å installere malware av Hamas agenter. Iranske hackergrupper prioriterer å utnytte kjente svakheter i VPN og RDP produkter.

Amerikanske myndigheter avslører verktøyene til Nord Koreanske myndigheter

Amerikanske myndigheter har publisert detaljer om syv forskjellige verktøy som er i bruk av den Nord Koreanske grupperingen som blant annet går under navnene Lazarus og Hidden Cobra. De publiserte detaljene inneholder en analyse av verktøyene, samt en rekke indikator for å oppdage dem.
Referanser
https://www.us-cert.gov/ncas/current-activity[...] https://arstechnica.com/tech-policy/2020/02/u[...]

USA sikter Huawei for å ha forsøkt å tilegne seg forretningshemmeligheter fra seks amerikanske selskaper

USA sikter Huawei for å ha forsøkt å tilegne seg forretningshemmeligheter fra seks ulike amerikanske selskaper. Den nye siktelsen anklager Huawei for å tilby bonuser til ansatte for å stjele forretningshemmeligheter fra konkurrenter.
Referanser
https://www.cyberscoop.com/huawei-us-rackeete[...]

Israelske soldater lurt til å installere malware av Hamas agenter

Hamas agenter skal ha lurt Israelske soldater til å installere malware-infiserte apper ved å utgi seg for å være kvinner på sosiale medier. Applikasjonen som ble installert skulle brukes til å dele bilder, men ville tilsynelatende ikke la seg installere, men ble likevel liggende i bakgrunnen og kjøre. Applikasjonen kunne blant annet eksfiltrere bilder, sms, kontakter, samt dele geolokasjon i realtime til angriper og ta bilder med telefonens kamera.
Referanser
https://www.zdnet.com/article/israeli-militar[...]

Iranske hackergrupper prioriterer å utnytte kjente svakheter i VPN- og RDP-produkter

Sikkerhetsfirmaet Clearsky har publisert en rapport som omhandler operasjoner utført av den Iranske aktøren blant annet kjent som Fox Kitten. Blant funnene i rapporten er at det virker som om aktøren prioriterer å utnytte kjente svakheter i forskjellige VPN- og RDP-løsninger så fort blir kjent. Dette gjøres for å tilegne seg og beholde tilgang til ofres infrastruktur over tid. Svakheter som er identifisert brukt av aktøren er Pulse Secure CVE-2019-1151, Fortinet FortiOS CVE-2018-1337 og Palo Alto Networks VPN CVE-2019-157.
Referanser
https://www.clearskysec.com/fox-kitten/

2020.02.14 - Nyhetsbrev

12 svakheter i Bluetooth Low Energy enheter fra syv leverandører. Microsoft har sluppet 99 sikkerhetsoppdateringer. Adobe med 21 kritiske oppdateringer. Mozilla slipper oppdateringer for Firefox og Thunderbird . Nylig avdekket Emotet-variant kan spre seg mellom Wi-FI-nettverk.

12 svakheter i Bluetooth Low Energy enheter hos syv leverandører

Denne uken ble det oppdaget 12 svakheter i Bluetooth Low Energy enheter fra syv forskjellige leverandører. Svakhetene kan bl.a. tillate en angriper å krasje, fryse, re-starte eller få tilgang til å lese/skrive funksjoner i enheten. Enheter som er verifisert til å være sårbare er bl.a. Fitbit Inspire smartwatch, Eve Energy smart plug, August Smart Lock eGee Touch TSA Lock og CubiTag item tracking tag.
Referanser
https://www.theregister.co.uk/2020/02/13/doze[...]

Microsoft har sluppet 99 sikkerhetsoppdateringer

Microsoft har sluppet flere kritiske oppdateringer til Windows og andre produkter i februar. Av de mest kritiske nevnes en zero-day i Internet Explorer som kan utnyttes ved hjelp av en spesiallaget nettside (CVE-2020-0674). Denne svakheten ble offentliggjort i januar og har vært aktivt utnyttet. Det nevnes også en ekstern kodeeksekverings-bug i SQL Server 2012, 14 og 16, Windows 7, 8 og 10 samt Server 2008, 12, 16 og 19 (CVE-2020-0618 og CVE-2020-0662). Det er også nye kritiske svakheter i Remote Desktop Protocol.
Referanser
https://threatpost.com/microsoft-active-attac[...] https://portal.msrc.microsoft.com/en-us/secur[...]

Adobe med 21 kritiske oppdateringer

Adobe slipper oppdateringer for 42 CVEer i denne månedens oppdateringer. I Adobe Framemaker er det fikset 21 kritiske sårbarheter, de fleste er OOB write feil. I Adobe Reader er det fikset en feil som lot en angriper kjøre kode på maskinen ved åpning av en spesiallaget fil.
Referanser
https://www.zerodayinitiative.com/blog/2020/2[...]

Mozilla slipper oppdateringer for Firefox og Thunderbird

Mozilla har sluppet oppdateringer til Firefox, Firefox ESR og Thunderbird. Oppdateringene retter flere svakheter klassifisert med moderat alvorlighet, blant annet to minnehåndteringsfeil.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Nylig avdekket Emotet-variant kan spre seg mellom Wi-FI-nettverk

En nylig avdekket Emotet-variant har muligheten til å spre seg til usikre WiFi-nettverk som ligger i nærheten til en infisert enhet. Den allerede etablerte og utbredte Emotet-skadevaren, har siden tilbakekomsten i september brukt flere nye taktikker for å stjele legitimasjon og spre trojaneren. Den nye varianten ble oppdaget 23. januar, men selve programfilen har et tidsstempel fra 4/16/2018. Forskere anbefaler å blokkere denne nye Emotet-teknikken ved bruk av sterke passord for å sikre trådløse nettverk.
Anbefaling
Forskere på anbefaler å blokkere denne nye Emotet-teknikken ved bruk av sterke passord for å sikre trådløse nettverk.
Referanser
https://threatpost.com/emotet-now-hacks-nearb[...]

2020.02.13 - Nyhetsbrev

Ubeskyttet database hos Estèe Lauder avdekket.

Ubeskyttet database hos Estèe Lauder avdekket

Sikkerhetseksperten Jeremiah Fowler avdekket ubeskyttet mellomvare med tilhørende database med 440,336,852 innslag hos Estèe Lauder. Innholdet i databasen viste en blanding av epostadresser til både internt ansatte og kunder, passord i klartekst og mye annet. Ifølge Fowler, kunne innholdet i databasen være tilstrekkelig til å kompromittere flere av de andre tjenestene internt i konsernet. Hullet er nå lukket og tjenesten er sikret. Det kommer ikke fram om databasen har blitt misbrukt.
Referanser
https://securityaffairs.co/wordpress/97675/da[...]

2020.02.11 - Nyhetsbrev

I dag er det #safeinternetday #SID2020 og dette markeres av blant annet Datatilsynet i foredrag som streames fra Tromsø. USA har siktet fire kinesiske militære in absentia for hacking av Equifax. Kraftig DDoS-angrep slår ut 1/4 av Irans Internet. Persondata om 6,5 Millioner israelske velgere eksponert.

I dag er det #safeinternetday #SID2020 og dette markeres av blant annet Datatilsynet i foredrag som streames fra Tromsø

Datatilsynet markerer i dag at det er #safeinternetday og skriver på sine hjemmesider blant annet om hvordan du som bruker kan håndtere e-postsvindel og pornosvindel. I artikkelen viser de også til NorSIS sin rapport om Trusler og Trender 2019-2020.
Referanser
https://www.datatilsynet.no/aktuelt/aktuelle-[...]

Kraftig DDoS-angrep slår ut 1/4 av Irans Internet-forbindelse

Forbes skriver i dag om et kraftig angrep rettet mot Irans internett-forbindelse som angivelig forstyrret trafikken over hele landet. Trafikken inn og ut av landet ble redusert med 25% under angrepet.
Referanser
https://www.forbes.com/sites/daveywinder/2020[...]

USA har siktet fire kinesiske militære in absentia for hacking av Equifax

Det amerikanske justisdepartementet har opprettet siktelser mot fire medlemmer av det kinesiske militære etter at de angivelig hacket kredittsjekk-firmaet Equifax i 2017. I løpet av denne operasjonen hentet de ut kredittdata og personlige data om 145 millioner amerikanere.
Referanser
https://www.washingtonpost.com/national-secur[...]

Persondata om 6,5 Millioner israelske velgere eksponert

En app brukt av Benjamin Netanyahu under valgkampen skal ha eksponert persondata om 6,5 millioner velgere. Navn, adresser og identifikasjonsnummer er lekket.
Referanser
https://www.nytimes.com/2020/02/10/world/midd[...]

2020.02.10 - Nyhetsbrev

FBI etterforsker 1000 tilfeller av kinesiske industrispionasje.

FBI etterforsker 1000 tilfeller av kinesiske industrispionasje

Den amerikanske regjeringen har holdt en konferanse om kinesisk industrispionasje mot amerikanske teknologibedrifter. Bedriftene blir advart mot spionasje og får råd om hvordan de kan hindre og oppdage virksomheten. Myndighetene sier at aksjonene er beordret direkte fra myndighetene i Kina.
Referanser
https://www.zdnet.com/article/fbi-is-investig[...]

2020.02.07 - Nyhetsbrev

Universitet betalte løsepenger etter å ha blitt rammet av kryptovirus. Bluetooth-sårbarhet i Android.

Universitet betalte løsepenger etter å ha blitt rammet av ransomware

Digi melder om at et universitet i byen Masstricht i Belgia ble rammet av ransomware som krypterte store mengder av deres filer. Universitetet hadde tidligere denne uken en konferanse om hva som skjedde hvor det kom fram at de hadde tatt beslutningen om å betale 30 Bitcoin i løsepenger for å få nøkkelen som kunne låse opp filene.
Referanser
https://www.digi.no/artikler/universitet-valg[...]

Bluetooth-sårbarhet i Android

3. november 2019 ble det oppdaget en sårbarhet i Bluetooth på Android-versjoner 8.0 til 9.0. Sårbarheten lar andre brukere eksekvere kode på offerets enhet så lenge de vet Bluetooth MAC-adressen. Svakheten har CVE-kode 2020-0022, og har blitt patchet i den siste sikkerhetsoppdateringen for februar som nevnt i gårsdagens nyhetsbrev.
Referanser
https://insinuator.net/2020/02/critical-bluet[...]

2020.02.06 - Nyhetsbrev

Idrettsforbundet har latt opplysninger om 3.2 millioner utøvere, trenere og ledere ligge åpent på nett i 87 dager. Google fikser to kritiske svakheter i Android. Cisco patcher kritiske svakheter i CDP-protokollen. Zigbee-svakhet åpner for angrep på Philips Hue Bridge via sårbar lyspære. Chrome er ute i ny versjon.

Google har sluppet Chrome versjon 80

Google Chrome er ute i versjon 80. Den nye versjonen inneholder 56 sikkerhetsfikser.
Referanser
https://chromereleases.googleblog.com/2020/02[...]

Opplysninger om over 3 millioner medlemmer av idrettsforbundet lå åpent på nett

TV2 melder at opplysninger om 3.2 millioner norske utøvere, trenere og ledere lå åpent på nett uten tilgangskontroll i 87 dager. Datatilsynet prioriterer å få klarhet i saken.
Referanser
https://www.tv2.no/nyheter/11192094/

Cisco fikser svakheter i Cisco Discovery Protocol (CDP)

Cisco oppdaterer fem kritiske svakheter i sin Cisco Discovery Protocol. Svakhetene gjør det mulig å ta full kontroll over sårbart Cisco-utstyr på lokalnettet og bryte gjennom segmentering. Dette gjør millioner av enheter sårbare. Vi anbefaler å patche disse svakhetene så fort som mulig.
Anbefaling
Oppdater hvis mulig
Referanser
https://threatpost.com/critical-cisco-cdpwn-f[...] https://www.armis.com/cdpwn/

Google utbedrer to kritiske Android-svakheter i sin februar-oppdatering

Google oppdaterer to kritiske svakheter i februar oppdateringen. Dette gjelder bla svakhet CVE-2020-0022. Denne muliggjør ekstern kodeeksekvering Android 9.0 og 8.0 og 8.1. Også på nyeste versjon av Android, versjon 10, kan dette resultere i et tjenestenekt angrep.
Anbefaling
Oppdater Android enhet hvis mulig
Referanser
https://threatpost.com/critical-android-bugs-[...]

Zigbee svakhet muliggjør angrep på Philips Hue Bridge via Hue lyspære

En gruppe forskere hos Check Point har avdekket muligheten for å misbr uke en sårbar lyspære for å angripe Philips Hue Bridge. Via enda en sårbarhet i Hue Bridge kan så resten av nettverket angripes. Informasjonene ble gitt til leverandøren for 3 måneder siden, og en oppdatering ble utgitt i januar 2020. Sårbarhetene skal allerede ha blitt automatisk patchet på utstyr som er i bruk.
Anbefaling
Oppdater Hue Bridge
Referanser
https://www.techhive.com/article/3519435/a-ne[...]

2020.02.05 - Nyhetsbrev

RCE-svakhet avdekket i OpenSMTPD. WireGuard VPN-protokollen blir en del av Linux 5.6 kjernen.

RCE-svakhet avdekket i OpenSMTPD

En svakhet i OpenSMTPD-biblioteket, som kommer som standard på en rekke BSD- og Linux-distribusjoner, gjør det mulig å eksternt eksekvere vilkårlig kode. Eventuelle kommandoer som kjøres vil ha administratorprivilegier på maskinen. OpenSMTPD-utviklere bekrefter svakheten og opplyser at en oppdatering som fikser den nå er tilgjengelig. Angripere kan utnytte svakheten ved å sende spesielt utviklede pakker til en server som kjører programvaren. Svakheten har fått CVE-kode 2020-7247 og anses som svært alvorlig.
Referanser
https://www.zdnet.com/article/rce-in-opensmtp[...]

WireGuard VPN-protokollen blir en del av Linux 5.6 kjernen

WireGuard er en VPN-protokoll utviklet av kjerne-utvikler og sikkerhetsforsker Jason Donenfeld. Han opprettet opprinnelig protokollen som et alternativ til IPsec og OpenVPN. Linus Torvalds har nå tatt protokollen direkte inn i versjon 5.6 av Linux-kjernen. Hele WireGuard-protokollen består av omtrent 4 000 linjer med kode, sammenlignet med OpenVPN på ca. 100 000. Dette gjør det enklere for sikkerhetsforskere å undersøke protokollen og avdekke svakheter. Protokollen er tilgjengelig for både Windows, macOS, BSD, iOS og Android.
Referanser
https://www.techradar.com/in/news/wireguard-v[...]

2020.02.04 - Nyhetsbrev

Trickbot bytter til ny Windows 10 UAC-bypass for å unngå deteksjon. DoppelPaymer Ransomware selger eller publiserer stjålet data. EKANS ransomware stopper aktivt prosesser relatert til ICS-systemer. ZDNet har publisert en liten oppsummering av GDPR reaksjoner så langt.

DoppelPaymer Ransomware selger eller publiserer stjålet data

Det rapporteres om at ransomware som kalles DoppelPaymer eksfiltrerer offerets data før de krypteres. De truer så med å selge eller publisere dataene som er blitt eksfiltrert hvis offeret ikke betaler. Gruppen som står bak skadevaren skal ha sagt at de tidligere har solgt data fra kompromitterte systemer når offeret ikke har betalt.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

EKANS ransomware stopper aktivt prosesser relatert til ICS systemer

Det rapporteres at en variant ransomware, som blant annet kalles EKANS, har en liste med prosesser den vil forsøke å stoppe. På denne listen står blannet annet flere komponenter som brukes i forbindelse med ulike industrikontrollsystemer. Se link for detaljert beskrivese av malwaren.
Referanser
https://dragos.com/blog/industry-news/ekans-r[...]

ZDNet har publisert en liten oppsummering av GDPR reaksjoner så langt

ZDNet har publisert en liten oppsummering over GDPR reaksjoner så langt. Totalt skal 190 GDPR bøter eller reaksjoner ha blitt gitt. De fleste reaksjonene så langt har kommet i forbindelse med feil i forbindelse med håndtering av brukerdata, og ikke som et resultat av sikkerhetsbrudd.
Referanser
https://www.zdnet.com/article/guess-what-gdpr[...]

Trickbot bytter til ny Windows 10 UAC bypass for å unngå deteksjon

Morphisec Labs har lagt ut en rapport som viser hvordan malwaren Trickbot har klart å komme seg rundt Windows 10 sin brukerkontokontroll (UAC). Dette gjøres ved å misbruke WSReset.exe for å tilegne seg høyere rettigheter på systemet. TrickBot ble opprinnelig utviklet for å stjele bank-kontoinformasjon i 2016, men har etter hvert utviklet seg til å være en trojaner som er svært vanskelig å detektere. Den har også mange funksjoner i sitt arsenal, blant evnen til å stjele passord-data eller remote-desktop kontoinformasjon.
Referanser
https://threatpost.com/trickbot-switches-to-a[...]

2020.02.03 - Nyhetsbrev

ShadowPad brukt i målrettet angrep mot universiteter i Hong Kong.

ShadowPad brukt i målrettet angrep mot universiteter i Hong Kong

Skadevaren ShadowPad, attribueres til grupperingen "Winnti Group", og er observert i et målrettet angrep mot flere universiteter i Hong Kong. Gruppen er tidligere kjent for supply-chain angrep mot CCleaner og Asus. Det mistenkes at angrepet har sammenheng med den pågående politiske situasjonen i området.
Referanser
https://www.welivesecurity.com/2020/01/31/win[...]