2020.03.30 - Nyhetsbrev

Svakhet i IOS åpner for LightSpy overvåkingsverktøy. VPN bypass-svakhet i iOS 13.4 åpner for informasjonslekkasjer

Svakhet i IOS åpner for LightSpy

Et vannhullsangrep, oppdaget 10 januar 2020, utnytter en svakhet i iOS til å fjerninstallere overvåkningsrammeverket LightSpy. Spredningen virker hovedsaklig å være ved hjelp av ulike sosiale plattformer. Angrepene har sitt opphav i Hong Kong, og det spekuleres om angrepet kan knyttes til APT gruppen Spring Dragon/Lotus Blossom/Billbug(Thrip).
Referanser
https://securelist.com/ios-exploit-chain-depl[...]

VPN bypass-svakhet i iOS 13.4

En svakhet i Apple iOS 13.4 forhindrer VPN-applikasjoner fra å kryptere all trafikk. I det brukeren aktiverer en VPN skal alle eksisterende tilkoblinger avsluttes og gjenopprettes. Svakheten innebærer at enkelte tilkoblinger forblir åpne, og dermed lekker informasjon som enhetens IP-adresse frem til de lukkes. Frem til det lanseres en oppdatering anbefaler Apple brukere å benytte Always-on VPN direkte i iOS, men dette løser ikke problemet for personer som ønsker å benytte- eller er avhengige av tredjeparts VPN-klienter.
Referanser
https://threatpost.com/apple-unpatched-vpn-by[...] https://protonvpn.com/blog/apple-ios-vulnerab[...]

2020.03.27 - Nyhetsbrev

Hackergruppe har brukt hele fem 0-dagssvakheter i kampanje mot Nord-Korea. BadUSB-angrep brukt i reelt angrep mot amerikansk selskap.

Hackergruppe har brukt hele fem 0-dagssvakheter i kampanje mot Nord-Korea

Google avslører at en hackergruppe har brukt ikke mindre enn fem 0-dagssvakheter i en phishing- og spionasje-kampanje mot Nord-Korea i fjor. Kaspersky skal ha knyttet aktiviteten til en gruppe kjent som DarkHotel, som har vist interesser i Nord-Korea tidligere. Sør-Korea skal stå bak gruppen og operasjonen.
Referanser
https://www.wired.com/story/north-korea-hacki[...] https://blog.google/technology/safety-securit[...]

BadUSB-angrep brukt i reelt angrep mot amerikansk selskap

Et amerikansk selskap opplevde en sjelden form for BadUSB-angrep. Selskapet mottok et brev i posten med et forfalsket gavekort fra BestBuy og en minnepenn som angivelig skulle inneholde en liste over varer de kunne benytte gavekortet på. Mottakeren var skeptisk til innholdet og ba om ekstern hjelp. Da USB-enheten ble plugget inn i en isolert maskin oppdaget de at den fungerte som et tastatur og emulerte diverse tastetrykk for å laste ned skadevare på enheten.
Referanser
https://www.zdnet.com/article/rare-badusb-att[...]

2020.03.26 - Nyhetsbrev

Rekordhøy svindeltrafikk i Telenors mobilnett. Angripere bruker hjemmerutere til å videresende brukere til falske sider .

Rekordhøy svindeltrafikk

Kriminelle utnytter digitaliseringen av samfunnet til egen fordel, også i en pandemisituasjon som vi er i nå. Telenor har merket en økning av svindelforsøk fra uke 8 til uke 12. Det har blitt sperret tre ganger flere svindelanrop og elleve ganger flere spoofing-anrop.
Referanser
https://www.digi.no/artikler/telenor-melder-o[...]

Angripere bruker hjemmerutere til å videresende brukere til falske sider

Angrepet begynner med at en uvedkommende tar kontroll over en hjemmeruter, muligens ved å gjette brukernavn og passord til en skytjeneste på ruteren, og endrer DNS-innstillingen. Dette lar angriperen sende brukeren til en falsk side i stedet for nettsiden brukeren spør etter og her bes han om å laste ned en skadelig fil forkledd som informasjonsapp for COVID-19. Denne filen laster ned og kjører en malware kalt Oski som har som mål å stjele sensitive data som innloggingsinformasjon.
Referanser
https://labs.bitdefender.com/2020/03/new-rout[...]

2020.03.25 - Nyhetsbrev

Apple oppdaterer iOS og iPadOS til 13.4. APT41 med større global kampanje. Ny skadevarekampanje rettet mot Midtøsten oppdaget. Rapport kartlegger potensielle angrepsflater mot O365 ved bruk av Azure. Kritisk sikkerhetsoppdatering for Adobe Creative Cloud Desktop. DoS svakhet oppdaget i Memcached.

Apple oppdaterer iOS og iPadOS til 13.4

Apple oppdaterer iOS og iPadOS til versjon 13.4. Oppdateringen inneholder flere sikkerhetsoppdateringer. Blant annet fikses flere feil i WebKit som ved utnyttelse kunne gitt muligheter for ekstern kodeeksekvering.
Referanser
https://support.apple.com/en-us/HT211102

APT41 med større global kampanje

FireEye rapporterer at den kinesiske trusselaktøren APT41 har vært svært aktiv i løpet av årets første kvartal. Det er observert forsøk på innbrudd hos 75 FireEye kunder. Angrepene skjer blant annet ved hjelp av svakheter i Citrix Netscale, Cisco routere og Zoho ManageEngine.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Ny skadevarekampanje rettet mot Midtøsten oppdaget

Forskere hos Kaspersky har oppdaget en hittil ukjent skadevarekampanje rettet mot industri i Midtøsten. Skadevaren har fått navnet Milum og utfører rekognosering på maskinene som er infisert. C2 kommunikasjon er kryptert med RC4.
Referanser
https://threatpost.com/wildpressure-malware-c[...]

Rapport kartlegger potensielle angrepsflater mot O365 ved bruk av Azure

I en nylig utgitt artikkel har forskere fra Varonis utforsket mulige angreps-flater mot Office 365. Forskerne har konsentrert seg om Azure og Azure apps integrasjon mot O365 plattformen. Det konkluderes med at det kan være lett å lure brukere til å godta 3-parts applikasjoner gjennom f.eks phising-forsøk.
Referanser
https://www.darkreading.com/cloud/how-attacke[...]

Kritisk sikkerhetsoppdatering for Adobe Creative Cloud Desktop

Adobe har sluppet en sikkerhetsoppdatering for Adobe Creative Cloud Desktop Application. Oppdateringen tetter en kritisk svakhet som kan utnyttes til å slette filer i konteksten til den innloggede brukeren.
Anbefaling
Oppdater berørte systemer.
Referanser
https://blogs.adobe.com/psirt/?p=1852

DoS svakhet oppdaget i Memcached

Memcached er et populært distribuert minne-cache-system. En svakhet har blitt oppdaget i programvaren som gjør det mulig å eksternt ta ned tjenesten. Det er ikke klart enda om den kan utnyttes til å oppnå ekstern eksekvering av vilkårlig kode. Utviklerne av Memcached reagerer på at de ikke ble gjort oppmerksomme på svakheten før informasjon om den ble publisert offentlig, men har nå gitt ut en oppdatering som forhindrer utnyttelse. Et raskt søk på Shodan viser at rundt 83 000 maskiner har standardporten 11211 åpen mot internett. Det er ikke nødvendigvis slik at alle kjører Memcached programvaren, men det er stor sannsynlighet for at et betydelig antall av dem gjør det.
Anbefaling
Installer nyeste oppdatering. Sørg for at Memcached ikke er eksponert mot internett dersom du ikke har behov for det.
Referanser
https://www.theregister.co.uk/2020/03/24/memc[...]

2020.03.24 - Nyhetsbrev

Zero-day svakhet i Windows utnyttes aktivt. Eposter om Coronavirus brukes til å spre ransomware. 13 alvorlige svakheter avdekket på virtuell Pwn2Own. Avanserte hackere skal ha prøvd å bryte seg inn hos WHO.

Eposter om Coronavirus brukes til å spre ransomware

MalwareHunterTeam har funnet et skadelig vedlegg som sendes sammen med eposter som utgir seg for å inneholde informasjon om Coronavirus. Vedlegget sendes med navnet "CORONAVIRUS_COVID-19.vbs". Dersom det åpnes installerer det Netwalker ransomware på klienten og krypterer automatisk filene. Dette er bare ett av flere eksempler man har sett i løpet av de siste ukene på angrep som utnytter virusutbruddet i forbindelse med phishing- og skadevarekampanjer.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

13 alvorlige svakheter avdekket på virtuell Pwn2Own

Hackerkonferansen Pwn2Own er for første gang avholdt virtuelt i år, grunnet Corona-krisen. Her ble det avdekket feil i produkter fra både Adobe, Apple, Microsoft, Oracle og Ubuntu, og $270.000 ble utbetalt i premier i løpet av konferansen. Angripere klarte både å få SYSTEM-tilgang i Windows samt få tilgang til kjernen i MacOS gjennom å utnytte en svakhet i Safari, samt andre deler av systemet.
Referanser
https://www.scmagazine.com/home/security-news[...]

Avanserte hackere skal ha prøvd å bryte seg inn hos WHO

Reuters melder at stats-sponsede hackere har prøvd å få tilgang til interne kontoer hos WHO, World Health Organisation. Angriperne satte opp et falskt nettsted som ga seg ut for å være innlogings-siden til organisasjonen.
Referanser
https://www.reuters.com/article/us-health-cor[...]

Zero-day svakhet i Windows utnyttes aktivt

Microsoft advarer nå om at en zero-day svakhet i Adobe Type Manager Library, en Windows 10 DLL, aktivt utnyttes i målrettede angrep. Det finnes for øyeblikket ingen oppdatering tilgjengelig som fikser svakheten, men brukere kan endre enkelte innstillinger for å hindre utnyttelse. Disse kan imidlertid ha negativ effekt på systemet. Svakheten gir angriperne mulighet for ekstern kodeeksekvering. Ars Technica viser i sin artikkel spesifikt til hvilke innstillinger som må endres.
Anbefaling
Installer nyeste oppdatering så snart den blir gitt ut. Vurder å implementere mitigeringer i mellomtiden.
Referanser
https://arstechnica.com/information-technolog[...] https://portal.msrc.microsoft.com/en-us/secur[...]

2020.03.20 - Nyhetsbrev

Google har sluppet oppdatering for Chrome. Cisco har sluppet sikkerhetsoppdateringer for SD-WAN. APT28 går mot forsvarsselskaper med i midtøsten.

Google har sluppet oppdatering for Chrome

Google har sluppet oppdatering for Chrome for Windows, Mac og Linux. Den nye versjonen inneholder 13 sikkerhetsutbedrelser, hvor av 9 er rangert med høy kritikalitet.
Referanser
https://chromereleases.googleblog.com/2020/03[...]

Cisco har sluppet sikkerhetsoppdateringer for SD-WAN

Cisco har sluppet oppdatering for Cisco SD-WAN, som utbedrer tre sikkerhetssvakheter med høy kritikalitet. Svakhetene kan gjøre det mulig for en angriper å kjøre kommandoer med root-privilegier. Feilene finnes i forskjellig software og hardware som bruker SD-WAN-funksjonalitet.
Referanser
https://threatpost.com/cisco-warns-of-high-se[...] https://tools.cisco.com/security/center/conte[...]

APT28 går mot forsvarsselskaper med i midtøsten

Trend Micro advarer om at den russiske hackergruppen APT28, også kjent som Fancy Bear og Pawn Storm, har rettet siktet mot forsvarsselskaper i midtøsten. Phishing er nevnt som angrepsvektor.
Referanser
https://www.theregister.co.uk/2020/03/19/apt2[...]

2020.03.19 - Nyhetsbrev

Trend Micro fikser to zero-day svakheter som kunne gi angripere mulighet til å eksekvere kode. Hong Kong gjør sporingsarmbånd obligatoriske for nyankomne.

Trend Micro fikser to zero-day svakheter som kunne gi angripere mulighet til å eksekvere kode.

Trend Micro patchet denne uken to sårbarheter i sine Apex One og OfficeScan XG enterprise sikkerhetsprodukter som kunne føre til at angripere fikk eksekvere kode på maskinen. Angriperen behøver å ha brukertilgang til den lokale maskinen før de kan utnytte svakheten. I tillegg har Trend Micro funnet 3 andre svakheter hvor to av disse kunne brukes til å utføre kommandoer og kjøre kode med admin privilegier.
Referanser
https://www.zdnet.com/article/two-trend-micro[...]

Hong Kong gjør sporingsarmbånd obligatoriske for nyankomne

Alle som skal inn i Hong Kong må nå ta på seg et elektronisk armbånd som kobles opp mot en smarttelefon for å tilby stedssporende tjenester, slik at myndighetene kan være sikre på at nyankomne overholder karantenenekravene til COVID-19. Lokasjon skal visstnok ikke registreres, bare endring av lokasjon. Kina og Israel har gjort lignende tiltak. Det spesielle med denne saken er at det gjøres stikkprøver på folk i karantene ved å starte tilfeldige videoanrop, og det blir gitt bøter til de som bryter systemet.
Referanser
https://www.theregister.co.uk/2020/03/19/hong[...] https://www.theregister.co.uk/2020/03/18/digi[...]

2020.03.18 - Nyhetsbrev

Cyberkriminelle bruker Corona-pandemi for hvitvasking av penger. Adobe har gitt ut månedens oppdateringer.

Cyberkriminelle bruker Corona-pandemi for hvitvasking av penger

Som følge av permitteringer og utstrakt bruk av hjemmekontor i forbindelse med Corona-pandemi har trolig cyberkriminelle flere kandidater for rekruttering som mellommenn til bruk i finansiell kriminalitet. KrebsonSecurity, en kjent sikkerhetsblogger, har tatt for seg en sak hvor kriminelle forsøker å overføre penger for hvitvasking under dekke av å behandle donerte penger i forbindelse med Corona-pandemien.
Referanser
https://krebsonsecurity.com/2020/03/coronavir[...]

Adobe har gitt ut månedens oppdateringer

Adobe har sluppet oppdateringer for Adobe Genuine Integrity Service, Adobe Acrobat and Reader, Adobe Photoshop, Adobe Experience Manager, Adobe ColdFusion og Adobe Bridge. Vi anbefaler å installere oppdateringer så fort som mulig.
Anbefaling
Installer patcher fra Adobe.
Referanser
https://blogs.adobe.com/psirt/?p=1847

2020.03.17 - Nyhetsbrev

Statistikk viser at ransomware-angrep skjer når IT-avdelingen ikke er på jobb. VMware har kommet med utbedringer til sårbarheter i Workstation og Fusion-programvaren.

Flesteparten av ransomware-angrep skjer når IT-avdelingen har fri

I følge en undersøkelse gjort av amerikanse FireEye, utføres ca. 3 av 4 ransomware-angrep når IT-avdelingen har fri, det vil si på kvelden, natta eller i løpet av helgen. Årsaken er at det da tar lenger tid å få på plass mottiltak.
Referanser
https://www.zdnet.com/article/most-ransomware[...]

VMware gir ut sikkerhetsoppdateringer for flere produkter

VMware har gitt ut sikkerhetsoppdateringer for å fikse sårbarheter i flere produkter, blant annet VMware Workstation og Fusion. En angriper kan utnytte disse sikkerhetsproblemene for å ta kontroll over et berørt system. Det anbefales å gjennomgå VMware Security Advisory VMSA-2020-0004 og oppdatere påvirkede systemer.
Anbefaling
Oppdatere påvirkede systemer.
Referanser
https://www.vmware.com/security/advisories/VM[...]

2020.03.16 - Nyhetsbrev

SMBv3-sårbarhet i Windows rettet. Trusselaktører utnytter Korona-viruset. Sårbarhet i Slack gjorde brukernes session cookies tilgjengelig. Europol arresterer 26 personer for SIM-swapping svindel.

SMBv3-sårbarhet rettet

SMBv3-sårbarheten, med betegnelsen CVE-2020-0796, som ble meldt om i etterkant av patche-tirsdag er nå rettet. Patch ble tilgjengeliggjort torsdag denne uken. Microsoft oppfordrer alle til å oppdatere og sier samtidig at de ikke ser forsøk på utnyttelse av sårbarheten.
Referanser
https://www.cert.dk/da/news/2020-13-03/SMBv3-[...] https://www.bleepingcomputer.com/news/securit[...] https://thehackernews.com/2020/03/patch-worma[...]

Trusselaktører utnytter Korona-viruset

Det observeres at korona-viruset (Covid-19) utnyttes i phishing-kampanjer, hvor mottakere lures til å åpne falske vedlegg som inneholder informasjon om covid-19. I tillegg har det blitt oppdaget at en rekke aktører og malware også gjemmer seg bak påstått informasjon om viruset, inkludert Trickbot, Lokibot og Agent Tesla. Trusselaktører utnytter også situasjonen ved å bruke merkevarer som assosieres med U.S. Center for Disease Control and Prevention (CDC) og Verdens Helse Organisasjon (WHO), i tillegg til lands-spesifikke helseorganisasjoner. Oppsøk offisielle kilder for å få infomrasjon om viruset!
Referanser
https://www.recordedfuture.com/coronavirus-pa[...]

Sårbarhet i Slack gjorde brukernes session cookies tilgjengelig

Sårbarheten i Slack ble funnet av Evan Custodio den 14. november gjennom Slack sitt bountyprogram HackerOne. Ved å bruke HTTP Request Smuggling kunne han få tak i brukernes session cookies og stjele brukernes data. Slack rettet opp i feilen innen tjuefire timer fra innrapportering, og feilen ble offentliggjort på torsdag.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://hackerone.com/reports/737140

Europol arresterer 26 personer for SIM-swapping svindel

Europol har i samarbeid med Spansk og Rumensk politi arrestert 26 personer i forbindelse med SIM-swap svindel. Banden har stjålet €3.5 million fra ofrenes bankkontoer ved å få tilgang til mobilabonnementer og deretter stjele engangskoder tilsendt via SMS.
Referanser
https://thehackernews.com/2020/03/sim-swappin[...]

2020.03.13 - Nyhetsbrev

Google har utbetalt den første årlige Cloud Platform prisen.

Google har utbetalt den første årlige Cloud Platform prisen

Google har betalt ut den første årlige Cloud Platform prisen, som er på 100 000$. Prisen ble gitt til en tysk forsker som fant sikkerhetshull i Google Cloud Shell, som førte til administrator rettigheter og mulighet for å bruke priviligerte containere.
Referanser
https://threatpost.com/100k-google-cloud-shel[...]

2020.03.12 - Nyhetsbrev

Avast Antivirus har kritisk svakhet.

Avast Antivirus har kritisk svakhet

Avast har slått av den innebygde Javascript-motoren i Avast Antivirus etter at det har blitt oppdaget en kritisk svakhet i den. Svakheten kan utnyttes ved å få programvaren til å sjekke en spesielt utformet fil med JavaScript-kode. Angriperen oppnår SYSTEM-rettigheter etter å ha utnyttet svakheten, og den skal være enkel å utnytte. Avast har foreløpig utbedret svakheten ved å slå av JavaScript-kjøring i programmet.
Referanser
https://www.zdnet.com/article/avast-disables-[...]

2020.03.11 - Nyhetsbrev

Kritisk svakhet i SMBv3-protokollen i Windows kan brukes til å lage ormer. Microsoft har sluppet 115 oppdateringer til Windows. Microsoft har kapret og deaktivert botnett med 9 millioner PCer. Hackere har kompromittert sårbare instanser av ManageEngine Desktop Central. Intel SGX utsatt for sårbarhet som kan gi angriper tilgang på sensitiv data.

Kritisk svakhet i SMBv3-protokollen i Windows

Detaljer om en svakhet i Microsoft Server Message Block protokollen har lekket på Internett, deriblant hos Cisco Talos og Fortinet. Svakheten - med betegnelsen CVE-2020-0796 - utbedres ikke av mars måneds patcher fra Microsoft og finnes i siste utgaver av Windows. Exploit-kode er enda ikke tilgjengelig, men det antas at svakheten kan utnyttes til å lage automatisk spredende ormer. Microsoft har sluppet informasjon om hvordan problemet kan foreløpig utbedres ved å skru av komprimering av pakker i SMBv3.
Referanser
https://www.zdnet.com/article/details-about-n[...] https://www.bleepingcomputer.com/news/securit[...] https://portal.msrc.microsoft.com/en-US/secur[...]

Natt til onsdag 11. mars kom Microsoft med sine oppdateringer for mars

Det er sluppet oppdateringer for Windows, Edge, Exchange Server, Office-produktene, Azure med mer. Totalt fikses 115 svakheter, noe som er ny rekord. Av disse har 26 blitt klassifisert som kritiske.
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...] https://www.zdnet.com/article/microsoft-march[...]

Microsoft har kapret og deaktivert botnett med 9 millioner PCer

Microsoft har med hell har tatt ned botnettet til Necurs skadevaren. Dette botnettet hadde infisert over 9 millioner PCer verden over. Operasjonen ble gjennomført i samarbeid med internasjonalt politi og teknologifirmaer i 35 land.
Referanser
https://thehackernews.com/2020/03/necurs-botn[...]

Hackere har kompromittert sårbare instanser av ManageEngine Desktop Central

Desktop Central er et administrasjonsverktøy for endepunkter å styre klienter, servere og mobile enheter. For å sikre seg mot sårbarhetene, må man oppgradere til versjon 10.0.474
Referanser
https://www.helpnetsecurity.com/2020/03/10/cv[...]

Intel SGX utsatt for sårbarhet som kan gi angriper tilgang på sensitiv data

Intel Software Guard Extensions tilbyr utviklere et dedikert område i minnet med høyere beskyttelse kalt enclaves som kan brukes til å lagre passord og andre sensitive data. Forskere har funnet en ny måte å hente ut disse dataene på. Et nytt angrep døpt Load Value Injection (LVI) injiserer data i skjulte buffere som igjen tillater angriperen å overta prosessen for så å hente ut sensitive data som prosessen benytter seg av i tidspunktet for angrepet. Et mulig scenario hvor dette angrepet kan brukes er i nettskyen hvor to brukere kan dele samme prosessor. LVI er et angrep som er vanskelig å gjennomføre og Intel melder at de ikke tror at det er enkelt å gjennomføre et slikt angrep i praksis, og har lansert oppdateringer til SGX software og informasjon om hvordan utviklere kan mitigere slike angrep.
Anbefaling
Referanser
https://arstechnica.com/information-technolog[...]

2020.03.10 - Nyhetsbrev

Russer bak cybercrime-nettbutikk arrestert i USA. Statnett tar grep etter IT-hendelse hos europeiske ENTSO-E.

Russer bak cybercrime-nettbutikk arrestert i USA

En russisk statsborger som er beskyldt for å ha drevet nettstedet Deer.io har blitt arrestert på John F. Kennedy Airport 7. mars. Nettstedet har gjort det mulig for brukere å opprette egne nettbutikker for å selge kredittkortinfo og stjålne kontoer siden 2013. FBI mener nesten alle nettbutikkene på plattformen drev med ulovlig virksomhet.
Referanser
https://www.zdnet.com/article/fbi-arrests-rus[...]

Statnett tar grep etter IT-hendelse hos europeiske ENTSO-E

Det har blitt avdekket cyberinnbrudd i de administrative IT-systemene til den europeiske samarbeidsorganisasjonen for systemansvarlige nettselskaper, ENTSO-E. Statnett, som er medlem i ENTSO-E, arbeider med å undersøke hendelsen og stanse eventuell spredning. Angrepet skal ikke ha berørt kritiske kontrollsystemer.
Referanser
https://www.cyberscoop.com/european-entso-bre[...] https://www.entsoe.eu/news/2020/03/09/entso-e[...] https://www.statnett.no/om-statnett/nyheter-o[...]

2020.03.09 - Nyhetsbrev

Aktiv utnyttelse av sårbarhet i Microsoft Exchange. Svakheter i AMD-prosessorer fra 2011 til 2019.

Aktiv utnyttelse av sårbarhet i Microsoft Exchange

I følge Volexity, et britisk sikkerhetsfirma, blir en sårbarhet i Microsoft Exchange server aktivt utnyttet av flere statsstøttede hacker-grupperinger. Sårbarheten, som allerede er fikset i ny versjon sluppet 11. februar, muliggjør ekstern kjøring av kode, men krever at angriperen har en gyldig konto på serveren.
Referanser
https://www.zdnet.com/article/multiple-nation[...] https://portal.msrc.microsoft.com/en-US/secur[...]

Svakheter i AMD-prosessorer fra 2011 til 2019

AMD prosessorer som er produsert mellom 2011 og 2019 er sårbare for to nye angrep. Forskning har avdekket at data som prosesseres i prosessoren tillater uthenting av sensitiv informasjon, og kan utgjøre en sikkerhetsrisiko. AMD mener at opplysningene som kommer fram i rapporten ikke er nye.
Anbefaling
Installere patch når denne blir tilgjengelig fra AMD.
Referanser
https://www.tomshardware.com/news/new-amd-sid[...]

2020.03.06 - Nyhetsbrev

Leverandør av utstyr til det Amerikanske forsvaret rammet av ransomwareangrep. Intel CSME svakhet mer kritisk enn først antatt (Høy). En kritisk feil i PPPD gjør mange linux-systemer sårbare for fjernkjøring av kode (CVE-2020-8597) (Høy).

Leverandør av utstyr til det Amerikanske forsvaret rammet av ransomwareangrep

Communications & Power Industries (CPI) som holder til i California leverer komponenter til utstyr som benyttes av det Amerikanske forsvaret. Selskapet innrømmer å ha blitt rammet av et ransomware-angrep. En kilde sier til TechCrunch at de angivelig skal ha betalt 500 000 amerikanske dollar for å dekryptere filene. Kilden opplyser også om at angriperene fikk tilgang ved at en domene-administrator klikket på en ondsinnet lenke mens vedkommende var logget inn.
Referanser
https://techcrunch.com/2020/03/05/cpi-ransomw[...]

Intel CSME svakhet mer kritisk enn først antatt

I Mai 2019 publiserte Intel en sikkerhetsoppdatering som fikset en svakhet i Converged Security and Mangement Engine (CSME) på prosessoren. CSME benyttes til å verifisere all firmware som lastes inn på Intel-baserte maskiner. Sårbarheten fikk på dette tidspunktet tildelt koden CVE-2019-0090, men er i følge en sikkerhetsforsker, Mark Ermolov, fra Positive Technologies mer alvorlig enn først antatt. Blant annet viser det seg nå at svakheten også kan utnyttes av malware lokalt på en maskin, og at man ikke nødvendigvis trenger fysisk tilgang til systemet. Videre har svakheten flere angrepsvektorer som ikke fjernes ved å installere oppdateringen. Ermlov sier at den eneste måten å beskytte seg mot svakheten for nå er å bytte ut prosessoren med en 10. generasjons Intel-prosessor.
Anbefaling
Installer sikkerhetsoppdateringen fra Mai 2019
Referanser
https://www.zdnet.com/article/intel-csme-bug-[...]

En kritisk feil i PPPD gjør mange linux-systemer sårbare for fjernkjøring av kode (CVE-2020-8597)

Det er oppdaget en 17 år gammel svakhet (CVE-2020-8597) i bakgrunnsprosessen til Point-to-Point Protocol (PPP) som muliggjør fjernkjøring av kode. PPPD kommer forhåndsinstallert på de fleste Linux-baserte operativsystemer, og har fått en CVSS score på 9.8.
Anbefaling
Det anbefales å installere sikkerhetsoppdateringer så snart som mulig.
Referanser
https://thehackernews.com/2020/03/ppp-daemon-[...]

2020.03.05 - Nyhetsbrev

Microsoft stenger mulighet for misbruk av subdomene-registrering i Azure. Apple lanserer flere endringer i regler for innhold i Apple Store.

Microsoft stenger mulighet for misbruk av subdomene-registrering i Azure

Microsoft har vært åpne for misbruk gjennom en svaket i sin Azure navnetjener-løsning over lengre tid. Ved å registrere en Azure-tjener i Azure DNS, har alle med en aktiv Azure-konto kunnet registrere underdomener på samtlige av Microsofts hoved-domener og deretter potensielt gjøre utstrakt HTTP og DNS videresending fra egne og andres tjenere. Undersøkelser gjort av ansatte i sikkerhetsselskapet Vullnerability, viser at det er over 670 registreringer som utnytter svakheten. De rapporterer alt de finner til Microsoft, og Microsoft har svart med å stenge registrering på deres aktive domener.
Referanser
https://www.theregister.co.uk/2020/03/04/micr[...]

Apple lanserer flere endringer i regler for innhold i Apple Store

Apple har varslet at de nå åpner for målrettet reklame-eksponering gjennom apper i sine iOS økosystem. Samtidig har de varslet at de ønsker å rulle ut sin "Sign in with Apple" løsning som åpner for at brukere kan få en single sign-on løsning tilsvarende tjenesten flere andre aktører som Google og Facebook tilbyr. De har også varslet strengere regime og regler for å slippe gjennom nye apper i Apple Store. Hensikten er å vaske vekk apper som ikke leverer det Apple kaller "unike opplevelser med høy kvalitet".
Referanser
https://www.theverge.com/2020/3/4/21165087/io[...]

2020.03.04 - Nyhetsbrev

Lets Encrypt trekker tilbake mange millioner av TLS-sertifikater. Feil i MediaTek-driver kan utnyttes til rettighetseskalering på Android-enheter.

Lets Encrypt trekker tilbake mange millioner av TLS-sertifikater

Lets encrypt trekker tilbake rundt 3 millioner TLS-sertifikater som et resultat av en feil. Denne feilen skyldes hvordan deres programvare kontrollerte eierskap av domenet før et sertifikat ble utgitt, og ble oppdaget forrige søndag. Tilbaketrekkingen skjer fra klokken 21 i kveld.
Referanser
https://threatpost.com/lets-encrypt-revoke-mi[...] https://www.digi.no/artikler/millioner-av-let[...]

Feil i MediaTek-driver kan utnyttes til rettighetseskalering på Android-enheter

En alvorlig feil i "MediaTek Command Queue"-driveren (CVE-2020-0069) kan utnyttes til eskalering av rettigheter på Adroid-enheter. Feilen er adressert av Google i denne månedens oppdatering. Android-utviklere sier imidlertid at det har eksistert en kjent utnyttelse for feilen siden april i fjor, og at den utnyttes aktivt av cyberkriminelle.
Anbefaling
Det anbefales å oppdatere til mars-oppdateringen av Android dersom denne er tilgjengelig for din Android-enhet.
Referanser
https://threatpost.com/mediatek-bug-actively-[...]

2020.03.03 - Nyhetsbrev

Google fikser no-user-interaction bug i Androids bluetooth komponent. Nvidia patcher Denial of Service svakheter i sine GPU drivere og vGPU programvare.

Google fikser no-user-interaction bug i Androids bluetooth komponent

Denne uken har Google patchet et kritisk sikkerhetshull i Androids bluetooth komponent. Sikkerhetshullet tillot misbruk av bluetooth uten noen brukerinteraksjon, og kunne bli brukt til å lage selvspredende bluetooth ormer. Sikkerhetshullet er patchet i Security Bulletin-en for Februar, som man kan laste ned allerede denne uken. Sårbarheten kan bli utnyttet så lenge bluetooth er skrudd på på enheten. Fra kilden sies det at sårbarheten kan brukes til eksekvere kode via bluetooth daemonen uten å bli oppdaget. Det eneste som en angriper trenger er bluetooth MAC addressen som kan bli hentet ut basert på WiFi MAC addressen. Sårbarhten fungerer ikke på Android versjon 10 og nyere, men kan føre til DoS angrep for versjon 10 brukere.
Referanser
https://www.zdnet.com/article/google-fixes-no[...]

Nvidia patcher Denial of Service svakheter i sine GPU drivere og vGPU programvare.

I CVE-2020-5957 og CVE-2020-5958 fikset Nvidia Denial of Service svakheter i GPU driverne og vGPU programvaren sin. Den mest kritiske av disse svakhetene er den første som er en bug i Nvidia-kontrollpanel komponenten av GPU driveren for Windows. Denne buggen tillater brukere med lokal system tilgang å korruptere en system fil, noe som kan føre til Denial of Service eller rettighetseskalering. Nvidia fikset også en til bug i GPU driveren for Windows hvor en lokal bruker kunne plante en falsk DLL fil slik at man kunne oppnå kode eksekvering eller Denial of Service.
Referanser
https://www.securityweek.com/nvidia-patches-d[...]

2020.03.02 - Nyhetsbrev

Kritisk sårbarhet i Apache Tomcat.

Kritisk sårbarhet i Apache Tomcat

En ny kritisk sårbarhet i Apache Tomcat, med kallenavnet "Ghostcat", tillater angriper i visse tilfeller å kunne eksekvere vilkårlig kode på web-serveren. Sårbarheten kan utnyttes dersom man ikke har skrudd av AJP connector, som muliggjør kommunikasjon med serveren over port 8009. Sårbarheten er tildelt CVE-nummer CVE-2020-1938 og kan utnyttes på alle versjoner av Tomcat 9 før 9.0.31, Tomcat 8 før 8.5.51, og Tomcat 7 før 7.0.100.
Referanser
http://cve.mitre.org/cgi-bin/cvename.cgi?name[...] https://www.zdnet.com/article/ghostcat-bug-im[...] https://access.redhat.com/security/cve/cve-20[...]