2020.04.30 - Nyhetsbrev

Økt aktivitet mot Microsoft Remote Desktop. VMware patcher XSS-svakhet i ESXi. Google har sluppet sikkerhetsoppdateringer til Chrome.

Økt aktivitet mot Microsoft Remote Desktop

Gjennom de siste to månedene med endrede rutiner i forbindelse med Covid-19, har antall bruteforce-angrep mot MS Remote Desktop mer enn 6-doblet seg. Dmitry Galov i Kaspersky Labs uttaler at den globale nedlåsningen av samfunnet og den økte aktiviteten på hjemmekontor har vist et markant fokusskifte der dårlig sikrede RDP-maskiner er en populær angrepsvektor. Han uttaler videre at det er forholdsvis enkelt å sikre seg mot dette ved å bruke sterkere passord og multifaktor-autentisering. RDP-tjenester bør også legges bak VPN-forbindelser dersom de bruker av bedrifter.
Referanser
https://threatpost.com/millions-brute-force-a[...]

VMware patcher XSS-svakhet i ESXi

VMware har kommet med en patch til en Stored Cross-Site Scripting svakhet i ESXi med CVE-2020-3955. Svakheten gjorde at en angriper som hadde tilgang til å endre egenskapene til en virtuell maskin fra inni gjeste operativsystemet, som f.eks. å kunne forandre hostname, kunne legge inn skadelige script som blir kjørt i offeret sin browser når vedkommende åpnet ESXi host klienten og så på den virtuelle maskinen.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Google har sluppet sikkerhetsoppdateringer til Chrome

Google har sluppet Chrome versjon 81.0.4044.129 for Windows, Mac og Linux. Oppdateringen utbedrer 2 use-after-free svakheter.
Anbefaling
Installer patch.
Referanser
https://chromereleases.googleblog.com/2020/04[...]

2020.04.29 - Nyhetsbrev

PhantomLance spionkampanje via Google Play fortsetter. Google med oppdatering til Chrome. Sårbarhet i Junos OS J-WEB.

PhantomLance spionkampanje via Google Play fortsetter

Kampanjen navngitt av Kaspersky i Desember 2015 blir fremdeles observert aktivt i samples på Google Play og andre 3-parts app-biblioteker. Den ondsinnede koden er diskré, og kampanjen ser ut til å sikte seg inn på Sørøst Asia. Av kapabiliteter som nevnes er blant annet geodata, telefonlogger, sms-aktivitet og metadata om telefonen.
Referanser
https://threatpost.com/sophisticated-android-[...]

Google med oppdatering til Chrome

Chrome oppdateres til v 81.0.4044.129 for Windows, Mac og Linux. Oppdateringen tettet to sikkerhetshull, CVE-2020-6462 og CVE-2020-6461. Begge svakhetene har alvorlighetsgrad høy, og kan gi en potensiell angriper tilgang til berørte systemer.
Referanser
https://chromereleases.googleblog.com/2020/04[...]

Sårbarhet i Junos OS J-WEB

Juniper har publisert informasjon om en sårbarhet i Junos Webserver. Løsningen brukes b.a i J-WEB, ZTP, DVPN og Firewall autentisering. Basert på konfigurasjon tillater sårbarheten i ytterste konsekvens en autorisert angriper å kjøre kode. Sårbarheten er spesielt alvorlig ved bruk av J-WEB.
Anbefaling
Sjekk om du er berørt av sårbarheten.
Referanser
https://kb.juniper.net/InfoCenter/index?page=[...]

2020.04.27 - Nyhetsbrev

NSA forteller om populære metoder for å plante webshell. Funn relatert til COVID-19 og sikkerhetstrusler. Opp til 160 000 Nintendo-kontoer hacket. Microsoft patcher Teams svakhet som kunne brukes til å ta over kontoer.

NSA forteller om populære metoder for å plante webshell

Et samarbeid mellom NSA og ASD har resultert i en oversikt over metoder som ofte blir benyttet til å plante web shell. De anbefaler videre at man sjekker eksponerte og interne servere for kjente web shell. De presiserer viktigheten med å beskytte seg mot web shell, da dette kan fungere som en bakdør inn i den interne infrastrukturen.
Referanser
https://www.zdnet.com/article/nsa-shares-list[...]

Funn relatert til COVID-19 og sikkerhetstrusler

Sikkerhetsanalytikerne Google TAG har kartlagt hvordan COVID-19 blir benyttet i dagens phishing trender. De observerer blant annet: falske forespørsler på vegne av frivillige organisasjoner og forsøk på mimikere kommunikasjon mellom arbeidsgivere og arbeidstakere. Google rapporterer at de observerer 18 millioner malware og phishing relaterte eposter daglig, og 240 millioner COVID-19 relaterte spam mailer. TAG har også observert hvordan angripere med statlig tilhørighet benytter seg av COVID-19 i sine phishing og malware kampanjer.
Referanser
https://blog.google/technology/safety-securit[...]

Opp til 160 000 Nintendo-kontoer hacket

Hackere har fått tilgang på opp til 160 000 Nintendo Network IDer. NNID er en eldre type konto som ble brukt for nettverksspilling på Nintendo Wii U og 3DS. Flere av de kompromitterte kontoene var linket til nyere Nintendo kontoer med tilknyttet betalingsinformasjon, og flere brukere har meldt fra om at deres kontoer har blitt brukt til kjøp av andre enn dem selv.
Referanser
https://www.hackread.com/nintendo-accounts-ha[...] https://www.techrepublic.com/article/how-to-p[...]

Microsoft patcher Teams svakhet som kunne brukes til å ta over kontoer

Microsft Teams har rullet ut en oppdatering som skal fikse en svakhet som gjorde det potensielt mulig å ta kontroll på en Teams konto ved å dele et bilde fra et teams.microsft.com domene under angripers kontroll. Svakheten i Teams sammen med en subdomain takover av et dårlig sikret subdomene under teams.microsoft.com, gjorde det mulig å få tilsendt autentiseringsheadere som kunne gjenbrukes. Microsoft skal ha fikset svakheten ved å legge begrensinger i Teams applikasjonen, samt fikse de dårlig sikrede domene under teams.microsft.com.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2020.04.24 - Nyhetsbrev

Apple finner ingen bevis for utnyttelse av sårbarheten i Mail applikasjonen i iPhone og iPad.

Apple finner ingen bevis for utnyttelse av sårbarheten i Mail applikasjonen i iPhone og iPad

Apple har ikke funnet noen bevis for at sårbarheten i MIME-biblioteket, som ble omtalt i gårsdagens nyhetsbrev, har blitt forsøkt utnyttet. De har konkludert med at svakheten ikke er en umiddelbar risiko for brukerne av applikasjonen og at de snart vil utgi en fiks.
Referanser
https://www.bloomberg.com/news/articles/2020-[...]

2020.04.23 - Nyhetsbrev

Hackere har brutt seg inn på over 60 reklame-servere og lagt inn ondsinnede reklamer. Evil Eye angriper iOS i nytt målrettet angrep mot Uigurer. Remote code execution svakhet i standard epost-applikasjon på iOS.

Hackere har brutt seg inn på over 60 reklame-servere og lagt inn ondsinnede reklamer

I løpet av de siste 9 månedene har en hackergruppe tatt seg inn på over 60 reklame-servere og byttet ut legitime reklamer med ondsinnede reklamer. Disse ondsinnede reklamene sender brukere til nedlastningssider for malware. Firmaet Confiant, som oppdaget operasjonen, sier at svakheten som ble utnyttet lå i gamle versjoner av Revive open-source ad server. Hackergruppen utnyttet denne svakheten for å få fotfeste på ad serverene. Når den ondsinnede reklamen lastes inn på en nettside, vil brukere bli sendt til malware sider, ofte skjult som Adobe Flash Player-oppdateringer. Confiant sier at angrepene fra grupperingen fortsatt er pågående.
Referanser
https://www.zdnet.com/article/hackers-have-br[...]

Evil Eye angriper iOS i nytt målrettet angrep mot Uigurer

Evil Eye angriper iOS-enheter gjennom kompromitterte nettsider knyttet til minoritetsgruppen Uigurer. Angrepene ble lastet inn enten via iframes eller modifiserte javascript på nettsidene. Avhengig av en sjekk mot User-Agent-strengen, ville iframen returnere enten et "OK" eller to skadelige javascript-filer som utnytter svakheter i WebKit. Deretter gjøres en ny sjekk for å bekrefte at iOS-utgaven er sårbar. Ved et vellykket angrep vil enheten få et INSOMNIA implantatet installert som gir Evil Eye tilgang til å fjernstyre enheten. Svakheten som utnyttes fungerer til og med verson 12.3.2 av iOS.
Referanser
https://www.volexity.com/blog/2020/04/21/evil[...]

Remote code execution svakhet i standard epost-applikasjon på iOS

En svakthet i MIME-biblioteket har ført til at angripere kan oppnå heap overflow og kjøring av tilfeldig kode ved å sende spesielt utformede eposter til iOS-enheter. Feilen skyldes at det ikke er feilsjekking på systemkallet ftruncate() som kan lede til Out-of-bound overskriving av minne og heap overflow. Svakheten kan trigges selv før hele eposten er nedlastet fra mailserveren. For iOS brukeren er det veldig vanskelig å oppdage at man har blitt kompromittert. For iOS 12-brukere kan epost-applikasjonen krasje eller bli tregere. For iOS 13 merker man kun en svak treghet i epost-applikasjonen. Zec-ops som har oppdaget svakheten sier at den fungerer på alle versjoner av iOS siden 2012. Svakheten er fikset i siste beta-utgave av iOS, versjon 13.4.5. Den har blitt brukt i målrettede angrep til å kompromittere iOS-enhetene til toppsjefer i fimaer, journalister og ansatte hos sikkerhetsleverandører.
Referanser
https://blog.zecops.com/vulnerabilities/unass[...] https://www.theregister.co.uk/2020/04/22/appl[...]

2020.04.22 - Nyhetsbrev

Norsk leverandør til Havbruksnæringen utsatt for hackerangrep. Frankrike utfordrer Apple på Covid-19 app og sporing av brukerinformasjon. Facebook spør britiske brukere om Covid-19 symptomer. Fire IBM nulldags-sårbarheter avslørt etter at IBM nektet å patche disse.

Norsk leverandør til Havbruksnæringen utsatt for hackerangrep

Steinsvik, et norsk selskap som er leverandør til norsk Havbruksnæring har fått kryptert store mengder data på sine servere. Angrepet er meldt politiet og Datatilsynet
Referanser
https://www.digi.no/artikler/norsk-selskap-op[...]

Frankrike utfordrer Apple på Covid-19 app og sporing av brukerinformasjon

Franske myndigheter presser Apple og krever at deres snarlig utrullede Covid-19 app skal kunne kjøre i bakgrunnen uten å levere de posisjonsdata og andre private data, som Apple ønsker, utenfor franske grenser.
Referanser
https://www.bbc.com/news/technology-52366129

Facebook spør britiske brukere om Covid-19 symptomer

BBC melder at Facebook fra i går av begynte å spørre utvalgte brukere om de har symptomer på Covid-19 som ledd i en symptom-undersøkelse. Dette ble gjort i USA fra 6. april og publiseres i et "Symptom kart" på Facebook.
Referanser
https://www.bbc.com/news/technology-52373986

Fire IBM nulldags-sårbarheter avslørt etter at IBM nektet å patche disse

En sikkerhetsanalytiker avslørte hele 4 nulldags-sårbarheter i IBMs Data Risk Manager, et Enterprise sikkerhetsverktøy. Analytikeren varslet IBM som nektet å patche disse. Sårbarhetene har i etterkant blitt offentliggjort på GitHub.
Referanser
https://www.zdnet.com/article/security-resear[...]

2020.04.21 - Nyhetsbrev

Målrettede angrep mot oljeselskaper før OPEC-møte.

Målrettede angrep mot oljeselskaper før OPEC-møte

BitDefender har en artikkel om nylige angrep mot diverse selskaper innenfor oljesektoren. Angrepene tok seg opp i ukene før det viktige OPEC-møtet som nylig ble avholdt.
Referanser
https://labs.bitdefender.com/2020/04/oil-gas-[...]

2020.04.20 - Nyhetsbrev

Cognizant kompromittert av Maze ransomware.

IT leverandøren Cognizant er kompromittert av Maze

På fredag sendte Cognizant ut eposter til sine kunder med en liste over servere og filer som indikerte at de var kompromittert. Cognizant har i etterkant bekreftet angrepet. McAfee lister opp en rekke ip addresser som har blitt benyttet i tidligere angrep. Aktørene har trolig hatt tilgang til nettverket en stund. Hvis Maze står bak angrepet, så burde det anses som en datalekkasje.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://news.cognizant.com/2020-04-18-cogniza[...] https://www.mcafee.com/blogs/other-blogs/mcaf[...]

2020.04.17 - Nyhetsbrev

Økning av "Double Extortion" løsepengevirus-angrep

Løsepengevirus-ofre har siden slutten av 2019 opplevd en økning av angrepsmetoden "Double Extortion". Angripere som har mislyktes i å utpresse ofre ved kun å kryptere maskiner i nettverket, har begynt å publisere stjålet intern informasjon for å legge ekstra press bak løsepengekravet. Dersom offeret ikke betaler, kan store mengder intern informasjon bli lekket offentlig på Internet.
Referanser
https://threatpost.com/double-extortion-ranso[...]

2020.04.16 - Nyhetsbrev

Oracle slipper 397 sikkerhetsoppdateringer. Cisco fikser flere alvorlige svakheter i UCS Director og UCS Director Express. Angrepskode for zero-day svakhet i Zoom tilbys for 500000 dollar.

Oracle slipper 397 sikkerhetsoppdateringer

Oracle slipper 397 sikkerhetsoppdateringer denne måneden for flere produkter, blant annet MySQL, GraalVM, Java og Oracle Database Server.
Referanser
https://www.oracle.com/security-alerts/cpuapr[...]

Cisco tetter alvorlige svakheter i UCS Director og UCS Director Express

Cisco fikser 17 alvorlige svakheter i Unified Computing System, nærmere bestemt svakheter i UCS Director og UCS Director Express, som skal kunne utnyttes til å bl.a. bryte seg inn i sårbare systemer ved å omgå autentisering.
Referanser
https://www.networkworld.com/article/3537992/[...] https://tools.cisco.com/security/center/conte[...]

Angrepskode for zero-day svakhet i Zoom tilbys for 500000 dollar.

Sikkerheten i video-kommunikasjonsløsningen Zoom har vært omdiskutert den siste tiden, og nå meldes det at det angivelig skal være mulig å få kjøpt en zero-day svakhet som gjør det mulig å kjøre vilkårlig kode på en Microsoft klient for 500000 dollar. Det skal også eksistere en zero-day svakhet i MacOS klienten, men denne skal ikke være like lett å utnytte.
Referanser
https://www.vice.com/en_us/article/qjdqgv/hac[...] https://www.digi.no/artikler/hevder-angrepsko[...]

2020.04.15 - Nyhetsbrev

Microsoft med flere viktige sikkerhetsoppdateringer. Adobe med sikkerhetsoppdateringer til Cold Fusion, AfterEffect og Digital Editions. Intel slipper flere sikkerhetsoppdateringer.

Microsoft med flere viktige sikkerhetsoppdateringer

Microsoft slipper en større sikkerhetsoppdatering denne måneden. Totalt er 113 sikkerhetshull tettet. Av 113 er 19 kategorisert som kritiske, og 94 som viktige. 4 av disse er spesielt viktige, da de utnyttes aktivt, og to er allerede offentlig publisert. CVE-2020-0968, en zero-day som kan gi ekstern tilgang via feilhåndtering av minne i Internet Explorer. Svakheten utnyttes ved å lure bruker til å besøke f.eks en nettside med kode som utnytter svakheten. CVE-2020-1020, kan utnyttes ved å få brukeren til å vise en spesiallaget font. Gir ekstern tilgang. Det samme gjelder for CVE-2020-0938. Den siste CVE-2020-1027, kan misbruke måten Windows Kernel håndterer minne til å elevere brukerrettigheter.
Anbefaling
Oppdater berørte systemer
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]

Adobe med sikkerhetsoppdateringer til Cold Fusion, AfterEffect og Digital Editions.

Adobe har slupper sikkerhetsoppdateringer til flere av sine produkter. Totalt adresseres 4 CVEer. Feilene i ColdFusion er viktigst, og tetter en svakhet som lar en angriper rettighetseskalere. For After Effects og Digital Editions er det snakk om feil som tillater informasjonsuthenting.
Anbefaling
Oppdater berørte systemer.
Referanser
https://www.thezdi.com/blog/2020/4/14/the-apr[...]

Intel slipper flere sikkerhetsoppdateringer

Intel slipper flere sikkerhetsoppdateringer denne måneden. Oppdateringene berører flere produkter, som b.a NUC, Support Assistant og WiFi Manager. Sårbarhetene som er nevnt innebærer blant annet mulighet for ekstern kodeeksekvering.
Anbefaling
Oppdater berørte systemer.
Referanser
https://www.us-cert.gov/ncas/current-activity[...]

2020.04.14 - Nyhetsbrev

Apple og Google går sammen om å lage smittesporingssystem. Wall Street Journal: Travelex betalte $2.3 millioner i løsepenger. Nytt og kraftig IoT-botnet oppdaget. DoppelPaymer ransomware-gruppen lekket informasjon. Signal advarer mot å innføre EARN IT-loven i USA. Fleeceware-apper har økt i popularitet. Folkehelseinstituttet sin app for smittesporing er snart klar. Cloudflare bytter til hCaptcha. Kritisk svakhet avdekket i VMWare.

Apple og Google går sammen om å lage smittesporingssystem

Teknologigigantene Apple og Google samarbeider om å tilby teknologi til kontaktsporing til myndigheter og folkehelseorganisasjoner. Begge selskapene vil gjøre endringer i sine mobiloperativsystemer for bedre å støtte funksjonaliteten. Det blir lagt stor vekt på personvern under utviklingen, og data sendes ikke inn sentralt før en person blir bekreftet smittet. Systemet med tilhørende apper skal vært klar ti løpet av mai.
Referanser
https://arstechnica.com/information-technolog[...] https://www.digi.no/artikler/google-og-apple-[...]

Wall Street Journal: Travelex betalte $2.3 millioner i løsepenger

Ved begynnelsen av nyåret ble selskapet Travelex rammet av et Sodinokibi ransomwareangrep og mottok et løsepengekrav på $3 millioner. En rapport fra Wall Street Journal hevder at firmaet betalte $2.3 millioner for å få gjenopprettet systemene sine.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Nytt og kraftig IoT-botnet oppdaget

Et nytt botnett som har fått navnet dark_nexus har blitt oppdaget. I hovedsak benytter botnettet seg av IoT-enheter som hjemmerutere, video-opptakere, varmekameraer o.l. Sikkerhetforskere fra BitDefender har analyster dark_nexus og konkludert med at det har gjenbrukt deler av koden til Qbot og Mirai, men at kjernemodulene tilsynelatende er originale. Hittil er minst 1372 enheter infisert. BitDefender legger også til at koden til botnettet er langt mer robust og har større potensiale enn andre konkurrenter, blant annet ved at det kan kjøre på 12 forskjellige typer prosessorer.
Referanser
https://arstechnica.com/information-technolog[...] https://www.bitdefender.com/files/News/CaseSt[...]

DoppelPaymer ransomware-gruppen lekket informasjon

Gruppen bak Windows ransomware-varianten DoppelPaymer har lekket en rekke konfidensielle dokumenter etter at infiserte ofre nektet å betale løsepengesummen. Blant de rammede er blant annet Boeing, Lockheed Martin og SpaceX. Dokumentene ble stjålet fra Visser Precision, et entrepenørfirma som i stor grad utfører oppdrag for kunder innen luftfart-, romfart- og bilindustrien. Dette er ikke første gang DoppelPaymer har lekket informasjon på grunn av manglende betaling.
Referanser
https://www.theregister.co.uk/2020/04/10/lock[...]

Signal advarer mot å innføre EARN IT-loven i USA

Signal er en gratis applikasjon som tilbyr ende-til-ende kryptering av tekst og tale. I forbindelse med den pågående pandemien har applikasjonen opplevd en stor økning i antall brukere. Nå oppfordrer de sine amerikanske brukere til å stille seg mot den foreslåtte EARN IT-loven. Den nye loven medfører at innhold i applikasjonen skal kunne tilgjengeliggjøres for myndighetene ved særskilt behov, f.eks. for å forhindre kriminalitet. En representant fra Signal sier at de vurderer å trekke seg ut av det amerikanske markedet fullstendig dersom loven innføres. De viser også til at loven vil ha negativ innvirkning på den generelle befolkningen, mens kriminelle vil benytte andre alternativer for å beholde ende-til-ende kryptering.
Referanser
https://uk.pcmag.com/security-5/125569/messag[...]

Fleeceware-apper har økt i popularitet

Fleeceware er en relativt ny betegnelse som omfatter applikasjoner som utnytter prøvetids-funksjonalitet på diverse app-markeder. I utgangspunktet skal funksjonen gi fri tilgang til ellers betalt innhold i en applikasjon for en begrenset prøveperiode. Ved installasjon informeres det om at abonnementet må sies opp innen prøvetiden er over for å unngå belastning. Mange laster ned applikasjonene og sørger for å slette dem før prøvetiden er over, men blir likevel belastet. Dette skjer fordi utviklerne har mulighet til å styre hvordan abonnementet avsluttes. Mange krever derfor at man går gjennom innviklede prosedyrer og avslutter ikke abonnementet dersom applikasjonen avinstalleres. Enkelte Fleeceware-applikasjoner belaster kundene med opp til 240 amerikanske dollar for grunnleggende funksjonalitet. Sophos ga 8. April ut en rapport som viser at denne typen applikasjoner nå også har blitt populære på Apples App Store. Etteforskerne hos Sophos hevder at mange av applikasjonene også er i strid med Apples retningslinjer for abonnement i applikasjoner. Flere av applikasjonene, blant annet Zodiac Master Plus har likevel blitt en av de bestselgende applikasjonene på App Store.
Referanser
https://news.sophos.com/en-us/2020/04/08/ipho[...] https://www.zdnet.com/article/fleeceware-apps[...]

Folkehelseinstituttet sin app for smittesporing er snart klar

Folkeheseinstituttet arbeider med å utvikle en app som skal gi økt evne til smittesporing i forbindelse med Covid-19 pandemien. Appen benytter GPS- og Blueooth-teknologi for å informere alle som har vært innenfor ~2 meters avstand til bekreftet smittede. Av personvernhensyn kommer de ikke til å oppgi nøyaktig tidspunkt, men bare hvilken dag man kan ha blitt smittet. Myndigheten i Norge vil heller ikke følge opp på om enkeltpersoner beveger seg utenfor en eventuell karantene, slik som man har sett tilfeller av i f.eks. Israel. Områdedirektør Gun Peggy Knudsen i FHI sier at appen snart er klar for nedlastning og at smittesporingsfunksjonaliteten vil bli implementert gradvis. I motsetning til løsningene flere andre land har gått for, skal posisjonsdataene til nordmenn lagres sentralt.
Referanser
https://www.digi.no/artikler/fhis-korona-app-[...]

Cloudflare bytter til hCaptcha

reCAPTCHA (Completely Automated Turing Test To Tell Computers And Humans Apart) leveres av Google og er brukt på rundt 1.2 millioner nettsteder. Tidligere i år informerte Google om at de skal begynne å ta betalt for hyppig bruk av reCAPTCHA. Derfor har Cloudflare nå bestemt seg for å bytte leverandør og går over til hCaptcha som vant anbudet. Cloudflare sier at det var flere grunner til å bytte leverandør og henviser til økt personvernhensyn, samt at Google er delvis blokkert i Kina og dermed utgjør et problem for nesten en fjerdedel av alle som benytter internett.
Referanser
https://www.theregister.co.uk/2020/04/09/clou[...]

Kritisk svakhet avdekket i VMWare

En kritisk svakhet som kan føre til lekkasje av informasjon har blitt avdekket i VMWare. Svakheten ligger i VMWare Directory Service (vmdir) som er en del av VMWare vCenter Server. Årsaken til svakheten er en feilaktig implementasjon av aksess-kontroll som gjør det mulig å unngå autentiseringsmekanismer. Svakheten har fått tildelt koden CVE-2020-3952 og har fått den høyeste mulige alvorlighetsscoren på 10.0. For å forhindre utnyttelse av svakheten er man nødt til å oppdatere til nyeste versjon.
Anbefaling
Oppdater til nyeste versjon.
Referanser
https://threatpost.com/critical-vmware-bug-co[...]

2020.04.08 - Nyhetsbrev

Microsoft kjøper domenet corp.com. Svakheter i Safari gjorde det mulig for uautoriserte nettsider å få tilgang til kamera på iOS og macOS. DarkHotel APT angriper SangFor VPN-servere.

Microsoft kjøper domenet corp.com

I februar annonserte en privatperson at domenet corp.com skulle auksjoneres bort og satte minstebud til å være 1.7 millioner amerikanske dollar. Domenet er av særlig interesse fordi det ligger hardkodet i utallige versjoner av Windows som en del av ActiveDirectory (AD). Det vil si at et mangfold av maskiner verden over konstant forsøker å dele informasjon med det. Nå har Microsoft kjøpt domenet for å forhindre at noen andre kan benytte det til ondsinnede formål. Det kommer ikke frem hvor mye Microsoft måtte betale for å kjøpe domenet.
Referanser
https://krebsonsecurity.com/2020/04/microsoft[...]

Svakheter i Safari gjorde det mulig for uautoriserte nettsider å få tilgang til kamera på iOS og macOS

En kjede på av tre svakheter gjorde det mulig å lure Apple-enheter til å tro at en ondsinnet nettside faktisk var en nettside man kunne stole på, for så å kjøre JavaScript-kode som fikk tilgang til kameraet til offeret uten å måtte spørre om tilgang. Apple tildelte sikkerhetsforskeren 75.000 dollar for å ha funnet en exploit i "Network Attack without User Interaction: Zero-Click Unauthorized Access to Sensitive Data" kategorien. Apple fikset svakhetene i Safari 13.1.
Referanser
https://www.ryanpickren.com/webcam-hacking-ov[...] https://support.apple.com/en-gb/HT211104

DarkHotel APT angriper SangFor VPN-servere

DarkHotel er en Advanced Persistent Threat (APT) som hovedsakelig opererer i Øst-Asia og har tidligere gjennomført angrep mot Kinesiske myndigheter. I følge Qihoo 360 Threat Intelligence Center skal DarkHotel ha fått tilgang til mer enn 200 SangFor VPN-servere. Som en del av angrepet erstattet de diverse filer på serverene, forfalsket signaturene og la inn en rekke bakdører. I forbindelse med den pågående pandemien har antallet arbeidstakere som arbeider hjemmefra økt betraktelig og svært mange er avhengige av en VPN for å gjennomføre dette.
Referanser
https://blogs.360.cn/post/APT_Darkhotel_attac[...] https://www.zdnet.com/article/darkhotel-hacke[...]

2020.04.07 - Nyhetsbrev

Oljegiganten Berkine rammet av Maze ransomware-angrep.

Oljegiganten Berkine rammet av Maze ransomware angrep

Oljegiganten Berkine fra Algerie, ble 1. April rammet av et ransomware angrep fra gruppen Maze. Angriperne lekket en database som inneholdt over en halv gigabyte med konfidensiell informasjon. Eksempler på informasjon som har blitt lekket er personaldata, budsjetter, operasjonsplaner og reisedokumenter. Maze-gruppen er kjent for å lekke informasjon dersom de ikke mottar betaling innen fristen de selv setter for ofrene.
Referanser
https://www.hackread.com/maze-ransomware-grou[...]

2020.04.06 - Nyhetsbrev

Russlands statseide teleselskap Rostelecom omdirigerte trafikk ment for Google, AWS og Cloudfare gjennom nettverket sitt. Firefox fikser to 0-dags svakheter i aktiv bruk.

Russlands statseide teleselskap Rostelecom omdirigerte trafikk ment for Google, AWS og Cloudfare gjennom nettverket sitt

1. april ble trafikken til 200 av verdens største CDN-er (Content Delivery Networks) og skyleverandører omdirigert gjennom det russiske selskapet Rostelecom. Hendelsen påvirket mer enn 8800 trafikk-ruter fra 200 forskjellige nettverk og varte i omtrent 1 time. Hijackingen ble utført med en såkalt BGP-hijack, som utnytter Border Gateway Protocol som er en viktig del av dagens Internet. Hvem som helst kan lyve ved å si at de har f. eks. Google sine servere i nettverket sitt, og all trafikk vil gå dit i god tro, og kan dermed avlyttes og manipuleres. Rostelecom som utførte angrepet er en repterende aktør innenfor BGP-hijacking sammen med China Telecom.
Referanser
https://securityaffairs.co/wordpress/101134/s[...] https://www.zdnet.com/article/russian-telco-h[...]

Firefox fikser to 0-dags svakheter i aktiv bruk

Mozilla har gitt ut Firefox 74.0.1 og Firefox ESR 68.6.1. Disse oppdateringene fikser to kritiske svakheter i forbindelse med nettleserens minnehåndtering som allerede utnyttes i målrettede angrep.
Anbefaling
Installer oppdatering.
Referanser
https://www.mozilla.org/en-US/security/adviso[...] https://www.zdnet.com/article/firefox-gets-fi[...]

2020.04.03 - Nyhetsbrev

Ryuk fortsatt aktiv og angriper sykehus, og det er oppdaget flere skadevarer med COVID-19 tema.

Ryuk fortsatt aktiv og angriper sykehus

Ifbm den globale COVID-19 situasjon, ble flere grupper som står bak utpressingsvirus kontaktet for å høre om de ville trappe ned sine angrep på sykehus og helseorganisasjoner. De fleste svarte at de ville trappe ned, men en gruppe, de som står bak Ryuk, fortsetter som før. De svarte heller ikke på forespørslene med nedtrapping som de andre.
Referanser
https://www.cpomagazine.com/cyber-security/ry[...]

Oppsving av skadevare med COVID-19-tema

Som følge av den globale COVID-19 situasjonen, har det blitt oppdaget flere skadevare som har en viss COVID-19-tematikk. Noen av disse er ment som spøk og PoC, men andre fører med seg kode som bl.a. kan overskrive/slette både filer og MBR.
Referanser
https://www.zdnet.com/article/theres-now-covi[...]

2020.04.02 - Nyhetsbrev

Personvern- og sikkerhetsproblemer i videkonferansesystemet Zoom.

Personvern- og sikkerhetsproblemer hos Zoom

Personvernet og sikkerheten i Zoom, en tjeneste for videosamtaler, har vekket bekymring flere steder i det siste og dreier seg om flere forhold. Mange brukere opplever at kanaler de bruker blir invadert av uvedkommende som viser uønsket innhold, også kalt zoombombing. Dette kan motvirkes ved å sette passord på kanalene og slå på muligheten for å godkjenne deltakere. Zoom har også delt data med Facebook i det skjulte, som de ikke skal ha vært klar over selv. Dette skal nå være slått av. Også personvernpolicyen har blitt endret den siste tiden, slik at selskapet forbeholder seg retten til å samle inn, lagre og dele persondata med tredjeparter. Dette inkluderer også innhold i opptak lagret i nettskyen, lynmeldinger, filer, virtuelle tavler og alt annet som deles under bruken av tjenesten. Heller ikke videoer og transkribering av disse, var untatt. Et annet forhold er at verter for møter kan i større grad enn andre overvåke de andre deltakerne ved hjelp av en innebygd funksjon for å bl.a. å se om de andredeltakerne har fokus på zoom-vinduet/appen. Enda et forhold er at kontaktregister-funksjonen lister opp brukere basert på domenenavn, noe som gjør at enkelte brukere opplever å se opptil tusen andre ukjente brukere som inkluderer navn, e-postadresse og bilde.
Referanser
https://www.digi.no/artikler/bruker-du-zoom-t[...] https://www.zdnet.com/article/windows-10-aler[...]

2020.04.01 - Nyhetsbrev

Marriott hoteller nok engang utsatt for datalekkasje av kundedata, NSM frykter corona-relaterte konkurser kan true rikets sikkerhet og FireEye advarer mot at det økende antall hackerverktøy som går etter industrielt utstyr kan bli et problem

Marriott hoteller nok engang utsatt for datalekkasje av kundedata

For andre gang på to år har hotellkjeden Marriott vært utsatt for lekkasje av kundedata. Denne gangen er over 5 millioner kunders data omfattet av lekkasjen. Lekkede data er fullt navn, adresse, e-poster og telefonnumre - som ofte brukes videre i spam-kampanjer
Referanser
https://threatpost.com/millions-guests-marrio[...]

Nasjonal Sikkerhetsmyndighet frykter corona-relaterte konkurser kan true rikets sikkerhet

NSM varslet i et brev til departementene at det er grunn til å forvente at leverandører av sikkerhetsgraderte anskaffelser vil gå konkurs i følge artikkel i DN og Digi.no. Dette kan potensielt medføre at skjermingsverdige verdier kan komme på avveie.
Referanser
https://www.digi.no/artikler/nsm-frykter-konk[...]

FireEye advarer mot at det økende antall hackerverktøy som går etter industrielt utstyr kan bli et problem

Det økende antallet hackerverktøy på markedet som retter seg mot industrielt utstyr gjør det enklere for mindre begavede angripere å utføre digitalt hærverk mot slikt utstyr - noe som øker riskoen for det kan bli flere slike angrep i den industrielle sektoren.
Referanser
https://www.zdnet.com/article/fireeye-warns-a[...]