2021.02.26 - Nyhetsbrev

Artikkel fra ZDNet viser hvordan cyberkriminalitetsgrupper samarbeider sammen

Artikkel viser hvordan cyberkriminalitetsgrupper samarbeider sammen

CrowdStrike har dokumentert hvordan de forskjellige cyberkrim-gruppene samarbeider og hvordan utnytter andre gruppers teknologi for å effektivisere arbeidet sitt.
Referanser
https://www.zdnet.com/article/this-chart-show[...]

2021.02.25 - Nyhetsbrev

Ukraina: Russland hacket seg inn i statlig dokument-portal. Dragos slipper rapport om ICS/OT-sikkerhet. Mozilla har sluppet oppdateringer til Firefox, Firefox ESR, og Thunderbird.

Ukraina: Russland hacket seg inn i statlig dokument-portal

Ukraina beskylder russiske myndigheter for å stå bak et innbrudd i en statlig dokumentportal. Angriperne har plantet skadelige dokumenter med makroer blant de legitime. Makroene i dokumentene lastet ned overvåkingsprogramvare. Tidligere i uken ble også Russland også anklaget for å stå bak et større DDoS-angrep mot Ukraina, spesielt rettet mot forsvarssektoren.
Referanser
https://arstechnica.com/information-technolog[...]

Dragos slipper rapport om ICS/OT-sikkerhet

Dragos har sluppet en rapport der de går igjennom utviklingen innen ICS/OT-sikkerhet for 2020.
Referanser
https://www.dragos.com/blog/industry-news/202[...]

Mozilla har sluppet oppdateringer til Firefox, Firefox ESR, og Thunderbird

Oppdateringene fikser sårbarheter som kunne brukes til å ta over systemet.
Anbefaling
Installer de nødvendige oppdateringene for å fikse sårbarhetene.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

2021.02.24 - Nyhetsbrev

Økende trend å videreselge tilganger til bedriftsnett. VMWare har sluppet oppdatering for å fikse ekstern kodeekseverings-sårbarhet (Høy).

Økende trend å videreselge tilganger til bedriftsnett

Med det økende behovet for fjernaksess, øker også trenden for å tilegne seg og videreselge tilganger til nettverk. RDP-tilganger går i snitt for 9765 dollar, og det er ofte ransomware-aktører som kjøper disse tilgangene. RDP og andre tjenester for fjerntilgang bør alltid gjemmes bak en trygg VPN-forbindelse med to-faktor autentisering.
Referanser
https://www.zdnet.com/article/these-hackers-s[...]

VMWare har sluppet oppdatering for å fikse ekstern kodeekseverings-sårbarhet

VMWare har kommet med en oppdatering som fikser sårbarheten i vCenter som gjør det mulig for en uautentisert angriper å oppnå ekstern kodeeksekvering (CVE-2021-21972). Sårbarheten har en CVSSv3 score på 9.8 av 10.
Anbefaling
Det anbefales å oppdatere sårbare vCenter installasjoner så snart som mulig.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.vmware.com/security/advisories/VM[...]

2021.02.23 - Nyhetsbrev

Tietoevry utsatt for løsepengeangrep. Checkpoint med historien om Jian, hvordan APT 31 stjal og benyttet en 0-dags svakhet.

Tietoevry utsatt for løsepengeangrep

Mandag kveld fikk Tietoevry tekniske problemer med flere tjenester. Dette skyldes et løsepengeangrep. Flere tjenester og infrastruktur har blitt skrudd av og skal taes opp igjen på "en kontrollert måte". NSM og NorCert er varslet og bistår selskapet med håndteringen av saken videre.
Referanser
https://e24.no/boers-og-finans/i/dlkKLB/tieto[...]

The story of Jian/APT31

Checkpoint om hvordan APT31 stjal og benyttet en 0-dags svakhet.
Referanser
https://research.checkpoint.com/2021/the-stor[...]

2021.02.22 - Nyhetsbrev

SonicWall oppdaterer nulldagssårbarhetspatch for SMA 100-serien. Ny skadevare navngitt Silver Sparrow er funnet på 30 000 Mac-maskiner. Antall phishingforsøk som modifiserer url-prefiks har økt. Amerikansk sertifiseringsselskap rammet av løsepengevirus.

SonicWall oppdaterer nulldagssårbarhetspatch for SMA 100-serien

Patchen som ble publisert 3. februar, etter at de ble kjent at SonicWall hadde en nulldagssårbarhet i noen av sine produkter, har nå blitt oppdatert. Oppdateringen forbedrer ytelse, gjør forbedringer i koden og addresserer noen problemer kunder har hatt. Patch umiddelbart, sier leverandøren.
Referanser
https://www.sonicwall.com/support/product-not[...]

Ny skadevare navngitt Silver Sparrow er funnet på 30 000 Mac-maskiner

Skadevaren sjekker inn mot en ekstern server og forventer en payload, men så langt har man ikke oppdaget at dette er blitt levert. Ettersom man ikke har noen payload er det vanskelig å finne ut av hva det endelige målet med skadevaren er. Det er så langt funnet ut at den også har en selv-ødeleggelsesmetode. Det er også vanskelig å analysere hva den gjør siden den bruker MacOS-installer Javascript-API for å eksekvere kommandoene.
Referanser
https://arstechnica.com/information-technolog[...]

Antall phishingforsøk som modifiserer url-prefiks har økt

Et sikkerhetsselskap har lagt ut et blogginnlegg som beskriver en teknikk som modifiserer url-prefikset for å unngå deteksjon av scannere. Teknikken går ut på å endre de to slashene i url-prefikset til for eksempel "/", som potensielt kan føre til at ondsinnede urler brukt i phishingforsøk ikke blir oppdaget. Mange nettlesere vil automatisk korrigere for denne feilen om linken følges. Bruken av denne teknikken har i økt med i underkant 6000 prosent siden starten av året.
Referanser
https://www.greathorn.com/blog-new-phishing-a[...]

Amerikansk sertifiseringsselskap rammet av løsepengevirus

Sertifiseringsselskapet Underwriters Laboratories har blitt rammet av løsepengevirus. Viruset krypterte enheter i datasenteret deres, og de ble nødt til å skru av systemer for å hindre spredning. Dette har ført til at både ansatte og kunder har mistet tilgang til tjenester mens feilen rettes opp.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.02.19 - Nyhetsbrev

Microsoft har sluppet detaljer om hvilke produkter Solarwinds-angriperne fikk tilgang til kildekoden for.

Angreperne bak Solorigate fikk tilgang til følgende Microsoft-kildekode

Microsoft forteller at de er ferdig med sine undersøkelser rundt Solorigate-angrepet (gjennom Solarwinds), og at angriperne fikk tilgang til deler av Microsoft sin kildekode. Ifølge Microsoft gjelder dette en liten del av kildekode for Azure, Intune og Exchange. Filene skal ikke ha inneholdt aktive påloggingsdetaljer brukt i produksjonssystemer, men kan ha gitt angriperne mulighet til å studere kildekoden for potensielle sårbarheter.
Referanser
https://msrc-blog.microsoft.com/2021/02/18/mi[...] https://www.reuters.com/article/us-cyber-sola[...]

2021.02.18 - Nyhetsbrev

Splitter ny sikkerhetsteknologi skal støttes av en rekke nettlesere. Trojaner stjeler pålogginger fra Chromium-nettlesere, Outlook og mer, advarer Cisco Talos. Oljefondet brukte hackerrammet programvare. Detaljer knyttet til Safari-nettleserbasert ScamClub-kampanje avslørt. Første skadelig programvare designet for Apple M1-chip oppdaget. Kia Motors America utsatt for ransomware-angrep. Det hvite hus bekrefter at over ni offentlige etater ble kompromittert i SolarWinds angrepet. USA tar ut tiltale mot tre nordkoreanske hackere som i regi av regjeringen skal ha stålet over 1.2 milliarder dollar.

Splitter ny sikkerhetsteknologi skal støttes av en rekke nettlesere

Windows 10-brukere med en helt ny PC vil snart være bedre beskyttet mot en rekke potensielle sårbarheter i nettleseren. Både Chromium-baserte nettlesere som Chrome, Edge, Vivaldi og Opera, men kanskje også Firefox, skal få støtte for en maskinvarebasert sikkerhetsteknologi som bare støttes av de aller nyeste prosessorene fra Intel og AMD, henholdsvis 11. generasjon Core og Zen 3 Ryzen. Sikkerhetsteknologien heter Control-flow Enforcement Technology (CET).
Referanser
https://www.digi.no/artikler/splitter-ny-sikk[...]

Trojaner stjeler pålogginger fra Chromium-nettlesere, Outlook og mer, advarer Cisco Talos

Cisco Talos har avdekket en trojan som kan stjele påloggingsinformasjonen din fra Chrome-nettleseren, Microsofts Outlook og instant messengers. Trojaneren kan kjøpes for $30 for tre måneders abonnement og spres typisk gjennom e-poster.
Referanser
http://www.theregister.com/2021/02/18/masslog[...]

Oljefondet brukte hackerrammet programvare

Oljefondet var et av 18.000 organisasjoner som lastet ned oppdateringen av programvaren Solarwinds som inneholdt en bakdør i juli i fjor.
Referanser
https://www.digi.no/artikler/oljefondet-brukt[...]

Detaljer knyttet til Safari-nettleserbasert ScamClub-kampanje avslørt

Detaljer om en feil i Apples Safari-nettleser, offentliggjort tirsdag, skisserer hvordan en gruppering kjent som "ScamClub" nådde 50 millioner brukere med en tre måneder lang ondsinnet annonsekampanje som presset skadelig programvare til mobile iOS Chrome og macOS stasjonære nettlesere. Feilen lå i at det var mulig å utføre en redirect fra en nettside med reklame, selv om koden lå i en i-frame.
Referanser
https://threatpost.com/safari-browser-scamclu[...]

Første skadelig programvare designet for Apple M1-chip oppdaget

En av de første ondsinnede programmene som er skreddersydd for å kjøre på Apples M1-brikker, har blitt oppdaget, noe som indikerer at ondsinnede aktører har begynt å tilpasse skadelig programvare til selskapets siste generasjon av Mac-maskiner.
Referanser
https://thehackernews.com/2021/02/first-malwa[...]

Kia Motors America utsatt for ransomware-angrep

Kia Motors America har blitt utsatt for ransomware-angrep av typen DoppelPaymer. Angriperene krever 20 millioner dollar for dekrypterings-nøkkelen og for å ikke dele dataen videre.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Det hvite hus bekrefter at over ni offentlige etater ble kompromittert i SolarWinds angrepet

I en pressekonferanse fra det hvite hus ble det bekreftet at minst ni offentlige etater samt hundre private organisasjoner ble kompromittert i SolarWinds-angrepet. Det hvite hus mener det må ha tatt flere måneder å planlegge angrepet og at det vil ta flere måneder å kartlegge omfanget og skadene.
Referanser
https://www.youtube.com/watch?v=Ta_vatZ24Cs&f[...] https://www.darkreading.com/attacks-breaches/[...]

USA tar ut tiltale mot tre nordkoreanske hackere som i regi av regjeringen skal ha stålet over 1.2 milliarder dollar

Etter etterforskingssamarbeid mellom FBI, CISA, og the Department of Treasury, blir tre nordkoreanske hackere tiltalt for å ha stjålet over 1.2 millarder dollar fra organisasjoner rundt om i verden. Hackerene skal tilhøre det nordkoraenske Reconnaissance General Bureau (RGB) som gjennom hacker-kampanjen "AppleJeus" har utført målrettet angrep mot firmaer som utfører transaksjoner med kryptovaluta og også tradisjonelle finans-institusjoner.
Referanser
https://us-cert.cisa.gov/ncas/alerts/aa21-048a https://www.justice.gov/opa/pr/assistant-atto[...]

2021.02.17 - Nyhetsbrev

Personer bak Egregor-ransomware arrestert i Ukraina.
Gratisversjonen av LastPass blir innsnevret.
Android appen SHAREit har kritiske svakheter.
Hackere har fått tilgang til søkerlistene til UDs aspirantkurs (Medium).

Personer bak Egregor-ransomware arrestert i Ukraina

France Inter melder at flere personer som skal ha tilknytning til utpressningsviruset kjent som Egregor er arrestert av politiet i Ukraina. Egregor blir solgt som "Ransomeware-as-a-service", som gjør at hvem som helst kan utføre slike angrep. Malwarebytes mener det er hovesakelig Cobalt Strike som benyttes som distribusjonsmetode.
Referanser
https://www.digi.no/artikler/aggressivt-utpre[...]

Gratisversjonen av LastPass blir innsnevret

Gratisversjonen av LastPass begrenser bruksenhetene til enten datamaskiner eller mobiler fra og med 16. mars. Man kan bytte mellom den aktive enhetskategorien opp til tre ganger.
Referanser
https://blog.lastpass.com/2021/02/changes-to-[...]

Android appen SHAREit har kritiske svakheter

Android-appen SHAREit har svakheter som kan føre til datalekkasje og lokal- og ekstern kodeeksekvering. Appen har blitt lastet ned over en milliard ganger fra Google Play Store.
Referanser
https://www.trendmicro.com/en_us/research/21/[...]

Hackere har fått tilgang til søkerlistene til UDs aspirantkurs

Hackere har fått tilgang til søkerlistene til UDs aspirantkurs som inneholder detaljert informasjon om livene til søkerne, som kan brukes til identitetstyveri. Flere av deltakerne fikk en falsk e-post som ga seg ut for å komme fra Jobbnorge. Her ble deltakerne bedt om å logge inn med BankID for å bekrefte tidspunkt for intervju på en falsk nettside. Kampanjen virker å være økonomisk motivert.
Anbefaling
Referanser
https://www.aftenposten.no/norge/i/41mX3e/hac[...]

2021.02.16 - Nyhetsbrev

Skadevare-kampanje mot Centreon-systemer. Kritisk sårbarhet i SAP Commerce (Kritisk).

Skadevare-kampanje mot Centreon-systemer

Det er oppdaget en skadevare kampanje mot Centreon-systemer. Centreon er et fransk firma som produserer programvare for system- og nettverksmonitorering. Franrikes Cyber-Security enhet knytter kampanjen mot Sandworm, som igjen knyttes til russlands militære etterretning GRU. Kampanjen skal ha pågått i årevis frem til 2020, hvor de første ofrene skal ha blitt kompromittert allerede i 2017. Sikkerhetseksperter mener at denne kampanjen ikke er et forsyningskjede-angrep, men heller opportunistisk utnyttelse av såbarheter i eksponerte systemer.
Referanser
https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-[...] https://www.cert.ssi.gouv.fr/ioc/CERTFR-2021-[...] https://www.cyber.gov.au/acsc/view-all-conten[...] https://www.zdnet.com/article/france-russian-[...]

Kritisk sårbarhet i SAP Commerce

SAP opplyser om en kritisk sårbarhet i SAP Commerce. Utnyttelse kan føre til ekstern kodeeksekvering. Sårbarheten har fått score 9.9 av 10 med CVE ID CVE-2021-21477 og berører følgende versjoner av produktet: 1808, 1811, 1905, 2005 og 2011.
Anbefaling
Installer patch fra SAP som ble utgitt 9. februar.
Referanser
https://threatpost.com/sap-commerce-critical-[...] https://wiki.scn.sap.com/wiki/pages/viewpage.[...]

2021.02.15 - Nyhetsbrev

Microsofts President anslår SolarWinds angrepet til å være det største og mest sofistikerte noen sinne. Singtel rammet av angrep som utnyttet nulldagssårbarhet.

Microsofts President anslår SolarWinds angrepet til å være det største og mest sofistikerte noen sinne

Microsofts President Brad Smith anslår SolarWinds-angrepet til å være det største og mest sofistikerte angrepet noen sinne. Angriperne utførte et såkalt supply-chain angrep, som distribuerte skadevaren gjennom ekte oppdateringer fra SolarWinds. Sikkerhetseksperter mener at det vil ta flere måneder før man har identifisert alle kompromitterte systemer og kastet ut uvedkommende. Microsoft anslår at over 1000 ingeniører må ha jobbet med å planlegge og gjennomføre angrepet.
Referanser
https://www.reuters.com/article/us-cyber-sola[...]

Singtel rammet av angrep som utnyttet nulldagssårbarhet

Singtel, som er en stor teleoperatør i Asia, har blitt utsatt for et avansert data-angrep. I angrepet ble det benyttet flere sikkerhetshull i Accellion legacy filoverførings plattformen. Produket heter File Transfer Appliance og en nulldagssårbarhet ble fikset i midten av desember 2020. Det kom da frem at det fantes flere nulldags sårbarheter på tjenesten. Bedriften QIMR Berghofer er også rammet, og det skal også være flere ofre for kampanjen. Det er fortsatt usikkert hvor stort skadeomfanget er hos de rammede bedriftene.
Referanser
https://threatpost.com/singtel-zero-day-cyber[...]

2021.02.12 - Nyhetsbrev

Lookout Threat Intelligence har funnet to nye overvåkningsverktøy brukt av Confucius APT-gruppen.

Lookout Threat Intelligence har funnet to nye overvåkningsverktøy brukt av Confucius APT gruppen

Overvåkningsverktøyene kalt for Hornbill og SunBird, er oppdaget av Lookout ved at de blir brukt av APT-gruppen kjent som Confucius. APTen er sponset av India og har arbeidet mot Pakistan og andre sør-asiatiske land. Confucius har vanligvis forkledd skadevaren sin som legitime chate-applikasjoner i håp om å få flere brukere til å laste ned appene. Lookout har gjort en gjennomgang av funksjonaliteten til disse to verktøyene.
Referanser
https://blog.lookout.com/lookout-discovers-no[...]

2021.02.11 - Nyhetsbrev

Apple har fikset en sårbarhet i macOS som har gjort det mulig for bruker å få root-tilgang, Intel fikser flere alvorlige feil og en sikkerhetsforsker har klart å få kontroll på systemer hos over 35 store IT-selskaper.

En sikkerhetsforsker kom seg inn på over 35 IT selskaper ved å opprette kildekode-pakker

En sikkerhetsforsker har klart å få kontroll over interne systemer hos over 35 store IT-selskaper, inkludert Microsoft, Apple, PayPal, Netflix, Tesla og Uber, ved å laste opp ondsinnet kode til forskjellige kildekodelager på internett. Forskeren kom seg inn ved å laste opp editerte oppgraderingspakker til programvare med et høyere versjonsnummer, som deretter hentes ned automatisk av systemene hos selskapene. Det er dermed viktig at det blir verifisert hvilke kildelager som er tatt i bruk for henting av programmer hos alle systemer og om det er et internt eller eksternt lager som skal brukes.
Referanser
https://medium.com/@alex.birsan/dependency-co[...] https://www.bleepingcomputer.com/news/securit[...]

Apple har fikset SUDO-feil i macOS

Apple har fikset en sårbarhet i macOS Big Sur, Catalina og Mojave som gjorde det mulig for en bruker å få root-tilgang. Svakheten fantes også i diverse Linux-systemer.
Referanser
https://www.bleepingcomputer.com/news/apple/a[...]

Intel fikser flere alvorlige svakheter i sin nyeste grafikk-drivere

De nyeste grafikk-driverne til Intel fikser flere alvorlige feil, deriblant en feil med tilgangs-styringen som kan gjøre det mulig å eskalere rettighetene til den brukeren til har tilgang til enheten.
Anbefaling
Telenor anbefaler å oppdatere Intel Graphics Driver til nyeste driver; versjon 15.36.39.5145 eller nyere.
Referanser
https://threatpost.com/intel-graphics-driver-[...]

2021.02.10 - Nyhetsbrev

Microsoft februar 2021-patcher fikser 56 feil, inkludert Windows zero-day. Svakhter for en rekke Adobe-produkter - én utnyttes til angrep. Ti hackere arrestert etter SIM-swap angrep.

Ti hackere arrestert etter SIM-swap angrep

Politi fra USA, UK, Belgia, Malta, Canada koordinert av Europa, har arrestert 10 personer i USA, Malta og Belgia. Personene er mistenkt for en mengde SIM-swap angrep mot kjendiser, Internett-influnsere og innhavere av store mengder krypto-valuta. Ved å ta kontroll over SIM-kortene til ofrene sine, skal da ha fått tak i verdier for over 100 millioner dollar.
Referanser
https://www.europol.europa.eu/newsroom/news/t[...]

Microsoft februar 2021-patcher fikser 56 feil, inkludert Windows zero-day

Denne måneden har OS-produsenten fikset 56 sikkerhetsproblemer, inkludert en Windows-feil som har blitt utnyttet før dagens oppdateringer (CVE-2021-1732). Dette er en svakhet i Windows Kernel som kan utnyttes til å oppnå Administrator-tilgang på systemet. Microsoft advarer også om tre sårbarheter i Windows TCP / IP-stacken. Denne måneden rulles også den andre og siste fasen av fiksene for Zerologon-svakheten ut (CVE-2020-1472). Dette er en patch som kan medføre problemer for enkelte eldre systemet som skal autentisere seg mot Windows-servere.
Referanser
https://www.zdnet.com/article/microsoft-febru[...] https://krebsonsecurity.com/2021/02/microsoft[...]

Svakhter for en rekke Adobe-produkter - én utnyttes til angrep

Adobe har sluppet ut en rekke oppdateringer for sine produkter. Disse oppdateringene løser kritiske sårbarheter for følgende produkter: Magento, Adobe Acrobat og Reader, Adobe Photoshop, Adobe Animate og Adobe Dreamweaver. Vellykket utnyttelse av sårbarhetene kan føre til blant annet kjøring av vilkårlig kode og avsløring av sensitiv informasjon om brukeren. Én av svakhetene i Adobe Reader (CVE-2021-21017) utnyttes allerede til aktive angrep. Det ryktes også at én av dagens utbedrede svakheter i Windows videre brukes til å oppnå utvidet tilgang til systemet.
Anbefaling
Installer oppdateringer.
Referanser
https://blogs.adobe.com/psirt/?p=1965 https://threatpost.com/critical-adobe-windows[...]

2021.02.09 - Nyhetsbrev

NSM, PST og E-tjenesten har lagt frem sine årlige risiko- og trusselvurderinger. Noen prøvde å forgifte vannforsyningen i en by i Florida. Falsk Forcepoint Google Chrome Extension brukes til å eksfiltrere data.

NSM, PST og E-tjenesten har lagt frem sine årlige risiko- og trusselvurderinger

I en felles pressekonferanse mandag, la Nasjonal sikkerhetsmyndighet (NSM), Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten frem sine årlige risiko- og trusselvurderinger. NSM vurderer de viktigste utfordringene til å være: - Det digitale risikobildet er skjerpet - Pandemien har gitt økt risiko - Sammensatte trusler gjør oss sårbare
Referanser
https://nsm.no/aktuelt/et-komplekst-og-skjerp[...] https://www.pst.no/alle-artikler/trusselvurde[...] https://www.forsvaret.no/aktuelt-og-presse/pu[...]

Noen prøvde å forgifte vannforsyningen i en by i Florida

En sheriff i en liten by i Florida advarer om at hackere prøvde å manipulere tilsetningen av kjemikalier i byens vannverk. Forsøket ble utført gjennom fjernstyringsverktøyet TeamViewer, som var installert på systemet som kontrollerer byens vannforsyning. Tilsetningen av Natriumhydroksid (Lut) ble forsøk øket fra 100 ppm til 11100 ppm.
Referanser
https://www.theregister.com/2021/02/09/florid[...]

Falsk Forcepoint Google Chrome Extension brukes til å eksfiltrere data

Nettkriminelle har brukt en ny tilnærming til å eksfiltrere data som innebærer direkte injisering av ondsinnede Google Chrome-utvidelser på ofrenes Windows-maskiner via misbruk av Googles sky-synkroniseringsfunksjon. Målet med den nylig identifiserte kampanjen er å manipulere data i interne webapplikasjoner som ofrene har tilgang til, ifølge en analyse. Det er uvisst hvordan angriperne først får tilgang til PCene.
Referanser
https://threatpost.com/fake-forcepoint-google[...]

2021.02.08 - Nyhetsbrev

PLEX-mediaservere kan utnyttes til DDoS-angrep. Androidappen Barcode Scanner er blitt skadevare etter oppdatering. NSMs sikkerhetskonferanse arrangeres 11. mars.

PLEX-mediaservere kan utnyttes til DDoS-angrep

PLEX mediaservere brukes til privat streaming, men sikkerhetsforskere har oppdaget en sårbarhet som oppstår når enheten starter og ser etter andre medieenheter og streamingklienter. Dersom sårbarheten utnyttes kan PLEX-serveren eksponeres mot Internett og brukes til å forsterke DDOS-angrep.
Referanser
https://thehackernews.com/2021/02/cybercrimin[...] https://www.netscout.com/blog/asert/plex-medi[...]

Androidappen Barcode Scanner er blitt skadevare etter oppdatering

Appen Barcode Scanner av LAVABIRD LTD, som kunne lastes ned fra Google Play, gikk fra å være en legitim scanner-app til å inneholde malware/adware etter siste oppdatering. Appen vil etter oppdateringen åpne nettleseren og en rekke ondsinnede nettsider og annonser. Google Play har fjernet appen, men enheter med appen installert kan fortsatt bli rammet dersom den har blitt oppdateret. Appen hadde over 10 millioner nedlastinger før den ble fjernet.
Referanser
https://blog.malwarebytes.com/android/2021/02[...]

NSMs sikkerhetskonferanse arrangeres 11. mars

Nasjonal Sikkerhetsmyndighet arrangerer digital sikkerhetskonferanse den 11. mars kl. 0900. Konferansen er gratis, men man må melde seg på.
Referanser
https://nsm.no/kurs-og-konferanser/sikkerhets[...]

2021.02.05 - Nyhetsbrev

Én av fire 0-dagssvakheter i 2020 er nært beslektet til tidligere publiserte 0-dagssvakheter. Google gir ut fiks for 0-dagssvakhet i Chrome.

Én av fire 0-dagssvakheter i 2020 er nært beslektet til tidligere publiserte 0-dagssvakheter

Google Project Zero melder om at rundt 25% av 0-dagssvakhetene som ble utnyttet i fjor er nære slektninger av 0-dagssvakheter som ble publisert tidligere. Disse svakhetene mener Project Zero at kunne vært unngått om det ble gjort bedre undersøkelser samt hatt bedre forståelse for hva som faktisk var feilen før man prøvde å fikse 0-dagssvakheten.
Referanser
https://googleprojectzero.blogspot.com/2021/0[...]

Google gir ut fiks for 0-dagssvakhet i Chrome

Google har nå gitt ut versjon 88.0.4324.150 for Windows, Mac og Linux. Denne versjonen skal fikse en 0-dagssvakhet som har blitt aktivt utnyttet. Flere spekulerer i om denne svakheten ble brukt av nordkoreanske hackere tidligere i januar til å kompromittere sikkerhetsforskere.
Referanser
https://www.zdnet.com/article/google-patches-[...]

2021.02.04 - Nyhetsbrev

Nettkriminaliteten øker, men politiet henger ikke med, mener Riksrevisjonen. Sårbarhet i sudo finnes også i macOS Big Sur 11.2. Gårsdagens Chrome-oppdatering flagget av Microsoft Defender ATP som skadevare. Skadelige utvidelser maskerte trafikk i Google Analytics. Ny versjon av Google Chrome lansert.

Sårbarhet i sudo finnes også i macOS Big Sur 11.2

Sårbarheten i sudo, som vi skrev om i nyhetsbrevet 27.01, finnes også i macOS Big Sur 11.2, til tross for at det ble sluppet en sikkerhetssoppdatering etter at sårbarheten ble kjent. En angriper må ha tilgang til systemet for å utnytte sårbarheten.
Referanser
https://itavisen.no/2021/02/03/dette-macos-hu[...] https://www.zdnet.com/article/recent-root-giv[...]

Gårsdagens Chrome-oppdatering flagget av Microsoft Defender ATP som skadevare

Antivirusprogrammet Microsoft Defender Advanced Threat Protection har varslet om at flere filer i gårsdagens oppdatering av Google Chrome er trojaneren "Funvalget". Både zdnet.com og bleepingcompuer.com skriver at Microsoft har kunngjort at dette er skyldes en "automasjonsfeil", og avkrefter at Chrome-oppdateringen inneholder sakdevaren.
Referanser
https://www.zdnet.com/article/microsoft-defen[...] https://www.bleepingcomputer.com/news/securit[...]

Fremlegging av trusselvurderinger 8. februar

Trussel- og risikovurderinger fra Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet legges frem mandag 8. februar klokken 12.00. Planlegger en å møte fysisk, er det påmelding innen 5. februar kl. 14.00. Ellers strømmes pressekonferansen på regjeringen.no.
Referanser
https://www.regjeringen.no/no/aktuelt/trussel[...]

Nettkriminaliteten øker, men politiet henger ikke med, mener Riksrevisjonen

Det blir stadig flere nettovergrep, datainnbrudd og nettbedragerier. Politiet har ikke klart å følge med i utviklingen, slår Riksrevisjonen fast.
Referanser
https://www.cw.no/artikkel/nettkriminaliteten[...]

Ny versjon av Google Chrome lansert

Versjon 88.0.4324.146 av Google Chrome for Windows, Mac og Linux har blitt lansert. Denne inneholder feilrettinger for 6 sårbarheter.
Referanser
https://chromereleases.googleblog.com/2021/02[...]

Skadelige utvidelser til Google Chrome og Microsoft Edge maskerte trafikk som Google Analytics

I desember ble det varslet at så mye som 3 millioner kunder hadde lastet ned én eller flere av 28 skadelige utvidelser som var tilgjengelige for Google Chrome og Microsoft Edge. Utvidelsene skjulte kommunikasjonen med sine C2-servere ved å sende innholdet i Cache-Control headere, som i utgangspunktet brukes av Google Analytics. Kampanjen har fått navnet CacheFlow. Utvidelsene unngikk også å utføre mistenkelig aktivitet dersom den mistenkte at brukeren hadde god teknisk kompetanse. Den stoppet opp aktiviteten dersom den oppdaget at brukeren Googlet etter noen av C2-serverene, åpnet uvikler-verktøyene, eller navigerte til localhost i nettleseren.
Referanser
https://arstechnica.com/information-technolog[...]

2021.02.03 - Nyhetsbrev

Apple med flere sikkerhetsoppdateringer for macOS. Google med sikkerhetsoppdateringer til Android.

Apple med flere sikkerhetsoppdateringer for macOS

Apple har lansert en rekke oppdateringer for svakheter i macOS Big Sur, Catalina og Mojave. Enkelte av svakhetene kan benyttes til kodeeksekvering og lokal eskalering av rettigheter. Apple er kjent med rapporter om at noen av svakhetene kan ha blitt utnyttet i angrep.
Referanser
https://support.apple.com/en-us/HT212147

Google med sikkerhetsoppdateringer til Android

Google har lansert en rekke sikkerhetsoppdateringer til Android der flere er merket som kritiske. Svakhetene kan blant annet føre til kodeeksekvering og lokal eskalering av rettigheter. Google har ingen informasjon som tilsier at svakhetene er aktivt tatt i bruk.
Referanser
https://source.android.com/security/bulletin/[...] https://www.securityweek.com/google-patches-1[...]

2021.02.02 - Nyhetsbrev

Zeroday i SonicWall SMA 100 er bekreftet. ESET melder om målrettet forsyningskjede-angrep.

Zeroday i SonicWall SMA 100 er bekreftet

Sårbarheten i SonicWall som vi først rapporterte om 25. januar har nå blitt bekreftet. Den finnes i Secure Mobile Access 100 produkter i serien 10.x. Produkter før 10.x er upåvirket av sårbarheten. En sikkerhetsoppdatering er ventet å komme i løpet av 2. februar, og frem til det holdes detaljene rundt sårbarheten hemmelig. SonicWall publisert en liste med workarounds som kan brukes til før patchen kommer.
Referanser
https://arstechnica.com/information-technolog[...] https://psirt.global.sonicwall.com/vuln-detai[...] https://www.sonicwall.com/support/product-not[...]

ESET melder om målrettet forsyningskjede-angrep

ESET melder om et nytt forsyningskjede-angrep i Asia. Det er Android-emulatoren NoxPlayer for Mac og Windows som er rammet. Tre forskjellige typer malware har blitt spredd gjennom bakdøren, som har blitt brukt til overvåking. Kun fem brukere skal ha blitt utsatt for bakdøren.
Referanser
https://www.welivesecurity.com/2021/02/01/ope[...]

2021.02.01 - Nyhetsbrev

Google lanserer nytt forsvar mot NAT Slipstreaming-angrep. Svakhet i GnuPG 1.9.0 gjør det mulig å fjernkjøre kode.

Google lanserer nytt forsvar mot NAT Slipstreaming-angrep

Etter oppdagelsen av en ny variant av NAT Slipstream-angrep forrige uke, har Google innført blokkering av 7 nye porter i Chrome relatert til dette angrepet. Angrepet kan gjøre det mulig for en angriper å gjennomføre nettverksangrep fra innsiden av nettverket, dersom brukeren blir lurt til å besøke en spesielt utformet nettside med skadelig Javascript.
Referanser
https://www.zdnet.com/article/google-deploys-[...]

Svakhet i GnuPG 1.9.0 gjør det mulig å fjernkjøre kode

En feil funnet i koden til GnuPG versjon 1.9.0 sin krypteringsprogramvare gjør det mulig for en ondsinnet aktør å utføre fjernkjøring av kode. Denne svakheten er nå blitt rettet i versjon 1.9.1.
Anbefaling
Telenor anbefaler alle som bruker GnuPG 1.9.0 til å oppgradere til 1.9.1.
Referanser
https://nakedsecurity.sophos.com/2021/01/31/g[...]