2021.07.30 - Nyhetsbrev

Statlig database i Estland har blitt hacket.

Statlig database i Estland har blitt hacket

Estiske myndigheter sa at de forrige uke arresterte en lokal mistenkt som brukte en sårbarhet for å få tilgang til en statlig database og laste ned ID-bilder for 286 438 estere. Angriperens identitet ble ikke avslørt, og han ble bare identifisert som en Tallinn-basert mann. Myndighetene sa at den mistenkte oppdaget en sårbarhet i en database administrert av Information System Authority (RIA), det estiske myndighetsorganet som administrerer landets IT-systemer. Databasen sjekker vanligvis med fem forskjellige undersystemer før den returnerer en forespørsel for å vise en brukers ID-bilde. En av RIAs applikasjoner kontrollerte ikke gyldigheten av spørringen i tilstrekkelig grad. Angriperen utnyttet denne svakheten ved å oppgi navnet på en estisk statsborger, sammen med den riktige personlige identifikasjonskoden.
Referanser
https://therecord.media/estonia-says-a-hacker[...]

2021.07.29 - Nyhetsbrev

Google har annonsert at alle apper i Google Play butikken må oppgi hva slags personlig informasjon som blir samlet innen April 2022.

Google har annonsert at alle apper i Google Play butikken må oppgi hva slags personlig informasjon som blir samlet innen April 2022.

Google annonserte den 28. Juli at alle apper i deres Google Play butikk må oppgi hva slags personlig informasjon de samler og hvordan den blir brukt. Samt hva slags privacy policy som appen har. Denne informasjonen skal bli brukt til å lage en ny "sikkerhets" seksjon i Play butikken som skal informere brukere om informasjonen apper samler og hvordan den blir brukt før de installerer applikasjonen.
Referanser
https://www.bleepingcomputer.com/news/google/[...]

2021.07.28 - Nyhetsbrev

Ny versjon av LockBit løsepengevirus krypterer Windows domains ved hjelp av gruppe regler

Ny versjon av LockBit løsepengevirus krypterer Windows domains ved hjelp av gruppe regler

Den nye versjonen av LockBit 2.0 løsepengevirus kan automatisk kryptere Windows domains ved hjelp av Active Directory Group policies. LockBit 2.0 skal ha klart å automatisere distribusjonen av løsepengeviruset gjennom et helt Windows domain uten å benytte seg av scripts. Den nye funksjonen aktiveres idet viruset blir eksekvert på en domene kontroller i nettverket, og lager deretter group policier som skrur av windows defender og pusher dette til alle hostene i nettverket. Til slutt vil viruset bombe alle printere på nettverket med ransomware notes.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.07.27 - Nyhetsbrev

Apple tetter iPhone-hull som blir "aktivt utnyttet".

Apple tetter iPhone-hull som blir "aktivt utnyttet"

Apples nyeste sikkerhetsoppdatering skal ha fjernet muligheten for å kjøre kode via ekstern programvare med kernel priviligerer. Svakheten som ble fikset var avhengig av at brukeren installerte ondsinnede applikasjoner. Apple har enda ikke klart å fikse svakheten i iMessage som gjør det mulig å laste opp Pegasus spionvaren med en zero-click svakhet.
Referanser
https://www.tek.no/nyheter/nyhet/i/Qxz7x4/app[...] https://www.forbes.com/sites/kateoflahertyuk/[...]

2021.07.26 - Nyhetsbrev

Kaspersky advarer mot falsk Windows 11 installasjoner som sprer skadevare. Avoslocker har ankommet løsepengevirus scenen. Microsoft har kommet med ny skadebegrensning for nytt PetitPotam NTLM stafettangrep (Medium). Viktig Apple oppdatering for iPhone, men ingen for Pegasus Zero-day (Medium)

Kaspersky advarer mot falsk Windows 11 installasjoner som sprer skadevare

Hvis du skal installere Windows 11 så vær sikker på at du laster den ned fra en offisiell kilde. Mange piratkopierte og falske metoder for å få Windows 11 gjør at du får med deg skadevare sammen med Windows 11 sier Kaspersky.
Referanser
https://it.slashdot.org/story/21/07/24/184220[...]

Avoslocker har ankommet løsepengevirus scenen.

En ny type løsepengevirus har begynt å infiltrere offere og søker samarbeidspartnere. Løsepengeviruset ble først observert i slutten av juni, tidlig juli og er en multitråd løsepengevirus skrevet i C++. Gruppen bak den skal angivelig kunne tilby viruset, hjelp til kommunikasjon med offeret og kan hoste all dataen som blir stjålet fra offerene.
Referanser
https://blog.malwarebytes.com/threat-analysis[...]

Microsoft har kommet med ny skadebegrensning for nytt PetitPotam NTLM stafettangrep

Microsoft har kommet med skadebegrensing for det nye PetitPotam NTLM staffetangrepet som gjorde det mulig å ta over domenekontroller eller andre Windows servere. PetitPotam er en ny metode som kan brukes til å gjennomføre et NTLM-stafettangrep. Det blir brukt Microsoft Encrypting File System Remote Protocol (EFSRPC) for å tvinge en enhet, inkludert domenekontrollere, til å autentisere til et eksternt NTLM-relè kontrollert av en trusselaktør.Når en enhet autentisere til en ondsinnet NTLM-server kan en trusselaktør stjele hash og sertifikater som kan brukes til å anta identiteten til enheten og privilegier. Microsoft anbefaler å deaktivere NTLM der det ikke er nødvendig. Det er også anbefalt i nettverk med NTLM-aktiverte tjenester som tillater NTLM-autentisering å bruke signeringsfunksjoner som SMB-signering.
Anbefaling
Deaktivere NTLM der det ikke er nødvendig. Bruke signeringsfunksjoner som SMB-signering i nettverk med NTLM-aktiverte tjenester.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Viktig Apple oppdatering for iPhone, men ingen for Pegasus Zero-day

Anbefaling
Referanser
https://threatpost.com/apple-iphone-pegasus-z[...]

2021.07.23 - Nyhetsbrev

Kaseya har skaffet universalnøkkel til ofrene for et av tidenes største angrep med løsepengevirus.

Kaseya har skaffet universalnøkkel til ofrene for et av tidenes største angrep med løsepengevirus

Kaseya har fått tak i en universell dekrypteringsnøkkel for løsepengeviruset REvil som 2. juli rammet 1500 virksomheter, deriblant svenske Coop og Kaseya selv. Det er enda ukjent hvordan de har anskaffet seg nøkkelen og om de har betalt løsepengene, men de sier at den kommer fra en tredjepart. Da REvil har brukt den samme offentlige nøkkelen til å kryptere data i alle angrepene, vil den nylig anskaffede universalnøkkelen fungere for alle som ble rammet. Kaseya har verifisert at dekrypteringen fungerer og har begynt å dele den med alle som ble rammet.
Referanser
https://therecord.media/kaseya-obtains-revil-[...] https://www.digi.no/artikler/kaseya-har-skaff[...]

2021.07.22 - Nyhetsbrev

Feil tilganger i Windows gjør det mulig å hente ut passord hasher. Politikere får hjelp dersom de blir utsatt for angrep under stortingsvalget.

Feil tilganger i Windows gjør det mulig å hente ut passord hasher.

Feilen har blitt omtalt som HiveNightmare og SeriousSAM og gjør det mulig for normale brukere å lese SAM og SYSTEM hives. Selv om filene vanligvis er låst når Window kjører, er det fortsatt mulig å bruke VSS til å lese filene. Siden alle brukere har lesetilgang til filene, kan man dermed lage kopier av SAM og SYSTEM filene med verktøy som mimikatz eller scripts. Deretter kan man hente ut passord hashene til andre brukere.
Referanser
https://nakedsecurity.sophos.com/2021/07/21/w[...] https://isc.sans.edu/diary/Summer+of+SAM+-+in[...]

Politikere får hjelp dersom de blir utsatt for angrep under stortingsvalget.

Det er opprettet tiltak for å hjelpe politkere dersom de blir utsatt for data angrep. Ett av tiltakene er Nasjonal sikkerhetsmyndighets sosiale medier beredskap som har direkte kontaker til store sosiale medier. Tiltakene skal bidra med å varsle om kontoer som tilhører politikere blir kompromitert. Slik at de som kontrollerer den platformen kan avgjøre hvordan situasjonen skal håndteres. Det skal også bidra med å minske antall kontoer som etterligner politikere for å spre falsk informasjon.
Referanser
https://www.nrk.no/norge/myndighetene-med-dir[...]

2021.07.21 - Nyhetsbrev

Ny lekkasje avslører misbruk av Pegasus spionvare som blir brukt til å angripe journalister globalt. HP har sluppet oppdatering som fikser 16 år gammel sårbarhet i SSPORT.SYS driveren.

Ny lekkasje avslører misbruk av Pegasus spionvare som blir brukt til å angripe journalister globalt.

Isreals NSO Group har utviklet et spionvare som heter Pegasus, kan bli sendt uten å lage lyd, bilde eller komme med en advarsel fra telefoen kommer seg forbi sikkerhets system ved hjelp av "zero-click" svakhet som trenger ingen interaksjon fra brukeren. Spionvaren får da tilgang til bilder, videoer, lokasjoner, email, anrop, filer og har muligheten til å ta egne bilder og lydfiler når enheten er infisert. Spionvaren klarer å bryter seg inn på alle typer telefoner, selv en nylig oppdatert Iphone, spionvaren er blitt brukt til å avlytte og overvåke journalister og politikere. NSO sier at spionvaren er utviklet for å overvåke terrorister og stor kriminelle. Det har blitt lekket ut en liste fra over 50 000 telefoner som NSO overvåker, av disse telefonene er det en rekke journalister, politikere, menneskerettsaktivister og statsansatte.
Referanser
https://www.washingtonpost.com/technology/202[...] https://thehackernews.com/2021/07/new-leak-re[...] https://arstechnica.com/gadgets/2021/07/click[...] https://threatpost.com/nso-group-data-pegasus[...]

HP har sluppet oppdatering som fikser 16 år gammel sårbarhet i SSPORT.SYS driveren.

Sårbarheten går under CVE-2021-3438 og har en CVSS score på 8.8. Driveren lastes alltid av Windows OS, selv om det ikke er en printer tilkoblet. Ved utnyttelse kunne en angriper skaffe seg høyere privilegier og
Referanser
https://www.zdnet.com/article/hp-patches-vuln[...]

Fortinet har sluppet oppdateringer som fikser sårbarhet i FortiAnalyzer.

FortiManager og FortiAnalyzer brukes til nettverkhåndtering. Sårbarheten gjorde det mulig for en angriper å kjøre vilkårlig kode med høyeste rettigheter. Den blir fulgt som CVE-2021-32589.
Anbefaling
Oppdatere FortiAnalyzer eller deaktivere FortiManager funksjonene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.07.20 - Nyhetsbrev

NSA, CISA og FBI har utgitt detaljer om angrepsmetoder brukt av trusselaktører som ble støttet av Kina. Saudi Aramco har blitt utsatt for et datainnbrudd hvor 1 TB data ligger ute for salg.

NSA, CISA og FBI har utgitt detaljer om angrepsmetoder brukt av trusselaktører som ble støttet av Kina.

NSA, CISA og FBI har sluppet en rapport der de beskriver mer enn 50 forskjellige angrepsmetoder som trusselaktører har benyttet seg av. Det har blitt avdekket at kun dager etter store sårbarheter ble avslørt ble de benyttet av aktører som fikk støtte fra Kina. Det er også utgitt tips for hva man kan gjøre for å mitigere trusslene.
Referanser
https://www.nsa.gov/news-features/press-room/[...]

Saudi Aramco har blitt utsatt for et datainnbrudd hvor 1 TB data ligger ute for salg

Angriperne har stjelt 1 TB data som tilhører Saudi Aramco og har lagt dette ut for salg på darknet. Selskapet er et av de største offentlige petrolium og naturgass selskap i verden. Aktøren "ZeroX" har påstått at de fikk hacker Aramco sitt nettverk og servere i 2020. Dataene de skal besitte stammer også tilbake til 1993.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.07.19 - Nyhetsbrev

Nulldagssårbarhet i Safari ble brukt av trusselaktører i LinkedIn-kampanje. Kinesisk APT sprer falsk Zoom-programvare. Kina innfører strengere regulering av sårbarhetsrapportering i september. Spionprogram skal ha blitt brukt for å overvåke journalister og aktivister. Ny svakhet i Windows Print Spooler oppdaget. Google patcher enda en zero-day svakhet.

Nulldagssårbarhet i Safari ble brukt av trusselaktører i LinkedIn-kampanje

En nulldagssårbarhet i nettleseren Safari har blitt brukt av trusselaktører til å sende skadelige linker til Europeiske statsansatte. Linkene ble sendt over direktemeldingstjenesten LinkedIn Messages. Dersom en bruker med et sårbart Apple-produkt besøkte nettsiden, ville offerets autentiserings-cookies for nettsider fra Microsoft, Google, LinkedIn og Yahoo bli sendt til angriperne over WebSocket. En forutsetning for at denne informasjonen kunne sendes var at offeret allerede hadde en åpen sesjon mot sidene i Safari.
Referanser
https://threatpost.com/safari-zero-day-linked[...]

Kinesisk APT sprer falsk Zoom-programvare

Den kinesiske APT-gruppen som Kaspersky har døpt "LuminousMoth", har siden 2020 spredd falsk Zoom-programvare via en målrettet phishingkampanje. Ofrene får en mail, ofte politisk eller Covid-relatert, som inneholder en Dropbox-lenke. Om offeret laster ned og åpner filen kjøres to DLL-filer, og offerets system laster ned et nytt program som tillater angriperne større kontroll og som forsøker å spre skadevaren til tilknyttede lagringsenheter. I flere tilfeller har trusselaktørene installert falsk Zoomprogramvare som kopierer filer og autentiseringsinformasjon til en server de styrer. Kaspersky skriver at de har identifisert over 100 offer i Myanmar og omtrent 1400 i Filippinene.
Referanser
https://www.zdnet.com/article/chinese-apt-lum[...] https://securelist.com/apt-luminousmoth/103332/

Kina innfører strengere regulering av sårbarhetsrapportering i september

I en ny regulering som forventes å settes i effekt den 1. september kommer Kina til å legge frem flere krav som sikkerhetsforskere må følge dersom de ønsker å avsløre sårbarheter i nettverksprodukter. Kravene kommer som et tillegg til en eksisterende kybersikkerhetslov fra 2017. I følge thehackernews.com kommer reguleringen til å forby salg av nulldagssårbarheter, og også å legge frem sårbarheter for selskaper "overseas" som ikke eier produktet svakheten finnes i. I tilegg må nulldagssårbarheter legges frem for staten to dager før den avsløres for andre.
Referanser
https://thehackernews.com/2021/07/chinas-new-[...] https://www.scmp.com/tech/policy/article/3141[...]

Spionprogram skal ha blitt brukt for å overvåke journalister og aktivister.

Et samarbeid mellom flere mediehus og Amnesty International har avslørt at spionprogrammet Pegasus har blitt brukt til å avlytte telefonene til en mengde journalister og aktivister. Pegasus er utviklet og eid av det Israelske selskapet NSO group som selv sier at programmet kun skal brukes til å overvåke terrorister og kriminelle.
Referanser
https://www.nrk.no/urix/stor-avsloring_-spion[...] https://www.theguardian.com/world/2021/jul/18[...]

Ny svakhet i Windows Print Spooler oppdaget

En ny sårbarhet i Microsoft Print Spooler-tjenesten er oppdaget. Feilen (CVE-2021-34481) tillater rettighetseskalering til SYSTEM for en bruker med vanlige brukerrettigheter. Sårbarheten ble avdekket av Jacob Baines og lagt frem for Microsoft 18. Juni, og bekreftet av Microsoft 12. Juli. Julipatchen dekker ikke denne svakheten, men Microsoft jobber med en patch. For nå er løsningen å skru av Printer Spooler-tjenesten.
Anbefaling
Skru av Printer Spooler-tjenesten
Referanser
https://www.theregister.com/2021/07/16/spoole[...] https://msrc.microsoft.com/update-guide/vulne[...] https://kb.cert.org/vuls/id/131152

Google patcher enda en zero-day svakhet.

Google har nylig patchet en nulldagssårbarhet i V8-motoren til Chrome, som er komponenten som kjører javascript i nettleseren. Google skriver at sårbarheten har blitt utnyttet. Svakheten er identifisert som CVE-2021-30563 og skyldes en typeforvirring, det vil si at en ressurs settes til en viss type ett sted i programkoden, men aksesseres senere som en annen type. Detaljene, inklusiv trusselaktører og når og hvor den er utnyttet, er ikke publisert ennå. Oppdater Chrome til v91.0.4472.164 for å få den siste patchen.
Anbefaling
Oppdater Chrome til v91.0.4472.164
Referanser
https://therecord.media/google-patches-chrome[...] https://cwe.mitre.org/data/definitions/843.html

2021.07.16 - Nyhetsbrev

Den israelske bedriften Candiru står bak flere nye nulldagssårbarheter. SonicWall-produkter med utdatert firmware under målrettet angrep.

SonicWall-produkter med utdatert firmware under målrettet angrep

SonicWall varsler om at flere av deres produkter som kjører gammel firmware angripes i en målretttet kampanje der målet er å installere løsepengevirus. Sårbarheten som utnyttes har blitt patchet i nyere utgaver av firmwaren. Dersom firmware som har versjon 8.x.x brukes, anbefaler SonicWall for flere produktlinjer å koble fra produktet, resette passord og skru på multifaktorautentisering.
Referanser
https://www.sonicwall.com/support/product-not[...]

Den israelske bedriften Candiru står bak flere nye nulldagssårbarheter

Både Microsoft og Citizen Lab har utgitt rapporter som kobler spionvareselskapet Candiru til flere nulldagssårbarheter som har blitt benyttet i nylige angrep. Candiru ble først oppdaget under et angrep mot myndighetene i Uzbekistan i 2019. Bedriften selger hovedsaklig spionvare til myndigheter i forskjellige land. Gjennom årene har bedriften byttet navn flere ganger og er nå kjent som Saito Tech Ltd. Sårbarhetene laget av Candiru påvirker Windows OS, Android, Mac OS, iOS, Chrome, Internet Explorer og Safari. Citizen Lab fant over 750 nettsider som var en del av Candiru sin nettverksinfrastruktur. I samarbeid med Microsoft fant de minst 100 offer for spionvaren fordelt på flere land. Microsoft opplyser at de som har gjennomført de nyeste sikkerhetsoppdateringene ikke lenger er sårbare for CVE-2021-31979 og CVE-2021-33771.
Referanser
https://www.securityweek.com/secretive-israel[...] https://citizenlab.ca/2021/07/hooking-candiru[...]

2021.07.15 - Nyhetsbrev

Mozilla lanserer en sikkerhetsoppdatering for Firefox og Thunderbird. Microsoft sin julipatch fikser 117 sårbarheter. Revil har forsvunnet fra nettet.

Mozilla lanserer en sikkerhetsoppdatering for Firefox og Thunderbird

Mozilla har lansert en sikkerhetsoppdatering for å håndtere svakheter i Firefox, Firefox ESR og Thunderbird. Sårbarhetene gir en angriper mulighet til å ta kontroll på de berørte systemene.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Microsoft sin julipatch fikser 117 sårbarheter.

Microsoft sin oppdatering for juli fikser 117 sårbarheter, og av disse har 13 fått klassifiseringen "Kritisk" som betyr at de kan føre til at en angriper tar kontroll over systemet uten hjelp fra en bruker. PrinterNightmare (CVE-2021-34527) er en av feilene som fikses i oppdateringen. I tillegg fikses feil som tillater ekstern kodeeksekvering og rettightsseskalering.
Referanser
https://krebsonsecurity.com/2021/07/microsoft[...] https://isc.sans.org/forums/diary/Microsoft+J[...]

Revil har forsvunnet fra nettet

Hackergruppen Revil, som har stått bak løsepengevirusangrepet mot Coop og mot en rekke andre bedrifter, har forsvunnet fra nettet. Både nettsider assosiert med gruppa og infrastruktur brukt til angrep er ikke lenger tilgjengelig på nett. Grunnen til at dette har skjedd er ikke klar.
Referanser
https://www.digi.no/artikler/kriminell-hacker[...]

2021.07.14 - Nyhetsbrev

Nulldagssårbarhet i Solarwindsprodukt utnyttet av kinesiske aktører (Medium)

Nulldagssårbarhet i Solarwindsprodukt utnyttet av kinesiske aktører

På mandag meldte Solarwinds om at en nulldagssårbarhet er oppdaget i visse komponenter i deres Serve-U produkt. Komponentene som er rammet er Serve-U Managed File Transfer og Serv-U Secure FTP. Sårbarheten kan unngås ved å installere en hotfix publisert av Solarwinds eller ved å sørge for at SSH ikke er eksponert mot internett. Dersom SSH er eksponert kan dette gi angripere mulighet til å kjøre vilkårlige kommandoer på systemet. Sårbarhetene har blitt aktivt utnytet, og Microsoft skriver at trafikken fra aktørene stammer fra Kina. Målene sannsynligvis var softwareselskaper og den amerikanske forsvarsindustrien.
Anbefaling
Installer hotfix, eller skru av SSH.
Referanser
https://www.solarwinds.com/trust-center/secur[...] https://arstechnica.com/gadgets/2021/07/micro[...]

2021.07.13 - Nyhetsbrev

Hackere sprer BIOPASS Malware via Kinesiske gambling nettsider. På den andre siden av Kaseya: Hverdags IT verktøy kan brukes som "God mode" for hackere.

Hackere sprer BIOPASS Malware via Kinesiske gambling nettsider.

Cybersikkerhetsselskapet Trend Micro har registrert en nytt skadevare som bruker OBS studio live for å følge med på ofrenes skjermer. Skadevaren heter BIOPASS RAT og er rettet mot kinesiske hasardspill nettsider og er lagd for å hente ut informasjon om typisk kinesiske programmer til offeret, eksempelvis 360 Safe Browser, WeChat, QQ, Aliwangwang, 2345 Explorer, QQ Browser og Sogou Explorer.
Referanser
https://thehackernews.com/2021/07/hackers-spr[...]

På den andre siden av Kaseya: Hverdags IT verktøy kan brukes som "God mode" for hackere.

Angripere blir mer og mer opplyst om kreftene og potensialet med ekstern administrasjonsprogramvare. Dette er programvare som administratorer bruker for å styre sine egne IT systemer. Programmene blir nærmest som en "skjelett nøkkel" som kan gi full styring over offerets nettverk.
Referanser
https://www.wired.com/story/it-management-too[...]

2021.07.12 - Nyhetsbrev

Kaseya VSA patch er tilgjengelig.

Kaseya VSA patch er tilgjengelig

Kaseya har oppdatert informasjonssiden om den pågående sikkerhetshendelsen og publisert en patch for VSA On-Premises og en oppdatering rundt gjenoppbyggingen av deres SaaS-tjeneste. De har også publisert mer informasjon om hvordan VSA servere kan beskyttes, og advarer mot at det sendes ut mye phishingmail som prøver å utnytte situasjonen.
Referanser
https://www.kaseya.com/potential-attack-on-ka[...]

2021.07.09 - Nyhetsbrev

Cisco legger ut oppdateringer for flere produkter (Medium). Kaseya sin kundeportal var åpen for seks år gammel sårbarhet.

Kaseya sin kundeportal var åpen for seks år gammel sårbarhet

Sikkerhetsbloggen Krebsonsecurity har lagt ut et innlegg som peker på at en seks år gammel sårbarhet kunne bli benyttet mot Kaseyas kundeportal. Sårbarheten gjorde det mulig å lese data fra webserveren, uten å være en autentisert bruker. Sikkerhetsselskapet Mandiant, som meldte saken til Kaseya, klarte å laste ned konfigurasjonsfiler fra serveren. Kaseya tok ned løsningen etter at de fikk vite om sårbarheten. De sier også at denne kundeportalen ikke lenger var i bruk, og hadde siden 2018 blitt erstattet med en ny løsning. Den gamle portalen lå likevel tilgjengelig på nett inntil nylig.
Referanser
https://krebsonsecurity.com/2021/07/kaseya-le[...]

Cisco legger ut oppdateringer for flere produkter

Cisco har lagt ut to nye oppdateringer som dekker flere sårbarheter fordelt på to produkter. Svakhetene påvirker Cisco AsyncOS for Cisco WSA (virtuell og hardware) og Cisco BPA (Release < 3.1). Cisco AsyncOS for Cisco WSA har en sårbarhet i et konfigurasjonsverktøy som gjør det mulig for en autentisert bruker å eskalere sine rettigheter til root, mens Cisco BPA har en feil i et webbasert konfigurasjonsgrensesnitt som lar en autentisert bruker eskalere rettigheter til administratornivå.
Anbefaling
Oppdater programvaren det gjelder.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...] https://tools.cisco.com/security/center/conte[...]

2021.07.08 - Nyhetsbrev

Norsk ingeniørselskap utsatt for dataangrep. Microsoft sin PrintNightmare oppdatering fikser ikke sårbarheten skikkelig.

Norsk ingeniørselskap utsatt for dataangrep

Inocean har blitt utsatt for et dataangrep hvor angriperne hevder de har stjålet 2000 gigabyte med sensitiv informasjon. Selskapet stengte ned systemene sine da de oppdaget angrepet for litt over en uke side. Angriperne har lagt ut trusselbudskapet på det mørke nett. De truer med å publisere data offentlig, dersom Inocean ignorerer trusselen. Angrepet er knyttet til den kriminelle gruppen REvil og er anmeldt til politiet. Kripos og Norsk Sikkerhetsmyndighet er også koblet inn. Inocean er et norsk firma som driver med skips-, offshore- og flytende vindkraftteknologi.
Referanser
https://www.nrk.no/norge/stort-dataangrep-mot[...]

Microsoft sin PrintNightmare oppdatering fikset ikke sårbarheten skikkelig

Microsoft sin PrintNightmare haste-oppdatering fikset ikke sårbarheten skikkelig. Microsoft ga i går ut en oppdatering som skulle fikse sårbarheten, men det var fortsatt mulig å utnytte den fra en lokal bruker. På eldre Windows-versjoner, og nyere hvor Point and Print policy er aktivert, kan skadelig programvare og trusselaktører fortsatt få SYSTEM-rettigheter også via en nettverksforbindelse, altså eksternt.
Anbefaling
Referanser
https://www.bleepingcomputer.com/news/microso[...] https://arstechnica.com/gadgets/2021/07/micro[...]

2021.07.07 - Nyhetsbrev

Politiet og Forsvaret skal samarbeide om etterretning. Microsoft har gitt ut haste-oppdatering for PrintNightmare. Western Digital-brukere utsatt for enda en sårbarhet.

Politiet og Forsvaret skal samarbeide om etterretning

Det har vært en økning i cyber-angrep og trusselbildet har utviklet seg sammen med den teknologiske utviklingen. Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten skal nå derfor også samarbeide om etterretning i utlandet. Siden 2013 har de hemmelige tjenestene samarbeidet i det som er kalt Felles kontraterrorsenter. Senteret skal nå utvides til å også inkludere etterretning og skifter derfor navn til Felles etterretning- og kontraterrorsenter (FEKTS).
Referanser
https://www.digi.no/artikler/politiet-og-fors[...]

Microsoft har gitt ut haste-oppdatering for PrintNightmare

Microsoft har gitt ut en oppdatering som adresserer svakheten PrintNightmare, som kan utnyttes over nettverket for å kjøre tilfeldig kode på en sårbar maskin. Oppdateringen gir også en ny fuksjon som gir kunder en sterkere beskyttelse ved å tilby en begrensning på at det er kun admin som kan installere skriverdrivere på en skriver-server. Det rapporteres at sikkerhetsoppdateringen ikke fungerer helt perfekt, da det fortsatt er mulig å utnytte den lokalt på en sårbar maskin til å oppnå system-tilgang. Sikkerhetsoppdateringen til Windows Server 2016, Windows 10 versjon 1607 og Windows server 2012 vil få en liten forsinkelse da ikke alle pakkene er klare enda.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...] https://msrc-blog.microsoft.com/2021/07/06/ou[...] https://twitter.com/GossiTheDog/status/141253[...]

Western Digital-brukere utsatt for enda en sårbarhet

Western Digital sin My Cloud 3 har en ny zero-day svakhet som gir en angriper muligheten til å eksekvere kode som root og installere en permanent bakdør til levrandørens NAS (Netowrk-attached storage). Western Digital har nylig slutet å oppdatere My Cloud 3 og kundene anbefales å ikke eksponere enhetene mot Internet.
Referanser
https://threatpost.com/rce-0-day-western-digi[...]

2021.07.06 - Nyhetsbrev

Datatilsynet etterlyser personvernfokus i utredning fra finansdepartementet.

Datatilsynet etterlyser personvernfokus i utredning fra finansdepartementet

Finansdepartementet sendte ut en utredning der de har vurdert hvordan konsekvenser av virusutbruddet, utviklingen i internasjonal økonomi, smitteverntiltakene og de økonomiske mottiltakene vil påvirke utviklingen i norsk økonomi frem mot 2025. I Datatilsynet sitt høringssvar vurderer de at flere av utvalgets anbefalinger har konsekvenser for personvernet. Datatilsynet er positive til flere av anbefalingene i utredningen, men savner en diskusjon rundt utfordringene knyttet til informasjonsikkerhet ved hjemmekontor. Ett av utvalgets anbefalinger er at det skal etableres nasjonale plattformer for tilgjengeliggjøring, deling, bruk og analyse av data. Datatilsynet forutsetter at den som er ansvarlig for en nasjonal plattform avklarer hvilke rettsgrunnlag som er nødvendige for behandling av personopplysninger. Hvis det ikke foreligger rettsgrunnlag, så kan det være nødvendig å etablere et rettslig grunnlag i lov eller forskrift. Utvalget har vurdert muligheter og utfordringer ved mer utstrakt bruk av hjemmekontor etter pandemien. Datatilsynet skriver at personvernhensyn må tas med når myndigheter og arbeidsgiver utvikler rammevilkår og retningslinjer for hjemmekontor. Datatilsynets skriver også at de har hatt en økning i varslede avvik som gjaldt hacking, malware og phishing etter det ble tatt i bruk mer hjemmekontor. Dette reflekterer at risiko for brudd på informasjonssikkerheten øker i takt med hvor digitalisert vår arbeidehverdag er.
Referanser
https://www.datatilsynet.no/aktuelt/aktuelle-[...]

2021.07.05 - Nyhetsbrev

Kaseya supply chain angrep rettet mot MSPer for å levere REvil løsepengevirus. Spansk telekomgigant truffet av Revil løsepenge-gjeng.

Spansk telekomgigant truffet av Revil løsepenge-gjeng

Løsepengevirus-gruppen Revil påstår å ha lastet ned databaser og viktig data som tilhører MasMovil-gruppen. Revil har delt bilder av stjålene data og MasMovil er klar over angrepet, men det har ikke kommet krav om løsepenger fra Revil-gruppen. MasMovil er Spanias fjerde største telekom-operatør.
Referanser
http://www.hackread.com/revil-ransomware-gang[...]

Kaseya supply chain angrep rettet mot MSPer for å levere REvil løsepengevirus

Kaseya VSA er et produkt som vanligvis blir brukt av MSPer (Manage Service Providers) for å drifte og overvåke sine kunders IT-miljøer. Programvare ble på fredag brukt til et forsyningskjede-angrep for å levere REvil løsepengevirus til tusenvis av organisasjoner. Angrepene har vært mot over 40 tjenesteleverandører Dette har påvirket over 1000 bedrifter i 17 forskjellige land. Den svenske Coop-kjeden måtte for eksempel holde over 800 butikker stengt i løpet av helgen, etter at leverandøren av kasse-løsningen gikk ned på grunn av angrepet. Angrepet ble gjennomført ved å utnytte en zero-day svakhet i Kaseya VSA-tjenere som var direkte eksponert mot Internet. Tilgangen ble deretter brukt til å spre løsepengevirus til alle klientene som serveren kontrollerte. Over 1 millioner PCer/servere skal være rammet. Det har enda ikke kommet en patch mot svakheten. Bedrifter som bruker Kaseya VSA programvare har blitt varslet om å skru av VSA-serverne sine. Zero-day svakheten som ble brukt av angriperne var allerede fikset av Kaseya og patchen skulle snarlig sendes ut til kundene. REvil var dessverre raskere med å utnytte svakheten. REvil krever $70 millioner for å låse opp igjen alle de nedlåste systemene etter angrepet.
Referanser
https://blog.truesec.com/2021/07/04/kaseya-su[...] https://www.cert.govt.nz/it-specialists/advis[...] https://therecord.media/revil-ransomware-exec[...] https://kryptera-se.cdn.ampproject.org/c/s/kr[...] https://www.bleepingcomputer.com/news/securit[...] https://www.bloomberg.com/news/articles/2021-[...] https://csirt.divd.nl/2021/07/04/Kaseya-Case-[...] https://www.nrk.no/urix/sverige_-hackere-krev[...]

2021.07.02 - Nyhetsbrev

Microsoft har gitt ut informasjon om den nye svakheten i Print Spooler. Russisk militær etterretning står bak flere store brute-force angrep. Microsoft har funnet en ny bug i Netgear ruter. Lekket utgave av Babuk løsepengevirus benyttet i nye angrep.

Microsoft har gitt ut informasjon om den nye svakheten i Print Spooler

De siste dagene har svakheter i Windows Print Spooler Service vært mye omtalt. Microsoft patchet først en variant av denne svakheten i juni-oppdateringen for Windows (CVE-2021-1675). Siden har utnyttelseskode og detaljer rundt en ny variant av svakheten blitt sluppet offentlig. Microsoft har nå tildelt den nye varianten en egen CVE-kode: CVE-2021-3452. Det er også sluppet informasjon fra Microsoft rundt den nye varianten, som ikke enda har blitt patchet.
Referanser
https://msrc.microsoft.com/update-guide/vulne[...]

Russisk militær etterretning står bak flere store brute-force angrep

NSA, CISA, FBI og NCSC har delt at det russiske militæret er ansvarlige for flere store brute-force angrep på nettsky-leverandører. Angrepene har vært pågående siden minst midten av 2019. Aktøren er omtalt som APT28 og Fancy Bear og brukte et Kubernetes-kluster for å angripe epost-tjenere innenfor offentlige og private sektorer i flere land. De benyttet seg av kompromitterte brukerkontoer og svakheter i Microsoft Exchange server kjent som CVE-2020-0688 og CVE-2020-17144. For å skjule angrepene benyttet aktøren seg av Tor-nettverket og flere kommersielle VPNer.
Referanser
https://therecord.media/fbi-nsa-russian-milit[...] https://www.nsa.gov/news-features/press-room/[...]

Microsoft har funnet en ny bug i Netgear ruter

Sårbarheten påvirker DGN2200v1 series rutere som bruker firmware versjoner som er eldre enn v1.0.0.60. Sårbarheten tillater uautentisert tilgang til enhetens administrasjons-side. Dermed kan angriperen hente ut lagret legitimasjon. Netgear har gitt ut sikkerhetsoppdateringer som fikser sårbarhetene.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://kb.netgear.com/000062646/Security-Adv[...]

Lekket utgave av Babuk løsepengevirus benyttet i nye angrep

Forrige uke ble det oppdaget at Babuk sin programvare for å generere løsepengevirus til nye kampanjer hadde blitt lastet opp til VirusTotal. Programvaren gjør at aktører kun trenger å endre noen parametere for å generere malware til nye kampanjer. Siden programvaren ble lastet opp, har den blitt brukt i en ny løsepengevirus kampanje som har truffet bedrifter over hele verden. Babuk løsepengevirus kampanjen startet tidlig i 2021 og fokuserte primært på større bedrifter. Etter et angrep mot Washington DCs Metropolian Police Department i april ble kampanjen avsluttet og gruppen gikk over til en utpressningsmetode som ikke krypterer målets data, men heller baserer seg på utpresning.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.07.01 - Nyhetsbrev

PrintNightmare-svakhet (CVE-2021-1675) fungerer mot alle versjoner av Windows. Google jobber med patch for svakhet som muliggjør overtakelse av VMer.

PrintNightmare-svakhet (CVE-2021-1675) fungerer mot alle versjoner av Windows

PrintNightmare-sårbarheten er kritisk, men en oppdatering er ikke tilgjengelig enda. En vanlig domene-bruker kan lett ta over hele Active Directory domenet ved hjelp av svakheten. Det er nå bekreftet at den fungerer mot alle støttede Windows-versjoner. Det er fortsatt anbefalt å deaktivere print spooler tjenesten på alle systemer som ikke trenger det. Det finnes også en annen midlertidig og uoffisiell løsning tilgjengelig. Denne fungerer ved å begrense skrive-tilgangen til print spooler tjenesten. Vi anbefaler å teste alle midlertidige mitigeringer av denne typen grundig før de benyttes.
Referanser
https://doublepulsar.com/zero-day-for-every-s[...] https://blog.truesec.com/2021/06/30/fix-for-p[...]

Google jobber med patch for svakhet som muliggjør overtakelse av VMer

En sikkerhetsforsker har avslørt en svakhet som i visse tilfeller gjør det mulig å ta over kontrollen over virtuelle maskiner i Google Cloud Platform. Svakheten skyldes at ISC DHCP benytter seg av en dårlig generator av tilfeldige tall. Svakheten kan utnyttes til å ta kontroll over en annen VM som er på det samme lokalnettet når denne restartes, samt muligens også andre scenarier.
Referanser
https://www.securityweek.com/google-working-p[...]