Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 29 April 2022

2022.04.29 - Nyhetsbrev

Cisco har patchet flere av sine sikkerhetsprodukter. Google slipper oppdatering av Chrome for desktop.

Cisco har patchet flere av sine sikkerhetsprodukter

Cisco har sluppet oppdateringer for sine sikkerhetsprodukter. Totalt er det snakk om 19 sårbarheter som blir utbedret i produktene Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) og Firepower Management Center (FMC). Den mest alvorlige svakheten er en feil i tolking av TCP-pakker som kan føre til at en sårbar enhet krasjer.
Referanser
https://www.securityweek.com/cisco-patches-11[...]
https://tools.cisco.com/security/center/viewE[...]

Oppdatering av Chrome for desktop

Chrome versjon 101 bringer med seg diverse forbedringer og 30 sikkerhetsrettinger. Denne gangen er det ingen oppdateringer som har blitt rangert som kritiske, men mange har høy viktighet.
Referanser
https://chromereleases.googleblog.com/2022/04[...]

Thursday 28 April 2022

2022.04.28 - Nyhetsbrev

Internett var nede i deler av Frankrike etter ødeleggelse av fiberkabler. Microsoft har sluppet en rapport om cyber-krigføringen i forbindelse med krigen i Ukraina.

Internett var nede i deler av Frankrike etter ødeleggelse av fiberkabler

Det har oppstått store problemer med nettilgangen i noen byer i Frankrike etter at flere fiberkabler har blitt fysisk kuttet. Hærverket ser ut til å ha vært koordinert hvor fiberkabler ble kuttet samtidig på flere lokasjoner. Det har også tidligere vært sabotasje mot kabler i det samme området.

Noen spekulerer i at motivet bak skadeverket kan ha forbindelser til det nylige valget, mens andre mener det står anti-5G grupperinger bak aksjonen. Politiet undersøker nå saken.
Referanser
https://www.digi.no/artikler/internett-er-ned[...]
https://www.datacenterdynamics.com/en/news/mu[...]

Microsoft har sluppet en rapport om cyber-krigføringen i forbindelse med krigen i Ukraina

Microsoft har sluppet en rapport hvor de beskriver hvilke destruktive cyberangrep som Russland har gjennomført i forbindelse med invasjonen i Ukraina. Microsoft tror at antallet cyber-angrep vil fortsette å øke etter som krigen utvides. De mener også at det er en fare for at vestlige land kan bli angrepet som en hevn for støtten til Ukraina.

Ifølge rapporten har Microsoft oppdaget over 237 cyber-operasjoner mot Ukraina siden krigen brøt ut. Vi anbefaler å lese rapporten (eller oppsummeringen) for en god gjennomgang av hva som har skjedd i cyber-domenet til nå i forbindelse med invasjonen.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]

Wednesday 27 April 2022

2022.04.27 - Nyhetsbrev

Microsoft rapporterer om rettighetseskaleringssvakheter i Linux. De har kalt svakhetene Nimbuspwn.

Microsoft rapporterer om rettighetseskaleringssvakheter i Linux

Microsoft beskriver flere svakheter i systemd-komponenten "networkd-dispatcher" som i visse tilfeller kan utnyttes til å eskalerer rettighetene sine til root på maskinen. Svakhetene er fikset i en ny versjon som allerede er tilgjengelig.

Se artikkelen for mer informasjon om svakhetene, som Microsoft har kalt "Nimbuspwn".
Referanser
https://www.microsoft.com/security/blog/2022/[...]
https://cve.mitre.org/cgi-bin/cvename.cgi?nam[...]

Tuesday 26 April 2022

2022.04.26 - Nyhetsbrev

Sikkerhetsforskere kunne ta kontrol over deler av VirusTotal sin AV-løsning.

Sikkerhetsforskere kunne ta kontrol over deler av VirusTotal sin AV-løsning

VirusTotal er en antivirus-løsning som gjør at en bruker kan skanne en opplastet fil med flere forskjellige antivirus-løsninger samtidig. En svakhet i verktøyet ExifTool, som brukes for å hente ut metadata fra filer, gjorde det mulig å få kontroll over noen av antivirus-løsningene. Feilen kunne gi angripere full kontroll over en sårbar maskin.

Svakheten ble patchet 13. april 2021, men ikke alle løsningene hos VirusTotal var patchet. Feilen er nå utbedret.
Referanser
https://thehackernews.com/2022/04/researchers[...]

Monday 25 April 2022

2022.04.25 - Nyhetsbrev

LAPSUS$ har stjålet kildekode fra T-Mobile. Sårbarhet i Linux-kjernens "io_uring"-subsystem gir root-tilgang.

LAPSUS$ har stjålet kildekode fra T-Mobile

Private meldinger fra Telegram-kanalen til LAPSUS$ viser at de flere ganger brøt seg inn i systemene til T-Mobile fram til mars 2022. Her stjal de data fra flere forskjellige prosjekter, men skal ikke ha fått tak i informasjon tilhørende myndigheter eller kundene til T-Mobile.

KrebsOnSecurity har nylig fått tak i chatteloger til LAPSUS$ sin private Telegram-kanal. Her kommer det fram at gruppen ofte fikk initiel tilgang til systemene ved å kjøpe brukernavn og passord (eller cookies) gjennom Russiske markeder. KrebsOnSecurity har også delt loggene til LAPSUS$ som viser fremgangsmåtene deres og hva de fokuserte mest på.
Referanser
https://krebsonsecurity.com/2022/04/leaked-ch[...]

Sårbarhet i Linux-kjernens "io_uring"-subsystem gir root-tilgang

Det er funnet en sårbarhet i Linux-kjernens "io_uring"-subsystem som kan gi lokale brukere utvidede rettigheter til system root fra en upriviligert prosess. Denne sårbarheten krever ikke at angriperen har noen form for spesielle privilegier, som gjør mange systemer sårbare.

Svakheten skal gjelde kjerne-versjoner tidligere enn versjon 5.17.3. Gruppen som har oppdaget feilen skriver at de kommer til å slippe en detaljert bloggpost og eksempel-kode for utnyttelse om 1-2 uker.
Anbefaling
Oppdater til siste versjon.
Referanser
https://seclists.org/oss-sec/2022/q2/53
https://cve.report/CVE-2022-29582

Friday 22 April 2022

2022.04.22 - Nyhetsbrev

Kritisk feil kunne ha latt hackere styre millioner av Android-enheter.

Kritisk feil kunne ha latt hackere styre millioner av Android-enheter

Sikkerhetsforskere har avdekket en sårbarhet som kunne ha tillatt
hackere å ta over millioner av Android-enheter utstyrt med brikkesett
fra Qualcomm og MediaTek. Sårbarheten lå i ALAC, et lydformat
introdusert av Apple i 2004. Apple har oppdatert sin proprietære versjon
av dekoderen for å fikse sikkerhetssårbarheter gjennom årene, men åpen
kildekode-versjonenen brukt av Qualcomm og MediaTek har ikke blitt
oppdatert siden 2011.
Referanser
https://arstechnica.com/information-technolog[...]

Thursday 21 April 2022

2022.04.21 - Nyhetsbrev

Oracle slipper oppdatering for feil ifbm. signatur-validering i Java. Cisco slipper kritisk oppdatering til Umbrella Virtual Appliance.

Java ECDSA signatur validering bypass

Som meldt i gårsdagens nyhetsbrev har Oracle sluppet flere oppdateringer for April. Av ekstra interesse er oppdateringen til Java versjon 15 til og med 18, som fikser en signatur validerings feil for ECDSA signaturer. Patching anbefales snarest.
Referanser
https://www.theregister.com/2022/04/20/java_a[...]
https://www.oracle.com/security-alerts/cpuapr[...]

Cisco slipper kritisk oppdatering til Umbrella Virtual Appliance

Cisco har fikset en sårbarhet for Umbrella Virtual Appliance (VA) for Hyper-V og ESXi, på versjoner av VA tidligere enn versjon 3.3.2 dersom SSH tjenesten er skrudd på.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://tools.cisco.com/security/center/conte[...]

Wednesday 20 April 2022

2022.04.20 - Nyhetsbrev

Ondsinnede aktører er blitt observert i å bruke rapportert Print Spooler-svakhet i Windows. Oracle har sluppet en samling av anbefalte oppdateringer for første kvartal 2022. UEFI-sårbarhet funnet i Lenovo-maskiner for forbrukermarkedet.

Ondsinnede aktører er blitt observert i å bruke rapportert Print Spooler-svakhet i Windows

CISA (U.S. Cybersecurity and Infrastructure Security Agency) rapporterer at en svakhet i Windows Print Spooler, som ble lappet av Microsoft i februar 2022, nå er sett aktivt brukt av ondsinnede aktører. Svakheten kan brukes til å oppnå utvidede rettigheter på en Windows-maskin.
Referanser
https://thehackernews.com/2022/04/hackers-exp[...]

Oracle har sluppet en samling av anbefalte oppdateringer for første kvartal 2022

Oracle har sluppet en liste over anbefalte sikkerhetsoppdateringer for første kvartal. Listen inkluderer 520 oppdateringer og de de fleste av deres produkter er berørt.
Referanser
https://www.oracle.com/security-alerts/cpuapr[...]

UEFI-sårbarhet funnet i Lenovo-maskiner for forbrukermarkedet

Sikkerhetsforskere fra ESET har oppdaget tre sårbarheter som påvirker flere ulike modeller av Lenovo-maskiner beregnet på forbrukermarkedet. Sårbarhetene det gjelder er CVE-2021-3970, CVE-2021-3971 og CVE-2021-3972. To av disse påvirker maskinvare-drivere i UEFI, som kun skulle vært aktivert når maskinene blir produsert, men som ikke har blitt fjernet. Dermed kan angripere med priviligerte rettigheter bruke disse driverne til å deaktivere SPI flash protection eller UEFI Secure Boot. Én av driverne heter til og med SecureBackDoor.
Anbefaling
Se fullstendig liste over berørte enheter her: https://support.lenovo.com/no/en/product_security/len-73440
Referanser
https://www.welivesecurity.com/2022/04/19/whe[...]

Tuesday 19 April 2022

2022.04.19 - Nyhetsbrev

Citizenlab: Overvåkingsprogramvare brukt mot katalanere og den britiske regjeringen. Windows-bug benyttes til å gjemme skadevare. Offentlige Amerikanske etater advarer om nytt malwareverktøysett for innbrudd i OT-systemer. Dårlig passord-sjekk gjør at hvem som helst kan logge inn på Cisco WLAN-kontrollere. Ny Chrome-oppdatering patcher aktivt brukt Zero-day svakhet. VMware patcher kritisk remote code execution-svakhet i VMware Cloud Director.

Citizenlab: Overvåkingsprogramvare brukt mot katalanere og den britiske regjeringen

Citizen Lab har funnet nye tilfeller av bruk av overvåkingsprogramvare mot mobiltelefoner for spionasje og overvåking.

Den britiske regjeringen har vært utsatt for overvåking ved hjelp av Pegasus fra NSO i 2020 og 2021. Både statsministerens kontor og utenriksdepartementet ble rammet. Myndighetene ble advart om saken. Det skal være De forente arabiske emirater som står bak aksjonen.

I Spania har 65 katalanske offentlige personer blitt rammet av overvåking ved hjelp av verktøyene Pegasus og Candiru. Flere av mobiltelefonene har blitt infisert ved hjelp av en til nå ukjent svakhet i iPhone kalt HOMAGE. Svakheten ble patchet i iOS versjon 13.2.
Referanser
https://citizenlab.ca/2022/04/uk-government-o[...]
https://citizenlab.ca/2022/04/catalangate-ext[...]

Windows bug benyttes til å gjemme skadevare

Microsoft har oppdaget en ny type skadevare som de har kalt "Tarrask". Den er produsert av den kinesisk-støttede gruppen HAFNIUM, og benytter seg av en Windows-bug for å gjemme kjøringen av skadevaren i planlagte oppgaver. Tarrask oppretter oppgaver som ikke kan oppdages med "schtask/query". Dette gjøres ved å fjerne en "Security Descriptor" fra Windows-registeret. Teknikken brukes for å beholde tilgang til den infiserte klienten.

Beskyttelse mot Tarrask skadevaren kan gjøres med manuell sjekk av Windows-registeret og se om noen planlagte oppgaver mangler SD (Security descriptor)-verdi. Man kan også skru på logging for "Security.extx" og "Microsoft-Windows-TaskScheduler.extx"
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Offentlige Amerikanske etater advarer om nytt malwareverktøysett for innbrudd i OT-systemer

CISA, FBI og NSA advarer mot et nytt malwareverktøysett, kjent som Pipedream. Dette er kanskje det mest allsidige verktøyet som noen gang er laget for å målrette angrep mot kritisk infrastruktur som strømnett og oljeraffinerier.

Pipedream gjør det mulig for angriperen å kapre enheter, forstyrre eller forhindre adgang for operatører, sette enhetene permanent ut av spill, eller bruke enhetene til å angripe andre deler av kontrollsystemnettverket. Det mistenkes at Russland står bak Pipedream.
Referanser
https://www.wired.com/story/pipedream-ics-malware/
https://www.cisa.gov/uscert/ncas/alerts/aa22-103a
https://hub.dragos.com/hubfs/116-Whitepapers/[...]

Dårlig passord-sjekk gjør at hvem som helst kan logge inn på Cisco WLAN-kontrollere

På grunn av en feil i valideringen av passord i Cisco WLAN-kontrollere kan eksterne aktører logge inn som administrator ved å sende en spesielt utformet kommando for å logge inn. Svakheten har fått en alvorlighetsgrad på 10/10 og vi anbefaler patching.

Cisco har også sluppet flere andre sikkerhetsoppdateringer gjennom påsken, blant annet flere oppdateringer rundt nylig rapportert svakheter i Spring-rammeverket.
Referanser
https://www.theregister.com/2022/04/14/cisco_[...]
https://tools.cisco.com/security/center/publi[...]

Ny Chrome-oppdatering patcher aktivt brukt Zero-day svakhet

Google har sluppet en hasteoppdatering til Google Chrome som fikser to svakheter. Den mest alvorlige svakheten har fått benevnelsen CVE-2022-1364 og er en "type-confusion"-svakhet. Google opplyser at denne allerede utnyttes i aktive angrep. Vi anbefaler snarlig patching! Dette er den tredje zero-day svakhet i Chrome hittil i år.
Referanser
https://chromereleases.googleblog.com/2022/04[...]
https://thehackernews.com/2022/04/google-rele[...]

VMware patcher kritisk remote code execution-svakhet i VMware Cloud Director

Etter en privat rapport til VMware om en remote code execution-svakhet i VMware Cloud Director, har VMware sluppet en oppdatering som fikser denne. Svakheten krever en eksisterende bruker på systemet for å kunne utnyttes.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Wednesday 13 April 2022

2022.04.13 - Nyhetsbrev

Viktig oppdatering for Adobe-produkter. Google har slupper ny versjon av Chrome som fikser 11 sårbarheter. Ny versjon av Industroyer er oppdaget i angrep mot Ukraina. Microsoft har fikset sårbarheter for april (Medium).

Viktig oppdatering for Adobe-produkter

Det har kommet viktig informasjon om sikkerhetssårbarheter som kan påvirke spesifikke versjoner av Adobe-produkter. Oppdateringene gjelder for Adobe Commerce, Adobe Acrobat and Reader, Adobe After Effects og Adobe Photoshop.
Referanser
https://helpx.adobe.com/security/security-bul[...]

Google har slupper ny versjon av Chrome som fikser 11 sårbarheter

Chrome versjon 100.0.4896.88 fikser 11 sårbarheter, der 8 av sårbarhetene har høy kritikalitet. Den mest kritiske sårbarheten er CVE-2022-1305 og er av typen "storage use after free".
Referanser
https://chromereleases.googleblog.com/2022/04[...]

Ny versjon av Industroyer er oppdaget i angrep mot Ukraina

Det er blitt oppdaget en ny versjon av Industroyer, som er kjent fra 2016 da Sandworm APT-gruppen kuttet strømmen til deler av Ukraina i et kortere tidsrom. Den nye versjonen av Industroyer er gitt navnet Industroyer2. Denne gangen ble det prøvd å bruke Industroyer2 mot høyspennings-nettet i Ukraina. Det ble også funnet bruk av andre malware programmer som CaddyWiper, ORCSHRED, SOLOSHRED, og AWFULSHRED. Det er motstridende meldinger om angrepet var vellykket eller ikke, men det hadde uansett ikke store konsekvenser.
Referanser
https://www.welivesecurity.com/2022/04/12/ind[...]

Microsoft har fikset sårbarheter for april

Microsoft har offentliggjort 145 sikkerhetsoppdateringer for april, 10 er klassifisert som kritiske. Flere av sårbarhetene kan brukes til å fjernkjøre kode og ta kontroll over brukerkontoer og systemer. De mest kritiske sårbarhetene berører Windows Network File System, Remote Procedure Call Runtime, Windows Server Service, Microsoft Dynamics 365 for on-premises, Windows LDAP, Windows SMB og Windows Hyper-V.

Den mest alvorlige svakheten er kanskje CVE-2022-26809, som ligger i RPC (Remote Procedure Call). Denne svakheten kan utnyttes over nettverket mot en sårbar server og gir mulighet for å kjøre vilkårlig kode. Denne svakheten kan med andre ord antageligvis brukes til å lage en orm, som sprer seg fra maskin til maskin uten brukerinteraksjon.
Anbefaling
Oppdatere programvaren på sine systemer til siste versjon.
Referanser
https://msrc.microsoft.com/update-guide
https://isc.sans.edu/forums/diary/Microsoft+A[...]

Monday 11 April 2022

2022.04.11 - Nyhetsbrev

DDoS-angrep tok ned nettsider tilhørende finske myndigheter. Octo skadevare gir fjerntilgang til infiserte Android-enheter.

DDoS-angrep tok ned nettsider tilhørende finske myndigheter

Angrepene varte i en time og det ble meldt om at flere nettsider eid av myndighetene var nede. Myndighetene har ikke lagt skylden på en gruppe eller et bestemt land for angrepene, men de skjedde like i forkant av at den ukrainske presidenten skulle holde en tale for det finske parlamentet.
Referanser
https://www.theregister.com/2022/04/09/dos_at[...]
https://www.digi.no/artikler/finske-departeme[...]

Octo skadevare gir fjerntilgang til infiserte Android-enheter

Octo skadevare er en skadevare basert på kildekoden til ExoCompact, som ble lekket i 2018. Denne skadevaren gjør det mulig for angriperen å ta over og gjennomføre handlinger på den infiserte klienten. Dette blir gjennomført med å åpne en svart skjerm, senke lysstyrke, skru av notifikasjoner og ikke forstyrr funksjonen. Deretter gjennomfører angriper ondsinnede handlinger. Skadevaren kommer også med en keylogger.

Så langt er det funnet at skadevaren selges på russiske forum.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Friday 8 April 2022

2022.04.08 - Nyhetsbrev

Microsoft har tatt over domener brukt av Strontium/Sandworm/Fancy Bear.

Microsoft har tatt over domener brukt av Strontium/Sandworm/Fancy Bear

Microsoft har tatt kontroll over 7 domener tilknyttet hackergruppen Strontium/Sandworm/Fancy Bear. Domene har blitt brukt til angrep mot ukrainske institusjoner, og institusjoner og tenketanker i EU og USA. Microsoft omtaler også angrep i cyber-domenet fra Russland mot Ukraina i en ny bloggpost og hvordan de hjelper til.
Referanser
https://www.digi.no/artikler/microsoft-det-fo[...]
https://blogs.microsoft.com/on-the-issues/202[...]

Thursday 7 April 2022

2022.04.07 - Nyhetsbrev

Justisdepartementet i USA har autorisert å delvis ta ned et botnet knyttet til Russland. Mozilla med oppdateringer til Firefox. Google med oppdatering til Chrome for Desktop. VMWare med kritiske sikkerhetsoppdatering for flere produkter.

Justisdepartementet i USA har autorisert å delvis ta ned et botnet knyttet til Russland

I mars 2022 autoriserte justisdepartementet i USA en operasjon for å delvis ta ned botnettet Cyclops Blink knyttet til statsapparatet i Russland. Det er grupperingen Sandworm, som knyttes til den russiske etterretningstjenesten GRU, som står bak botnettet. Cyclops Blink og den tidligere utgaven VPNFilter, brukes av hemmelige tjenester som et privat VPN for å skjule angrep.

Botnettet består av tusenvis av enheter fra produsentene Watchguard og Asus. Under operasjonen ble infiserte enheter logget inn på, malwaren fjernet og administrasjons-porten mot internett lukket.
Referanser
https://www.justice.gov/opa/pr/justice-depart[...]
https://arstechnica.com/information-technolog[...]

Mozilla med oppdateringer til Firefox

Mozilla fikser flere feil i Firefox-nettleseren, 4 av disse er merket med høy kritikalitet.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Google med oppdatering til Chrome for Desktop

Google fikser en feil i Javascript V8 motoren, CVE-2022-1232, som er merket med høy kritikalitet.
Referanser
https://chromereleases.googleblog.com/2022/04[...]

VMWare med kritiske sikkerhetsoppdatering for flere produkter

VMWare slipper kritiske oppdateringer for VMware Workspace ONE Access, VMware Identity Manager, Vware vRealize Automation, VMware Cloud Foundation og vRealize Suite Lifecycle Manager. To av oppdateringene har fått alvorlighetsgrad 9.8 av 10 på CVSS-skalaen. Det er så langt ikke rapportert om at de har blitt utnyttet i aktive angrep.
Referanser
https://www.vmware.com/security/advisories/VM[...]
https://core.vmware.com/vmsa-2022-0011-questi[...]

Wednesday 6 April 2022

2022.04.06 - Nyhetsbrev

VMWare og Cisco fikser svakheter i flere produkter relatert til Spring4Shell. Tyskland tar ned verdens største Dark Web marked Hydra.

VMWare og Cisco fikser svakheter i flere produkter relatert til Spring4Shell

Både Cisco og VMWare tetter sikkerhetshull i flere av deres produkter relatert til svakheten oppdaget i CVE-2022-22965 (Spring Framework).
Sårbarheten ble avdekket 31. mars og har en CVSSv3 score på 9.8.
Referanser
https://www.vmware.com/security/advisories/VM[...]
https://tools.cisco.com/security/center/conte[...]

Tyskland tar ned verdens største Dark Web marked Hydra

Tysk politi har tatt ned Hydra, verdens største dark web handelssted for å hvitvaske penger og selge narkotika. Det estimeres at Hydra hadde økonomisk aktivitet på over 1 milliard dollar i 2020, noe som gjør markedet til verdens største. Politiet klarte også å beslaglegge over 500 Bitcoin relatert til nedstengningen av plattformen.
Referanser
https://www.bleepingcomputer.com/news/legal/g[...]
https://www.bbc.com/news/technology-61002904

Tuesday 5 April 2022

2022.04.05 - Nyhetsbrev

Et nytt skadevare-rammeverk, Elephant, brukt i målrettede phishing-kampanjer som benytter spoofede eposter fra Ukrainske myndigheter. Epost-markedsføringstjenesten MailChimp brukt til å ramme kryptovaluta-brukere etter innbrudd.

Et nytt skadevare-rammeverk, Elephant, brukt i målrettede phishing-kampanjer som benytter spoofede eposter fra Ukrainske myndigheter

Et nytt skadevare-rammeverk, Elephant, blir brukt i målrettede phishing-kampanjer som benytter seg av spoofede eposter fra Ukrainske myndigheter. Skadevarekomponentene som blir benyttet i kampanjene brukes for å stjele innloggingsinformasjon, dokumenter og for å etablere fjerntilgang til infiserte maskiner. To av komponentene ble først meldt av CERT-UA (Ukraina) tidligere i mars og de har knyttet aktiviteten til den russiske aktøren SaintBear (UAC-0056, TA471, UNC2589).
Referanser
https://www.intezer.com/blog/research/elephan[...]

Epost-markedsføringstjenesten MailChimp brukt til å ramme kryptovaluta-brukere etter innbrudd

Mailchimp er en tjeneste som brukes av mange firmaer til å sende ut nyhetsbrev og annen informasjon. Hackere har brutt seg inn hos leverandøren og brukte de interne vertkøyene deres til å sende spesiallagde phishing-eposter til utvalgte kunder, blant annet kunder av lommebok-leverandøren Trezor. Mailene inneholdt ondsinnet programvare som stjeler kryptovaluta og prøver å lure de private nøklene fra brukerne.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Monday 4 April 2022

2022.04.04 - Nyhetsbrev

Skadevare for sabotasje førte til at Viasat-modemer sluttet å fungere. Lapsus$ og SolarWinds-hackerne utnyttet svake multi-faktor autentiseringsløsninger.

Skadevare for sabotasje førte til at Viasat-modemer sluttet å fungere

24.februar 2022, samtidig med den russiske invasjonen, gjorde et cyberangrep Viasat KA-SAT-modemer ubrukelige i Ukraina og andre europeiske land. Dette gjorde blant annet at vindturbiner i Tyskland ikke kunne kommunisere for fjernovervåkning eller kontroll. Mange brukere i Ukraina mistet også Internett-forbindelsen sin. Dette ble gjort med en ny type wiper-skadevare kalt "AcidRain", som er utviklet for å slette modemer og rutere. Skadevaren skreiv over fastvaren til modemene, etter at uvedkommende fikk tilgang til administrasjonsnettverket.

Viasat kom med en uttalelse onsdag 30. mars, som ga en ufullstendig beskrivelse av angrepet, men har siden bekreftet at "AcidRain" ble brukt i angrepet som var utført med overlegg. "AcidRain" er den 7. skadevaren som er knyttet til den russiske invasjonen av Ukraina.
Referanser
https://www.sentinelone.com/labs/acidrain-a-m[...]
https://arstechnica.com/information-technolog[...]

Lapsus$ og SolarWinds-hackerne utnyttet svake multi-faktor autentiseringsløsninger

Svakere multifaktor-autentisering (MFA), som engangs-passord gjennom SMS eller push varslinger der man er nødt til å trykke en knapp etter push varslingen for å eskalere multifaktor-autentiseringen, har flere ganger blitt utnyttet av Lapsus$ og SolarWinds-hackerne. Lapsus$ har brukt denne metoden til å forbigå autentiseringen hos både Microsoft, Okta og Nvidia de siste månedene. Dette gjelder metoder som å oversvømme målet med push eller link forespørsler over lang tid. Mange innloggingsløsninger har ikke noen begrensning på hvor mange forespørsler som kan sendes, og offeret går til slutt lei og godtar forespørselen eller trykker feil.
Referanser
https://arstechnica.com/information-technolog[...]

Friday 1 April 2022

2022.04.01 - Nyhetsbrev

Apple har sluppet oppdateringer for zero-day svakheter i iOS og macOS.

Apple har sluppet oppdateringer for zero-day svakheter i iOS og macOS

Apple har sluppet flere sikkerhetsoppdateringer for iOS og macOS. Blant disse er CVE-2022-22674 og CVE-2022-22675, som er nulldagssårbarheter i iOS og macOS. En av disse tillater et program å eksekvere kode med kernel-privilegier. Vi anbefaler å patche ASAP!
Referanser
https://support.apple.com/en-us/HT201222
https://isc.sans.edu/diary.html?storyid=28506
https://arstechnica.com/information-technolog[...]

 
>