2022.05.31 - Nyhetsbrev

Microsoft har gitt ut informasjon om Office zero-day avslørt i går

Microsoft har gitt ut informasjon om Office zero-day avslørt i går

Microsoft har laget en informasjonsside for zero-day svakheten som ble avslørt i Office i går. Svakheten har nå fått benevnelsen CVE-2022-30190. Microsoft foreslår å avregistrere "MSDT URL"-protokollen, inntil en fiks foreligger, noe som kan gå ut over vinduer med hjelpe-tekst i Windows. Microsoft har også lagt til deteksjon for svakheten i Microsoft Defender. I Microsoft Defender for Endpoint kan en også hindre Office-prosesser fra å lage nye prosesser, noe som vil forhindre denne og lignende svakheter.
Referanser
https://msrc-blog.microsoft.com/2022/05/30/gu[...]

2022.05.30 - Nyhetsbrev

Alvorlig nulldagssårbarhet i Word ble offentliggjort i helgen. GitHub lagret passord til npm-brukere i klartekst.

Alvorlig nulldagssårbarhet i Word ble offentliggjort i helgen

Et Word-dokument som nylig ble lastet opp til Virustotal fra en IP-adresse i Belarus, har vist seg å kunne utnytte en til nå ukjent sårbarhet i Office. Svakheten lar seg utnytte, selv uten at makroer er aktivert i Word. Et dokument som skal utnytte svakheten, bruker en funksjon for bruk av eksterne maler til å laste ned den ondsinnede HTML-filen. Deretter brukes supportverktøyet ms-msdt til å laste kode og å kjøre denne i PowerShell. Sikkerhetsforskeren Kevin Beaumont har fått svakheten til å fungere mot Office 2013, 2016 og 2021. Siste versjonen av Office 365 skal ikke være sårbar. Svakheten skal ha blitt utnyttet allerede i april.
Referanser
https://www.digi.no/artikler/alvorlig-nulldag[...] https://doublepulsar.com/follina-a-microsoft-[...] https://www.huntress.com/blog/microsoft-offic[...]

GitHub lagret passord til npm-brukere i klartekst

GitHub har avslørt at de har lagret "et antall brukeres " påloggings-informasjon for npm-registeret i klartekst. Informasjonen ble lagret i interne logger etter at JavaScript-pakkeregisteret ble integrert i GitHubs loggsystem. Ingen skal ha fått tak i informasjonen, selv om den var lagret i klartekst internt.
Referanser
https://www.theregister.com/2022/05/27/github[...]

2022.05.27 - Nyhetsbrev

Google har sluppet Chrome versjon 102

Google har sluppet Chrome versjon 102

Den nyeste versjonen 102.0.5005.61/62/63 for Windows og 102.0.5005.61 for Mac og Linux fikser 32 sikkerhetsfeil. En av disse sårbarhetene er av alvorlighetsgrad kritisk mens 8 andre har blitt vurdert til alvorlighetsgrad høy.
Referanser
https://chromereleases.googleblog.com/2022/05[...]

2022.05.25 - Nyhetsbrev

Populære Python og PHP-biblioteker utnyttet for å stjele AWS-nøkler. Verizon har gitt ut 2022-utgaven av sin "Data Breach Investigations Report".

Populære Python og PHP-biblioteker utnyttet for å stjele AWS-nøkler

Den populære Python modulen "ctx" med over 20 000 ukentlige nedlastninger har blitt kompromittert. Tidligere denne måeden ble det utgitt en versjon av modulen som inneholdt ondsinnet kode. Koden hentet ut data fra enheter som benytter seg av modulen, som påloggingsinformasjon og AWS-nøkler. Dataene ble sendt til en HerokuApp som nå er blitt tatt ned. Det ble også funnet et angrep gjennomført med samme teknikk mot PHPpass, hvor den samme aktøren gjenopplivet et dødt github-repository og la inn den ondsinnede koden. Det er usikkert om dette var ett ondsinnet angrep, eller om det var POC som ble håndtert på feil måte. Uansett er dette eksempel på angrep som rammer forsyningskjeden.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Verizon har gitt ut 2022-utgaven av sin "Data Breach Investigations Report"

Verizon har gitt ut en ny utgave av sin årlige rapport, den 15. i rekken. Rapporten analyserer 5212 datainnbrudd og 23896 sikkerhetshendelser fra det siste året. Verizon har blant annet funnet ut at en eller annen form for menneskelig svikt bidrar til 82% av sikkerhetshendelsene.
Referanser
https://venturebeat.com/2022/05/23/key-findin[...] https://www.verizon.com/business/resources/re[...]

2022.05.25 - Nyhetsbrev

Populære Python og PHP-biblioteker utnyttet for å stjele AWS-nøkler. Verizon har gitt ut 2022-utgaven av sin "Data Breach Investigations Report".

Populære Python og PHP-biblioteker utnyttet for å stjele AWS-nøkler

Den populære Python modulen "ctx" med over 20 000 ukentlige nedlastninger har blitt kompromittert. Tidligere denne måeden ble det utgitt en versjon av modulen som inneholdt ondsinnet kode. Koden hentet ut data fra enheter som benytter seg av modulen, som påloggingsinformasjon og AWS-nøkler. Dataene ble sendt til en HerokuApp som nå er blitt tatt ned. Det ble også funnet et angrep gjennomført med samme teknikk mot PHPpass, hvor den samme aktøren gjenopplivet et dødt github-repository og la inn den ondsinnede koden. Det er usikkert om dette var ett ondsinnet angrep, eller om det var POC som ble håndtert på feil måte. Uansett er dette eksempel på angrep som rammer forsyningskjeden.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Verizon har gitt ut 2022-utgaven av sin "Data Breach Investigations Report"

Verizon har gitt ut en ny utgave av sin årlige rapport, den 15. i rekken. Rapporten analyserer 5212 datainnbrudd og 23896 sikkerhetshendelser fra det siste året. Verizon har blant annet funnet ut at en eller annen form for menneskelig svikt bidrar til 82% av sikkerhetshendelsene.
Referanser
https://venturebeat.com/2022/05/23/key-findin[...] https://www.verizon.com/business/resources/re[...]

2022.05.24 - Nyhetsbrev

Nulldagssårbarhet i Cisco IOS XR router-programvare blir aktivt utnyttet mot 8000-serie routere. Blokkjede-firmaet Wormhole betalte 10 millioner dollar i belønning til sikkerhetsforsker.

Nulldagssårbarhet i Cisco IOS XR router-programvare blir aktivt utnyttet

Cisco ber alle administratorer om å oppdatere til nyeste versjon av IOS XR Network OS siden en nulldagssårbarhet i operativsystemet blir aktivt utnyttet. Sårbarheten gjør det mulig for uautentiserte brukere å aksessere Redis-instanser som kjører i NOSi Docker containere. Dette skyldes at et helse-sjekk system åpner port 6379, som inneholder en svakhet. Sårbarheten går under benevnelsen CVE-2022-20821 og påvirker kun Cisco 8000 Series rutere, siden disse har det sårbare systemet for helse-sjekk installert.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Wormhole betalte 10 millioner dollar i bug bounty til sikkerhetsforsker

24. februar rapporterte sikkerhetsforskeren med pseudonymet "satya0x" en kritisk feil i Wormhole sin kontrakt på blokkjeden Ethereum til Immunefi. Dersom buggen hadde blitt utnyttet, kunne dette ført til at verdiene til Wormhole sine brukere kunne ha blitt låst for alltid. Samme dagen som buggen ble rapportert, fikset Wormhole svakheten. Utbetalingen på 10 millioner dollar er ny rekord i utbetaling for å ha meldt inn en svakhet. Immunefi har foretatt en detaljert gjennomgang av svakheten i sin nyhetssak.
Referanser
https://medium.com/immunefi/wormhole-uninitia[...]

2022.05.23 - Nyhetsbrev

Oracle hastepatcher feil i E-Business Suite. Mozilla Foundation oppdaterer kritiske feil i Firefox og Thunderbird.

Oracle hastepatcher feil i E-Business Suite

Oracle sin sikkerhetsvarsel adresserer svakheten CVE-2022-21500 som gjelder enkelte instanser av Oracle E-business Suite. Svakheten lar seg utnytte via nettet, uten at autentisering er nødvendig, og kan føre til eksponering av data fra systemet. Oracle anbefaler sterkt at kunder installerer de nye oppdateringene så raskt som mulig.
Referanser
https://www.oracle.com/security-alerts/alert-[...]

Mozilla Foundation oppdaterer kritiske feil i Firefox og Thunderbird

Mozilla Foundation har gitt ut en oppdatering som fikser både CVE-2022-1802 og CVE-2022-1529. Begge svakhetene blir sett på som kritiske og gjelder feil i håndteringen av Javascript. Oppdateringen gjelder for Firefox, Firefox ESR, Firefox for Android og Thunderbird.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

2022.05.20 - Nyhetsbrev

Microsoft Teams og Windows 11 ble hacket på første dagen av Pwn2Own. XorDDoS: Et dypere innblikk i DDoS-malware rettet mot Linux-enheter. Google TAG gjennomgår flere zero-day angrep rettet mot Android-brukere. Helsetjenestene i Grønland er «sterkt begrenset» etter nettangrep.

Microsoft Teams og Windows 11 ble hacket på første dagen av Pwn2Own

I løpet av den første dagen av Pwn2Own-konkurransen i Vancouver, vant deltakere over $800 000 etter å ha brukt 16 zero-day svakheter. De hacket flere produkter, inkludert Microsoft Teams og Windows 11.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

XorDDoS: Et dypere innblikk i DDoS-malware rettet mot Linux-enheter

I løpet av de siste seks månedene har Microsoft observert en økning på 254% i aktivitet fra en Linux-trojaner kalt XorDdos. XorDdos ble først oppdaget i 2014 av forskergruppen MalwareMustDie, og ble oppkalt etter denial-of-service-relaterte aktiviteter den utførte fra Linux-endepunkter og servere, samt bruken av XOR-basert kryptering for kommunikasjon. Microsoft melder om en generell økning i malware rettet mot Linux.
Referanser
https://www.microsoft.com/security/blog/2022/[...]

Google TAG gjennomgår flere zero-day angrep rettet mot Android-brukere

Google TAG (Threat Analysis Group) har gjennomgått flere målrettede angrep mot Android-brukere som benyttet seg av zero-day svakheter i 2021. Alle svakhetene ble skaffet til veie av selskapet Cytrox, som solgte dem videre til flere aktører tilknyttet myndigheter i flere land. Google mener at landene Egypt, Armenia, Hellas, Madagaskar, Elfenbenskysten, Serbia, Spaina og Indonesia har vært kunder. Svakhetene brukes for å installere overvåkingsprogramvare på mobilene, og retter seg som oftest bare mot et fåtall ofre. Google sin TAG-gruppe følger for tiden over 30 selskaper som driver med salg og kjøp av denne typen svakheter og overvåkingsprogramvare.
Referanser
https://blog.google/threat-analysis-group/pro[...]

Helsetjenestene i Grønland er «sterkt begrenset» etter nettangrep

Grønlands regjering bekreftet rapporter denne uken om at øyas sykehussystem ble "alvorlig" påvirket av et nettangrep. Myndighetene svarte ikke på kommentarer om hvorvidt det var et løsepenge-angrep, men forklarte i en uttalelse at helsevesenets digitale nettverk krasjet på grunn av hendelsen. De ble tvunget til å starte alle IT-systemer og servere på nytt, noe som betyr at sykehusarbeidere ikke kan få tilgang til pasientjournaler.
Referanser
https://therecord.media/greenland-cyberattack[...]

2022.05.19 - Nyhetsbrev

Låser som bruker BlueTooth Low Energy er utsatt for videresendings-angrep. VMware fikser kritisk autentiseringsfeil i flere produkter.

Låser som bruker BlueTooth Low Energy er utsatt for videresendings-angrep

Forskere hos NCC Group har brukt et videresendings-angrep mot Tesla-biler for å låse opp bilen og starte den på lang avstand. Angrepet fungerer ved å ha én radiosender ved bilen, samt én sender ved nøkkelen. Signalet blir kodet om til en annen protokoll mellom radiosenderne, slik at rekkevidden blir mye lengre. Angrepet kan brukes mot alle typer låser som benytter seg av Bluetooth Low Energy. På Tesla-biler kan angrepet forhindres ved å slå på krav til PIN-kode før en får startet bilen.
Referanser
https://www.reuters.com/technology/tesla-cars[...] https://research.nccgroup.com/2022/05/15/tech[...]

VMware fikser kritisk autentiseringsfeil i flere produkter

VMware ber kunder innstallere nyeste oppdatering for å fikse en kritisk autentiseringsfeil som kan bli brukt til å oppnå admin-rettigheter på sårbare systemer som eksponerer innloggings-siden. Feilen er merket med CVE-2022-22972.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.vmware.com/security/advisories/VM[...]

2022.05.18 - Nyhetsbrev

Apple utgir kritisk oppdatering som fikser nulldagssårbarhet i macOS, watchOS og tvOS. Sikkerhetsforskere kjører skadelig programvare på iPhone, selv når den er avslått.

Apple utgir kritisk oppdatering som fikser nulldagssårbarhet i macOS, watchOS og tvOS

Apple har utgitt oppdatering som fikser en nulldagssårbarhet i AppleAVD-modulen. Det er snakk om en "out-of-bounds" skrive-feil som gjør det mulig for angripere å eksekvere vilkårlig kode med kernel-privilgier. De påvirkede versjonene er tredje generasjons Apple-klokker eller senere, Macbooks som kjører macOS Big Sur, Apple TV 4K, Apple TV 4K andre generasjon og Apple TV HD. Apple har bekreftet at sårbarheten har blitt aktivt utnyttet, men har ikke utgitt noen ekstra informasjon rundt angrepene. Sårbarheten går under CVE-2022-22675 og er fikset i macOS Big Sur 11.6, watchOS 8.6 og tvOS 15.5.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Sikkerhetsforskere kjører skadelig programvare på iPhone, selv når den er avslått

Sikkerhetsforskere har funnet en potensiell måte å kjøre skadelig programvare på iPhone ved å utnytte "Low Power Mode"-funksjonen (LPM). Når en iPhone er i "Low Power Mode" er fortsatt de trådløse teknologiene Bluetooth, NFC og UWB operative. Ved å opprette skadelig programvare som kan eksekveres av Bluetooth-brikken i en iPhone, kan programvaren legges inn i mobilens fastvare ved hjelp av andre eksisterende svakheter som for eksempel BrakTooth. Da vil det være mulig å få Bluetooth-chippen til å eksekvere programvaren, selv når mobilen er avslått, fordi den fortsatt er i Low Power Mode.
Referanser
https://thehackernews.com/2022/05/researchers[...]

2022.05.16 - Nyhetsbrev

SonicWall anbefaler å patche SSLVPN SMA1000. Feil i Zyxel-brannmurer tillater fjernkjøring av kommandoer.

SonicWall anbefaler å patche SSLVPN SMA1000

Sårbarheter funnet i Secure Mobile Access 1000 serien gjør det mulig for angripere å forbigå autentisering og muligens kompromittere systemet. Det er kun versjoner som er nyere enn 12.4.0 som er påvirket og som dermed trenger oppdatering. Frem til nå har det ikke vært funnet noen tegn på at sårbarheten blir aktivt utnyttet. Den mest kritiske sårbarheten går under CVE-2022-22282, med kritikalitetsvurdering 8.2. De to andre sårbarhetene med medium kritikalitet har enda ikke blitt tildelt noe CVE nummer.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Feil i Zyxel-brannmurer tillater fjernkjøring av kommandoer

En kritisk sårbarhet i Zyxel-brannmurer gjør det mulig for angripere å ta over flere tusen enheter eksponert på nettet. Til nå har Shodan kartlagt over 16 tusen sårbare enheter. De potensielt sårbare enhetene er av typen USG FLEX 100, 100W 200, 500 og 800. Sjekk firmware-versjon for å finne ut om de er sårbare. Feilene kan enkel utnyttes med HTTP- og HTTPS-forespørsler og gir angripere mulighet til å lage reverse shells. Sårbarheten har derfor fått en kritisk risikovurdering på 9.8 og går under CVE-2022-30525. Zyxel har i stillhet gitt ut en oppdatering for å fjerne sårbarheten. Tidlige indikatorer fra Shodan viser at bare 25% av APT200 enhetene som er eksponert ut mot nettet kjører nyeste fastvare, og dermed ikke er sårbare.
Referanser
https://arstechnica.com/information-technolog[...]

2022.05.13 - Nyhetsbrev

Russiske hacktivister med DDoS-angrep mot mål i Italia, kan komme til å angripe mål i Sverige og Finland.

Russiske hacktivister med DDoS-angrep mot mål i Italia

Hackergruppen Killnet har siden Russlands invasjon av Ukraina gjennomført en rekke DDoS-angrep mot vestlige mål. På torsdag førte angrep fra gruppen til nedetid for nettsidene tilhørende det italienske parlamentet og andre offentlige nettsteder tilhørende forsvaret og helsesektoren. Angrepene er volumetriske og ikke særlig avanserte. I går kom det også fram at Finland har tenkt å søke medlemskap i NATO. Sverige og Finland kan framover få oppmerksomhet fra Killnet og andre hackergrupper som er mer eller mindre knyttet til den russiske stat.
Referanser
https://therecord.media/italy-killnet-hacking[...] https://www.nrk.no/urix/finland-vil-inn-i-nat[...]

2022.05.12 - Nyhetsbrev

Et domene brukt i forbindelse med NPM-pakken "foreach" med 6 millioner nedlastninger ble kapret. Adobe har sluppet nye sikkerhetsoppdateringer. Google fikser 13 svakheter i Chrome.

Et domene brukt i forbindelse med NPM-pakken "foreach" med 6 millioner nedlastninger ble kapret

Sikkerhetskonsulent Lance Vick tok over et utgått domene som har blitt brukt i forbindelse med en populær NPM pakke. Vick brukte overtagelsen til å fremheve hvor dårlig sikkerheten er rundt populære NPM-pakker. Domenet som tilhørte NPM pakken var utgått og hadde ikke blitt fornyet av de som har ansvar for NPM-pakken. Dermed snappet Vick det opp og tok over kontrollen over koden til NPM-pakken.
Referanser
https://www.theregister.com/2022/05/10/securi[...]

Adobe har sluppet nye sikkerhetsoppdateringer

Adobe har sluppet nye sikkerhetsoppdateringer for en rekke Adobe produkter, blant annet ColdFusion og InDesign.
Referanser
https://helpx.adobe.com/security/security-bul[...]

Google fikser 13 svakheter i Chrome

Google Chrome slipper sikkerhetsoppdateringer for flere "high risk" sårbarheter. De fire mest alvorlige er av typen "user after free".
Referanser
https://chromereleases.googleblog.com/2022/05[...]

2022.05.11 - Nyhetsbrev

Microsoft patchetirsdag mai 2022: Totalt 75 svakheter, åtte kritiske og én utnyttes aktivt i angrep. Norkart har blitt utsatt for dataangrep som lekket persondata.

Norkart har blitt utsatt for dataangrep som lekket persondata

Norkart har varslet om dataangrep mot deres tjenester for eiendomsinformasjon. NRK har estimert at det har blitt lekket informasjon for inntil 3.3 millioner innbyggere i Norge. Informasjonen som er har vært tilgjengelig fra Norkarts IT-systemer inneholder navn, adresse og fødselsnummer. Personer berørt av angrepet er alle som eier eller har eid Norsk eiendom. Dataangrepet er meldt til Datatilsynet og politiet, men det er per nå ukjent hvem som står bak angrepet eller nøyaktig hvor mye informasjon som har blitt hentet ut.
Referanser
https://www.digi.no/artikler/dataangrep-mot-n[...] https://www.nrk.no/norge/dataangrep-mot-norka[...]

Microsoft patchetirsdag mai 2022: 8 kritiske svakheter, 1 utnyttes aktivt

Microsoft har offentligjort sine månedlige sikkerhetsoppdateringer. Det er totalt 75 bulletiner, hvor 8 er vurdert som kritiske. Flere av sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere og systemer. De kritiske sårbarhetene påvirker blant annet RDP, Kerberos og NFS. Disse sårbarhetene er gjennomgått i mer detalj på Microsoft sine sider. Microsoft opplyser at én sårbarhet er observert aktivt utnyttet: CVE-2022-26925 - Windows LSA Spoofing Vulnerability. Denne tillater uautentiserte brukere å tvinge domene-kontrollere til å autentisere dem via Windows NT LAN Manager (NTLM) i alle Windows-versjoner. Sårbarheten er registrert som CVE-2022-26925. Se egen sak fra Bleepingcomputer for detaljer.
Referanser
https://nsm.no/fagomrader/digital-sikkerhet/n[...] https://msrc.microsoft.com/update-guide https://krebsonsecurity.com/2022/05/microsoft[...] https://www.bleepingcomputer.com/news/microso[...]

2022.05.10 - Nyhetsbrev

Microsoft har fikset RCE svakhet i Azure Synapse og Data Factory

Microsoft har fikset RCE svakhet i Azure Synapse og Data Factory

Sårbarheten kjent som SynLapse som gikk under CVE-2022-29972 har nå blitt patchet. SynLapse tilhørte en spesifikk tredjeparts Open Database Connectivity driver som brukes til å koble sammen Amazon Redshift i Azure Synapse pipelines og påvirket dermed ikke Azure Synapse direkte. Dersom en angriper utnyttet buggen, ville det vært mulig å kjøre kommandoer på tvers av kunder. Dermed ville de ha mulighet til å stjele inn sensitiv informasjon. Det har så langt ikke blitt funnet spor på at sårbarheten ble aktivt utnyttet.
Referanser
https://thehackernews.com/2022/05/microsoft-m[...]

2022.05.09 - Nyhetsbrev

Costa Rica erklærer nasjonal nødsituasjon etter Conti ransomware-angrep.

Costa Rica erklærer nasjonal nødsituasjon etter Conti ransomware-angrep

Den nyvalgte presidenten av Costa Rica, Rodrigo Chaves, har erklært nasjonal nødsituasjon etter bølgen av Conti-ransomware-angrep som har vært rettet mot flere offentlige etater. BleepingComputer erfarer at Conti har lekket 97% av en 672GB datadump som angivelig inneholder data stjålet fra offentlige etater i Costa Rica. Conti har tidligere krevd $10 millioner dollar fra finansdepartementet, som de har nektet å betale. Conti hevder å ha utført vellykkede angrep mot følgende etater: Det costaricanske finansdepartementet (Ministerio de Hacienda) Arbeids- og trygdedepartementet (MTSS) Samfunnsutviklings- og familiepengefondet (FODESAF) Interuniversitetets hovedkvarter i Alajuela (SIUA)
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.05.06 - Nyhetsbrev

Kritisk sårbarhet i Cisco NFVIS gjør det mulig å unnslippe VMen. Google har sluppet månedlige sikkerhetsoppdateringer for Android. Rapport om Raspberry Robin-orm som sprer seg via USB. Apple, Google, og Microsoft: Ønsker å bevege seg vekk fra tekstbaserte passord.

Kritisk sårbarhet i Cisco NFVIS gjør det mulig å unnslippe VMen

En svakhet i Cisco NFVIS gjør det mulig for en angriper på en gjeste-VM å unnslippe VMen for å så få root-tilgang til det underliggende systemet og andre VMer. Cisco har også informert om to andre svakheter som burde fikses. Den ene har fåt tildelt høy alvorlighetsgrad og gjør det mulig å fjern-eksekvere kode på root-nivå på NFVIS-enheten. Den siste gjør det mulig for angripere i et gjeste-VM å hente ut konfidensiell system-informasjon fra det underliggende systemet. Det anbefales å oppdatere til nyeste versjon så fort som mulig. Sårbarheten går under CVE-2022-20777 med CVSS 9.9. CVE-2022-20779 med CvSS 8.8 og VE-2022-20780 med CVSS 7.4.
Referanser
https://www.darkreading.com/vulnerabilities-t[...] https://tools.cisco.com/security/center/conte[...]

Google har sluppet månedlige sikkerhetsoppdateringer for Android

Rapporten inneholder informasjon om sårbarheter som påvirker Android enheter og hvordan man kan sjekke patche nivået til enheten. Den lister også opp CVEer (svakheter) som har blitt fikset. Den mest kritiske sårbarheten denne måneden kan medføre lokal privilegie-eskalering til system-nivå fra en vanlig bruker-tilgang.
Referanser
https://source.android.com/security/bulletin/[...]

Rapport om Raspberry Robin-orm som sprer seg via USB

Sikkerhetsselskapet Red Canary har skrevet en rapport om en nyoppdaget orm som har fått navnet Raspberry Robin, som spres via eksterne USB-lagringsenheter. Den utnytter Windows Installer for å kommunisere ut mot QNAP-tilknyttede domener og laste ned en ondsinnet DLL.
Referanser
https://redcanary.com/blog/raspberry-robin/

Apple, Google, og Microsoft: Ønsker å bevege seg vekk fra tekstbaserte passord

For å feire "verdens passord-dag" lanserer de tre store operativsystem-leverandørene Apple, Google og Microsoft et samarbeids om å bevege seg vekk fra tekstbaserte passord. De ønsker å implementere et system som ligner på mobiltelefonbasert to-faktor-autentisering der brukeren benytter seg av mobiltelefonen sin for å logge inn, istedet for et tekstbasert passord. Utviklerne av systemet (FIDO) sier: "Disse nye funksjonene forventes å bli tilgjengelige på tvers av Apple-, Google- og Microsoft-plattformer i løpet av det kommende året."
Referanser
https://arstechnica.com/gadgets/2022/05/apple[...] https://www.tek.no/nyheter/nyhet/i/1O4yBq/app[...]

2022.05.05 - Nyhetsbrev

F5 gir ut sikkerhetsanbefalinger for en rekke sårbarheter. Cybereason avslører Operasjon CuckooBees, en kinesisk operasjon for tyveri av informasjon. Tilgjengelig utnyttelseskode for privilegieeskalering i Windows. Google: Økning i målrettede angrep mot mål i Øst-Europa.

F5 gir ut sikkerhetsanbefalinger for en rekke sårbarheter

F5 har sluppet flere sikkerhetsanbefalinger for sårbarheter som påvirker en rekke produkter, inkludert forskjellige versjoner av BIG-IP. Anbefalingene gjelder blant annet CVE-2022-1388, som lar forespørsler komme seg forbi iControl REST autentisering i BIG-IP.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Cybereason avslører Operasjon CuckooBees, en kinesisk operasjon for tyveri av informasjon

Cybereason oppdaget nylig et operasjon som har foregått over flere år, som er antatt å være utført av den kinesiske APTen (Advanced Persistent Threat) Winnti. Operasjon CuckooBees har i hovedsak handlet om å stjele sensitiv informasjon fra teknologifirmaer i Nord-Amerika, Europa og Asia.
Referanser
https://www.cybereason.com/blog/operation-cuc[...]

Tilgjengelig utnyttelseskode for privilegieeskalering i Windows

HelseCERT har sendt ut et varsel som omhandler offentlig tilgjengelig utnyttelseskode, som på Windows gjør det mulig for ordinære AD-brukere å eskalere rettigheter til SYSTEM. Det foreligger ingen sikkerhetsoppdatering, men virksomheter må implementere Microsoft sine anbefalte konfigurasjonsendringer, som har vært kjent i lengre tid. Sårbarheten løses ved å kreve LDAP-signering på domenekontrollere.
Referanser
https://nsm.no/fagomrader/digital-sikkerhet/n[...]

Google: Økning i målrettede angrep mot mål i Øst-Europa

Google’s Threat Analysis Group (TAG) melder om en økning i antall trusselaktører som bruker krigen i Ukraina som tema ifbm. phishing og malware-kampanjer. Det meldes også om en økning i målrettede angrep mot kritisk infrastruktur, innenfor bl.a. telekom, olje og gass.
Referanser
https://blog.google/threat-analysis-group/upd[...]

2022.05.04 - Nyhetsbrev

Mandiant skriver om den nye trusselaktøren UNC3524, som spionerer på bedrifts-epost, i en ny blogpost.

Mandiant skriver om trusselaktøren UNC3524 som spionerer på bedrifts-epost, i en ny blogpost

I en ny blogpost går Mandiant detaljert gjennom hvordan en ny avansert trusselaktør, UNC3524, går frem for å stjele informasjon fra selskaper ved å kompromittere epost-kontoene til ansatte. De har så langt vært veldig flinke til å unngå å bli oppdaget ved å benytte seg av bakdører på enheter hvor antivirus- og endepunkt-deteksjon (EDR) ikke kan benyttes.
Referanser
https://www.mandiant.com/resources/unc3524-ey[...]

2022.05.03 - Nyhetsbrev

Russiske APT-29 gjennomfører phishing-angrep mot diplomater og myndigheter. Den spanske statsministeren har blitt utsatt for mobil-overvåking. Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for april 2022.

Russiske APT-29 gjennomfører phishing-angrep mot diplomater og myndigheter

I en ny spear-phising kampanje benytter APT-29, også kjent som Cozy Bear/Nobelium, seg av legitime epost-adresser i målrettede angrep. Adressene er legitime kompromitterte adresser fra flere forskjellige ambassader. Innholdet i eposten utgir seg for å være policy oppdateringer, men har vedlegg som eksekverer ondsinnet kode dersom det åpnes. Dersom en klient blir infisert, vil APT29 ta over brukeren og forsøke å eskalere rettigheter, typisk innen 12 timer. For kontroll-serveren (C2) benytter skadevaren seg av Atlassian Trello for kommunikasjon, som er en legitim sky-plattform.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Den spanske statsministeren har blitt utsatt for Pegasus angrep

Både statsministeren Pedro Sanchez og sikkerhetsministeren Margarita Robles har blit angrepet med spion-programvaren Pegasus. Telefonene ble infisert i mars og juni 2021 og det har blitt bekreftet at data er blitt eksfiltrert. Spanske myndigheter har startet etterforskning for å sjekke om flere av deres ansatte har fått Pegasus på mobilen. Pegasus utvikles av det Israelske sikkerhetsselskapet NSO group, som hevder at de kun selger programvaren til statlige aktører for å overvåke kriminelle og terrorister.
Referanser
https://www.theguardian.com/world/2022/may/02[...]

Oppsummering av nyhetsbildet innen datasikkerhet for april 2022

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for april 2022. Denne måneden er hovedsakene malware brukt mot strømnettet i Ukraina samt bruk av overvåkingsprogramvare mot den britiske regjeringen og katalanske offentlige personer.
Referanser
https://telenorsoc.blogspot.com/2022/05/oppsu[...]

2022.05.02 - Nyhetsbrev

Microsoft fikser sårbarheter i Azure PostgreSQL. Telenor, Cognite og Aker etablerer cybersikkerhetsselskap for OT-overvåking.

Microsoft fikser sårbarheter i Azure PostgreSQL

To sårbarheter i Microsoft Azure PostgreSQL kunne gi tilgang til andre kunders sky-infrastruktur i form av rettighetseskalering fra PostgreSQL. Uvedkommende kunne på denne måten potensielt sett ha hentet ut alt av data fra andre kunders datbaser i skytjenesten, så lenge de var innenfor samme region.
Referanser
https://www.darkreading.com/cloud/microsoft-p[...]

Telenor, Cognite og Aker etablerer cybersikkerhetsselskap for OT-overvåking

Telenor, Aker og Cognite etablerer et software sikkerhetsselskap rettet mot industri og operasjonell teknologi. Nyetableringen Omny vil fylle et tomrom i markedet for cybersikkerhet – et stort udekket behov for software som forebygger dataangrep og sikrer bedriftenes operative virksomhet. Ambisjonen er å bygge et norsk softwareselskap som er globalt ledende på operasjonell industriell sikkerhet.
Referanser
https://telenor-no.mynewsdesk.com/pressreleas[...] https://www.telenor.com/media/newsroom/announ[...]