2022.07.29 - Nyhetsbrev

Kritisk sårbarhet i Samba kan la en potensiell angriper bli domeneadministrator

Kritisk sårbarhet i Samba kan la en potensiell angriper bli domeneadministrator

Kritisk svakhet i Samba, en nettverksfildeling- og datalagringsprotokoll utviklet av Microsoft (SMB) kan la en angriper bli domeneadministrator på en sårbar domenekontroller. Ved å forsøke å endre passord gjentatte ganger mot "kpasswd" (CVE-2022-32744) vil domene-kontrolleren til slutt akseptere passordendringen, selv om passordet er satt av en uautorisert bruker. Med dette kan angriperen i prinsipp få full kontroll over domenekontrolleren så lenge den har tilgang til en standardbruker i samme nettverk.
Referanser
https://nakedsecurity.sophos.com/2022/07/27/c[...]

2022.07.28 - Nyhetsbrev

Windows og Adobe nulldagssårbarhet utnyttet av østerrisk trusselaktør "Knotweed"

Windows og Adobe nulldagssårbarhet utnyttet av østerrisk trusselaktør "Knotweed"

Østerrisk trusselaktør "Knotweed" utnytter nulldagssårbarheter i Windows og Adobe produkter for å oppnå privilegieeskalering på Windows systemer. Dette inkluderer blant annet sårbarhet CVE-2022-22047, der en DLL fil kan bli skrevet til disk ved hjelp av en ondsinnet PDF åpnet i Adobe Reader. Videre blir rootkit "Subzero" iverksatt der en angriper kan ta skjermbilder, logge tastetrykk, og eksekvere ekstern kode på den infiserte klienten.
Referanser
https://www.theregister.com/2022/07/27/knotweed/ https://www.microsoft.com/security/blog/2022/[...]

2022.07.26 - Nyhetsbrev

"CosmicStrand" rootkit funnet i UEFI fastvare for Gigabyte og ASUS hovedkort.

"CosmicStrand" rootkit funnet i UEFI fastvare for Gigabyte og ASUS hovedkort

Eksperter har funnet et rootkit (programvare som tar over et system uten å bli oppdaget) i UEFI fastvare til både Gigabyte og ASUS hovedkort. Rootkitet har fått navnet "CosmicStrand" og er trolig brukt av kinesiske hackere. Dersom et hovedkort kjører infisert fastvare vil rootkitet oppnå kode-eksekvering ved å modifisere en driver ("CSMCORE DXE") som brukes under oppstart på Windows systemer.
Anbefaling
Referanser
https://thehackernews.com/2022/07/experts-unc[...] https://www.bleepingcomputer.com/news/securit[...]

2022.07.25 - Nyhetsbrev

Amerikanske justisdepartementet tok kontroll over penger til Nord Koreanske hackere, Apple slipper sikkerhetsoppdateringer for deres operativsystem, Cisco patch flere av produktene sine, Windows 11 skrur på "Account Lockout Policy" som standard, og potensiell trussel funnet for Edge og Safari

Amerikanske justisdepartementet tok kontroll over penger til Nord Koreanske hackere

Etter flere løsepengevirus mot Amerikanske helsetjenester, har Amerikanske myndigheter gått inn for å hente tilbake løsepenger utbetalt av Amerikanske helsetjenester. Det er til nå uvisst hvordan myndighetene fikk tak i løsepengene ettersom det var betalt med bitcoin. Det spekuleres at pengene ble sporet til en vekslingsplatform for kryptovaluta og deretter tatt tilbake av myndighetene. FBI har bekreftet at løsepengene er blitt tilbakebetalt til to av de påvirkede helsetjeneste. Nord Koreas Lazarus group er blant de største hackergruppene som driver med løsepengevirus. Angrepene deres er en av grunnene til at Nord Korea er en økende trussel.
Referanser
https://www.bbc.com/news/technology-62239638

Apple utgir sikkerhetsoppdateringer for deres operativsystem

Apple har utgitt sikkerhetsoppdateringer for iOS, iPadOS, tvOS, and watchOS.
Referanser
https://support.apple.com/en-us/HT201222

Cisco patcher flere av sine produkter

Blant sikkerhetsoppdateringene er det 2 kritiske, 1 høy og 6 medium sårbarheter. Den mest kritiske sårbarheten er i Cisco Nexus Dashboard hvor det gjøres mulig for angriperne å fjern eksekvere kode, lese og laste opp container-bildefiler, eller gjennomføre cross site request forfalsknings angrep (CSRF). I skrivende stund er det blitt bekreftet at det ikke finnes noen løsning for å unngå sårbarheten, det er dermed anbefalt å oppdatere til nyeste versjon.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Windows 11 skrur nå på "Account Lockout Policy" som standard for å slå ned på populær angrepsvektor

Nye versjoner av Windows 11 kommer nå med "Account Lockout Policy" skrudd på som standard. Dette fører til at bruker og admin kontoer blir automatisk låst i ti minutter etter ti mislykkede forsøk på innlogging. Microsoft sin VP David Weston skriver at å brute-force innloggings informasjon er en populær taktikk for å bryte seg inn i Windows miljøer via Remote Desktop Protocol (RDP). Microsoft har også planer om å sakte men sikkert blokkere andre populære angrepsvektorer som også brukes i assosiasjon med løsepengevirus og innbrudd i Windows Miljøer.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

Sårbarhet tidligere brukt for å infisere Chrome brukere kan være en trussel for Edge og Safari brukere også

Sårbarhet CVE-2022-2294 er en minne korrupsjons sårbarhet som i første omgang utnyttet brukere av Google Chrome nettleseren. I etterkant av varsling fra Avast ble denne sårbarheten patchet av Google på 4 Juli. Det har siden blitt oppdaget at denne sårbarheten også påvirker brukere av andre nettlesere. Microsoft patchet sårbarheten samtidig som Google i tidlig Juli, mens Apple derimot patchet sårbarheten først denne Onsdagen.
Anbefaling
Anbefaler at alle brukere av Google Chrome, Microsoft Edge og Apples Safari oppdaterer til nyeste nettleser versjon. Brukere av Safari burde være spesielt oppmerksomme ettersom Apple var tregere på å patche sårbarheten enn konkurrentene.
Referanser
https://arstechnica.com/information-technolog[...]

2022.07.21 - Nyhetsbrev

Hardkodet innloggingsinformasjon funnet for Confluence Server og Data Center, Russike aktører benytter seg av Google drive og Dropbox for å spre skadevare til NATO allierte og Atlassian har utgitt sikkerhetsoppdatering til flere av deres produkter

Atlassian har utgitt sikkerhetsoppdatering til flere av deres produkter

Sårbarhetene CVE-2022-26136 og CVE-2022-2137 tillater for Authentication bypass, Cross site scripting og Cross-origin resource sharing bypass. Atlassian bekrefter at det ikke påvirker deres skytjenester, da disse har blitt oppdatert, men anbefaler alle å oppdatere til nyeste versjon da det i skrivende stund ikke eksisterer andre måter å unngå sårbarhetene. Produktene som er sårbare: Bamboo Server og data center, Bitbucket Server og data center, Confluence Server og data center, Crowd, Crucible, Fisheye, Jira Server og data center og Jira Service management server og data center.
Referanser
https://confluence.atlassian.com/security/mul[...]

Russike aktører benytter seg av Google drive og Dropbox for å spre skadevare til NATO allierte

Den russisk sponsede trusselaktøren APT29 også kjent som Cozy Bear, Cloaked ursa og The dukes har begynt å bruke skybaserte fillagringsplasser for å spre skadevare til NATO allierte. En av grunnene til at aktøren benytter seg av disse tjenestene, er fordi det er kryptert trafikk mot populære domener som for det meste blir brukt til legitime formål. Kampanjene mot NATO allierte har blitt observert i Mai og Juni 2022 hvor de blant annet også benyttet seg av phising eposter for å utplassere Cobalt Strike Beacons.
Referanser
https://thehackernews.com/2022/07/russian-hac[...] https://www.digi.no/artikler/russiske-hackere[...]

Hardkodet innloggingsinformasjon funnet for Confluence Server og Data Center

Confluence Server og Data Center opprettet en hardkodet bruker dersom man installerte Questions for Confluence app versjon 2.7.34, 2.7.35 og 3.0.2. Brukeren skulle benyttes for å migrere data fra appen til Confluence Cloud og hadde lesetilgang til alle filene som Confluence-bruker gruppen hadde tilgang til. Atlassian har sagt at de ikke har oppdaget at CVE-2022-26138 er aktivt utnyttet og har gitt ut oppdateringer som fikser feilen. For å teste om Confluence versjonen man bruker er sårbar kan man forsøke å logge seg inn med følgende info: User: disabledsystemuser Username: disabledsystemuser Email: dontdeletethisuser@email.com
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.07.18 - Nyhetsbrev

Iransk spear-phising kampanje gjennomfører målrettede angrep mot Israelske og Amerikanske offiserer

Iransk spear-phising kampanje gjennomfører målrettede angrep mot Israelske og Amerikanske offiserer

Check Point Research har oppdaget en Iransk spear-phising kampanje. Kampanjen sitt hovedmål er Israelske offiserer, militær personell, forskere og innbyggere. De benytter seg av egen infrastruktur og bruker flere forskjellig epost adresser som etterligner troverdige avsendere. Deretter bruker kampanjen en falsk URL forkorter for å skjule phising lenkene. Check Point har etterforsket kampanjen og funnet infrastruktur, metodikk og mulige motiver for aktøren.
Referanser
https://research.checkpoint.com/2022/check-po[...]

2022.07.15 - Nyhetsbrev

Nord-Koreansk aktør tar i bruk H0lyGh0st løsepengevirus mot mindre bedrifter

Nord-Koreansk aktør tar i bruk H0lyGh0st løsepengevirus mot mindre bedrifter

Microsoft Threat Intelligence Center har holdt øye med en gruppe aktører under navnet DEV-0530. Gruppen selv kaller seg H0lyGh0st i likhet med løsepengeviruset de tar i bruk mot bedrifter. Gruppen har utført suksessfulle angrep mot mindre bedrifter siden September 2021, og sammen med viruset benytter angriperne en .onion side for å kommunisere med ofrene. Offerets filer krypteres og bruker .H0lyenc filtype. Gruppen sender deretter en ukryptert fil som bevis og ber om betaling i bytte for å gjenopprette filene. Hvis offeret nekter å betale blir de truet med at den krypterte dataen blir lekket til offentligheten eller til bedriftens kunder.
Referanser
https://www.microsoft.com/security/blog/2022/[...]

2022.07.14 - Nyhetsbrev

CrowdStrike har oppdaget en ny callback-phishingkampanje hvor angriperne utgir seg for å være fra store cybersikkerhetsfirmaer.

Callback-phishingkampanje sender mail som utgir seg for å være fra CrowdStrike og andre store cybersikkerhetsfirmaer.

Den 8. juli oppdaget CrowdStrike Intelligence en callback-phishingkampanje hvor angriperne utgir seg for å være fra CrowdStrike og andre store cybersikkerhetsfirmaer. I mailene skriver de at mottakerens firma har blitt utsatt for hackerangrep og ber dem ringe nummeret i mailen fordi de vil undersøke mottakerens maskin. CrowdStrike forventer at angriperne vil prøve å lure mottakerne til å installere RAT-programvare på maskinen sin når de ringer nummeret. De forventer også at phishing-angrepene vil resultere i at angriperne installerer ransomware i mottakerbedriftens datasystemer for å tjene penger på angrepene.
Referanser
https://www.crowdstrike.com/blog/callback-mal[...]

2022.07.13 - Nyhetsbrev

Microsoft har patchet 86 sårbarheter i sin juli-oppdatering, og advarer mot store mengder MFA-bypass phising-forsøk. En ny angrepsteknikk er utviklet som utnytter en sårbarhet i Intel og AMD mikroprosessorer.

Microsoft med sin juli-oppdatering

Denne måneden patchet Microsoft 86 sårbarheter. Fire av dem er kritiske sårbarheter som tillater ekstern kodeeksekvering, og én av dem er en nulldagssårbarhet som tillater heving av privilegier for Windows CSRSS (Client Server Run-Time Subsystem).
Referanser
https://isc.sans.edu/diary.html?storyid=0

Microsoft advarer mot store mengder MFA bypass phishing forsøk

Microsoft advarer mot en stor mengde "MFA-bypass" phishing-forsøk. Trusselaktørene har siktet angrepene mot over 10 000 organisasjoner. Forsøkene bruker en forfalsket Office online autentiserings-side for å forsøke å kapre Office 365 autentiseringsprosessen. Etter ofrene har blitt frastjålet påloggingsinformasjonen og sesjon-cookies eskalerer trusselaktøren angrepet ved å logge inn på offerets mail-bruker. Deretter forsøker de å utføre en "business-email-compromise" (BRC) som et forsøk på å nå andre organisasjoner med phishingen fra offerets Office 365 bruker. Trusselaktøren startet serien av angrep september 2021.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Intel og AMD mikroprosessorer sårbare mot ny angrepsteknikk

Det er nylig utviklet en angrepsteknikk som utnytter en sårbarhet i den spekulative utførelsen i visse mikroprosessorer fra Intel og AMD. Dette er et såkalt "speculative execution" angrep som utnytter lignende teknikk som Spectre-sårbarheten. ETH Zurich har navngitt angrepsteknikken "Retbleed". Dette nye angrepet gjør det mulig å lekke passord og annen sensitiv informasjon i det skjulte ved å lure prosessoren til å utføre operasjoner som henter data fra steder i minne som lav-priviligerte prosesser ikke skal ha tilgang til. Deretter kanselleres operasjonen og dataen hentes ut. AMD og Intel ruller ut mitigeringer, men disse mitigeringene vil medføre et "computational overhead" på 12-28%.
Referanser
https://arstechnica.com/information-technolog[...]

2022.07.08 - Nyhetsbrev

Aktører tilknyttet Nord-Korea bruker Maui løsepengevirus i målrettede angrep mot den amerikanske helsesektoren. Ukraina blir systematisk angrepet av Trickbot-grupperingen.

Aktører tilknyttet Nord-Korea bruker Maui løsepengevirus i målrettede angrep mot den amerikanske helsesektoren

FBI, CISA og det amerikanske finansdepartementet advarer at Nord-Koreanske aktører retter sine angrep mot den amerikanske helsesektoren. Maui-løsepengeviruset brukes for å kryptere servere tilknyttet helsedata, og operasjonell data brukt av disse instituttene. Årsaken bak angrepene er kritikaliteten til tjenestene de angriper som ofte medfører at offeret betaler løsepenger for å få tilbake tilgang.
Referanser
https://securityaffairs.co/wordpress/132978/m[...]

Ukraina blir systematisk angrepet av Trickbot-grupperingen

IBM X-Force har funnet bevis på at Trickbot Group systematisk har gått etter Ukrainske mål etter den Russiske invasjonen av Ukraina.
Referanser
https://securityintelligence.com/posts/trickb[...]

2022.07.07 - Nyhetsbrev

Sikkerhetsforskere advarer om ny Linux-malware: OrBit. Cisco og Fortinet slipper sikkerhetsoppdateringer. Apple slipper ny sikkerhetsfunksjon for å blokkere statlig spionprogramvare. Google har gitt ut juli-oppdateringen for Android.

Google har gitt ut juli-oppdateringen for Android

Google publiserte sin månedlige oppdatering for Android. Den mest alvorlige svakheten som blir fikset ligger i "Android System" som lar en utføre eksekvering av kode eksternt, uten noe form for eksekveringsprivilegier. Det er også en hel rekke andre oppdateringer av varierende alvorlighetsgrad.
Referanser
https://source.android.com/security/bulletin/[...]

Sikkerhetsforskere advarer om ny Linux-malware: OrBit

Sikkerhetsfirmaet Intezer har oppdaget og analysert en ny malware for Linux som de har kalt OrBit, som både kan installeres permanent på et system og også kun i minnet, slik at det slettes ved neste reboot. OrBit gir angriperen tilgang til å logge inn på systemet senere via SSH, høster inn innloggingsdetaljer og logger kommandoer kjørt på systemet.
Referanser
https://www.intezer.com/blog/incident-respons[...]

Cisco og Fortinet slipper sikkerhetsoppdateringer

Både Cisco og Fortinet har i løpet av de siste dagene sluppet sikkerhetsoppdateringer for en rekke produkter. Vi anbefaler å sjekke etter sårbare produkter og patche!
Referanser
https://thehackernews.com/2022/07/cisco-and-f[...] https://tools.cisco.com/security/center/publi[...] http://

Apple slipper ny sikkerhetsfunksjon for å blokkere statlig spionprogramvare

Apple har sluppet en testversjon av en ny funksjon for iOS som heter "Lockdown Mode" hvor de fleste typer vedlegg og forhåndsvising av web-linker vil bli blokkert. Lockdown mode vil også skru av kablede forbindelser til PCer og tilbehør. Den nye modusen kan enkelt skrus av og på av brukeren. Den nye funksjonen er ment brukt av personer som kan bli utsatt for målrettede angrep med kommersiell spionprogramvare, f.eks. fra NSO Group.
Referanser
https://www.apple.com/newsroom/2022/07/apple-[...] https://www.washingtonpost.com/technology/202[...]

2022.07.06 - Nyhetsbrev

Google Chrome nettleser patcher zero-day svakhet som utnyttes i pågående angrep. Et Red Team-verktøy kalt Brute Ratel blir mibrukt av ondsinnede aktører. Oppsummering av nyhetsbildet innen datasikkerhet for juni 2022.

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2022

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for juni 2022. Denne måneden er hovedsakene DDoS-angrepene mot flere norske nettsider i forbindelse med krigen i Ukraina og Europols aksjon mot mobil-skadevaren Flubot.
Referanser
https://telenorsoc.blogspot.com/2022/07/oppsu[...]

Et Red Team verktøy kalt Brute Ratel blir mibrukt av ondsinnede aktører

Unit 42 fra Palo Alto har funnet ut at Brute Ratel C4, som er et forholdsvis nytt pentest-verktøy ment for lovlig bruk, har blitt utnyttet av ondsinnede aktører. Det er russiske APT-29 som skal stå bak angreps-kampanjen. Verktøyet Cobal Strike har blitt brukt på samme måten i flere år.
Referanser
https://unit42.paloaltonetworks.com/brute-rat[...]

Google Chrome nettleser patcher zero-day svakhet som utnyttes i pågående angrep

Google slipper ut patch etter høy-alvorlighetsgrad zero-day som utnytter heap overflow svakhet i Chrome nettleseren - CVE-2022-2294. Vi anbefaler patching ASAP!
Referanser
https://thehackernews.com/2022/07/update-goog[...]

2022.07.05 - Nyhetsbrev

Hacker i Kina påstår å ha stjålet data fra omkring én milliard kinesiske innbyggere. Russiske hackere tok igjen ned en rekke norske nettsider.

Hacker i Kina påstår å ha stjålet data fra omkring én milliard kinesiske innbyggere

En kinesisk hacker påstår å ha fått tak i personlig data fra omkring én milliard kinesiske innbygger. Informasjonen skal ha blitt stjålet fra en Elastic Search-database tilhørende politiet i Shanghai. Hackeren la ut informasjonen om angrepet på et forum og tilbyr å selge den 23 terabyte store lekkasjen for 10 bitcoins (ca. 2 millioner kroner). Innbruddet skal ha blitt utført ved å logge inn på databasen, siden en utvikler ved en feil offentliggjorde innloggingsdetaljer i en blogg-post.
Referanser
https://www.theguardian.com/technology/2022/j[...] https://twitter.com/cz_binance/status/1543905[...]

Russiske hackere tok igjen ned en rekke norske nettsider

Coretrek AS, som blant annet leverer nettsiden for NSM, ble mandag utsatt for et tjenestenektangrep. Angrepet minner om angrepsbølgen som traff flere norske nettsteder i forrige uke, men denne gangen er det den russisk-vennlige grupperingen "NoName057" som skal stå bak. Bastø Fosen og Boreal var også blant ofrene denne gangen. Nedetiden for tjenestene var ikke langvarig.
Referanser
https://www.aftenposten.no/norge/i/Kz0oXX/rus[...]

2022.07.04 - Nyhetsbrev

18 nulldagssårbarheter funnet og utnyttet hittil i år. GitLab gir ut kritiske sikkerhetsoppdateringer.

18 nulldagssårbarheter funnet og utnyttet hittil i år

Project Zero, et team av sikkerhetsanalytikere ansatt hos Google, rapporterer at 18 nulldagssårbarheter har blitt oppdaget og utnyttet per juni 2022. Minst ni av dem er varianter av tidligere sårbarheter fra 2021, der flere lett kunne blitt unngått med grundigere analyse og patching av sårbarheten. Nulldagssårbarhetene påvirker produkter som Windows, iOS og Chromium.
Referanser
https://googleprojectzero.blogspot.com/2022/0[...]

GitLab gir ut kritiske sikkerhetsoppdateringer

GitLab gir ut sikkerhetsoppdateringer for GitLab Community Edition (CE) og Enterprise Edition (EE) med tilhørende versjonsnumre (15.1.1, 15.0.4 og 14.10.5). Oppdateringene fikser kritiske sårbarheter som CVE-2022-2185, der en autorisert bruker kan oppnå ekstern kode-eksekvering ved å importere et ondsinnet prosjekt inn i GitLab. For mer informasjon om alle sårbarhetene se vedlagt lenke.
Referanser
https://about.gitlab.com/releases/2022/06/30/[...]

2022.07.01 - Nyhetsbrev

Google og Reuters skriver om hackere som kan leies inn til private oppdrag.

Google og Reuters skriver om hackere som kan leies inn til private oppdrag

Google har skrevet en blogg-post om hacker-grupper som firmaer og privatpersoner kan leie tjenester fra på timebasis. Disse gruppene blir gjerne brukt i angrep mot politiske aktivister, advokater og journalister. De kan også leies inn til å utføre industrispionasje. Reuters har også skrevet en spesial-rapport om en indisk gruppering som har spesialisert seg i å hacke advokatkontorer. I forbindelse med rettssaker kan det ha svært stor verdi å få tak i motpartens saksdokumenter.
Referanser
https://www.reuters.com/investigates/special-[...] https://blog.google/threat-analysis-group/cou[...]